lunes, 20 de diciembre de 2010

Predicciones en Seguridad de la Información 2011

Cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y asimétrico, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

Considerando lo anterior y con la alta probabilidad de andar por caminos insospechados, trataremos de hacer una visión propositiva sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales reportadas hasta el momento y que prometen seguir o variar en el 2011.

A continuación cinco predicciones de lo que puede pasar durante 2011 en temas de inseguridad de la información.

1. Bienvenida la era Post PC
Comenta el analista de Forrester Research, Andrew Jacquit, que cada vez más estamos pasando de la era del computador de escritorio a una computación móvil, ágil y sin fronteras. Definir la era Post PC es considerar dispositivos inteligentes pequeños, con sistemas operativos propios, con aplicaciones prácticas para tener acceso a la información en tiempo real y una lucha entre los diferentes proveedores de dispositivos móviles, que siempre buscan una mejor experiencia para el usuario, aún a costa de la seguridad de la información que se encuentra almacenada en el dispositivo o transita en medio de las redes a las cuales tiene acceso. En este contexto, de acuerdo con diferentes informes de seguridad se verá un incremento de la inseguridad en los dispositivos móviles, como un reflejo del impulso de las transacciones por este medio y el privilegiar una interacción en línea, virtual y sin intermediarios.

2. Repensando los modelos de confianza: Identidad centrada en los datos
El interés creciente en los retos de la nube y el acceso a la información disponible, así como el desafío de alcanzar una trazabilidad más certera y verificable sobre la información y sus transacciones asociadas, será un requerimiento cada vez más evidente. La necesidad de atender con claridad los requisitos de cumplimiento, obligará a las organizaciones a repensar sus modelos de confianza, ahora basados en el control de acceso efectivo y real sobre sus datos, lo que hará que las organizaciones reaccionen y comiencen a buscar formas integrales para darle mayor confianza a los ejecutivos sobre quién ingresa a sus locaciones físicas, qué se hace sobre sus sistemas de información y quién hace uso de los beneficios de la empresa. Para lograr este nuevo salto, las corporaciones deberán pasar por no tener una clara perspectiva de quién hace qué y ni cómo, momento donde los atacantes, conocedores de esta realidad, pondrán a prueba la forma como se reconstruyen las transacciones y retarán los mejores equipos de atención de incidentes e investigadores forenses en informática.

3. La ciberseguridad como estrategia gubernamental
Los recientes hechos internacionales donde se pone a prueba la respuesta técnica, diplomática y administrativa de las naciones, frente a ataques informáticos que afectan organizaciones y revelan información restringida de éstas, así como, la exposición de secretos industriales y ataques contra la propiedad intelectual de los países y sus nacionales, son eventos que no han pasado inadvertidos por los estados, razón por la cual se vienen tomando medidas que permitan una acción más controlada y confiable frente a estos retos que muestra cada vez más el mundo interconectado. Todo esto necesariamente conlleva a una renovación de las tácticas y acciones de la seguridad nacional, que ahora concibe un estado extendido en las redes informáticas y unos ciudadanos digitales y móviles, que requiere atención por parte del estado y la generación de una paz digital frecuentemente amenazada por actores que quieren tomar ventaja o inclinar la balanza para su conveniencia. Así las cosas, 2011 será un año de revisión y consolidación de la ciberseguridad como parte de la gobernabilidad de una nación.

4. Explosión de la información: una realidad innegable
En un mundo donde la información se ha convertido en la moneda para tener acceso a múltiples escenarios y posibilidades, se advierte un riesgo inminente como es el de la pérdida de la privacidad. Mientras más se intercambia, registra y comparte información mayor es la huella digital que dejamos en la red, donde algunos inescrupulosos hacen mal uso de la misma. Tener huella digital en internet no es malo en sí mismo, es una forma de advertir una presencia en la red, que muestra tu grado de interacción y visibilidad que es posible alcanzar con un adecuado uso de los recursos disponibles. Sin embargo, desafiar el poder multiplicador y propagador de internet y sus sistemas conexos, cuando de compartir información se trata, sin medir las consecuencias de este acto, es despertar la furia del “Poseidon Informático” que se esconde en el mar de registros disponibles en internet, con lo cual tu vida, tus acciones y obras, serán objeto de revisiones, interpretaciones y actualizaciones algunas autorizadas y otras no, que dejarán entredicho si lo que haces corresponde o no con la realidad. Durante el año siguiente, las olas de información y los servicios implementados agitarán el mar de internet para generar nuevas mareas de pérdidas de privacidad y desequilibrios en el manejo y clasificación de la información.

5. De los logs a la ciberinteligencia
Si bien la información ha tenido una connotación importante para las organizaciones en más de una década, la pregunta es ¿qué están haciendo con ella? Para algunos la respuesta está en los modelos y avances en la generación de valor para los negocios con estrategias desequilibrantes y para otros, una manera de mantener los registros de las actividades de las empresas. Algunos investigadores hablan de inteligencia de negocios, como esa manera de explorar en los datos patrones y tendencias que te permitan ver comportamientos y acciones para responder de manera temprana a los mercados y otros, ven en los registros de información modelos históricos de eventos que hablan del pasado y de las lecciones aprendidas en el campo de batalla.

Así las cosas, el encontrar en la información una manera de anticiparse a los riesgos, una estrategia de validar y revisar tendencias, un forma de evidenciar las huellas del pasado y la generación de escenarios para predecir el futuro, es abrir la puerta a una nueva disciplina, que heredera de las tradicionales técnicas de inteligencia, es capaz de navegar en las aguas inestables de internet, para recabar propuestas innovadoras y anticipatorias que permitan estar un paso delante de los eventos, mostrar caminos alternativos para enfrentar a los mismos ciberdelicuentes y mantener una posición vigilante y privilegiada frente a los retos de los atacantes. Aunque este nuevo ejercicio de seguridad nacional e informática, aún está en sus inicios es bueno mantener la humildad y la distancia, pues sabemos que la inseguridad cuando menos lo esperemos nuevamente podrá sorprendernos.

Reflexiones finales
La seguridad de la información es un proceso exigente y dinámico que requiere la habilidad de sus responsables para mantener en movimiento su ojo crítico frente la dinámica de la inseguridad, no sólo para crear la sensación de confiabilidad requerida por los usuarios de las tecnologías, sino para que vinculando, a estos últimos en la conquista de la asimetría de la inseguridad, se construya de manera conjunta una distinción concreta y evidente de un ambiente controlado y confiable, mas no seguro.

Sólo nos queda observar el desarrollo del 2011, para ver cómo la inseguridad de la información nos sorprende y nos hace meditar nuevamente y así, pensar de manera distinta para abrirle la puerta a las posibilidades, esas que no son otra cosa que el insumo de la inevitabilidad de la falla, contexto que debe alimentar permanentemente el instinto y la mente del responsable de la seguridad de la información.

Referencias
PRICEWATERHOUSECOOPERS (2010) Revolution or Evolution? Information Security 2020. Disponible en: http://www.pwc.co.uk/eng/publications/revolution_or_evolution_information_security_2020.html (Consultado: 14-12-2010)

DELOITTE & TOUCHE (2010) Cybercrime: A clear and present danger. Disponible en: http://www.deloitte.com/assets/Dcom-UnitedStates/Local%20Assets/Documents/AERS/us_aers_Deloitte%20Cyber%20Crime%20POV%20Jan252010.pdf (Consultado: 14-12-2010)

JACQUIT, A. (2010) Security in the Post-PC Era. Forrester Research. Revisión del autor en: http://blogs.forrester.com/andrew_jaquith/10-10-15-whats_next_for_it_security_post_pc_devices (Consultado: 14-12-2010)

CANO, J. (2010) Fuga de la información. Revelando la inseguridad de la información en el factor humano. Disponible en: http://insecurityit.blogspot.com/ (Consultado: 14-12-2010)

KARK, K. (2010) The new threat landscape: Proceed with caution. Forrester Research. Disponible en: http://www.federalnewsradio.com/docs/The_New_Threat_Landscape.pdf (Consultado: 14-12-2010)

domingo, 12 de diciembre de 2010

Fuga de la información: Revelando la inseguridad de la información en el factor humano

Revisando la etimología de la palabra fuga, encontramos que viene de la palabra fugare (en latín espantar, hacer huir), deriva de fugere (huir), por esta razón en latín fuga significa las dos cosas: persecución y huída. (Tomado de: http://etimologias.dechile.net/?fugar)

Considerando el origen de la palabra en español y su origen latino, la fuga es un acto en el cual se da una huída y a la vez una persecución. Podría decirse que no existe la huída sin una persecución. Necesariamente el acto de huir, exige una causa que anima a una de las partes a desaparecer del escenario y tratar de evitar ser visto o identificado para hacer más exigente la persecución por la otra parte interesada.

Con los recientes acontecimientos relacionados con la fuga de información (en inglés infomation leakage) se revelan muchos de los secretos mejor guardados de las naciones y la agenda paralela que se mantienen entre los gobiernos para mantener los lazos diplomáticos y acuerdos estratégicos. Si revisamos con cuidado, lo que ha ocurrido, podemos tener diferentes lecturas y motivaciones para calificar los hechos, bien como la mayor brecha de seguridad que se haya realizado o un acto de real libertad de información.

En cualquiera de los dos casos tenemos una fuga de información, que necesariamente genera una persecución, bien por haber expuesto información clasificada como secreta o altamente secreta, o bien por publicar y mancillar la privacidad natural y propia de tanto de las personas naturales como jurídicas. En este contexto, todos tenemos cosas que sabemos son restringidas y propias de nuestra intimidad, que estamos dispuestos a preservar de la mirada de otros, no porque sean ilegales o prohibidas, sino porque hacen parte de nuestra realidad y personalidad muy propia. Por tanto, todas las acciones que emprendamos para defendernos ante esta situación estará justificada frente a la magnitud de los hechos, sabiendo que las consecuencias de estas acciones tendrán efectos a corto, mediano y largo plazo e impactos en la reputación y buen nombre de los involucrados.

Si nos remontamos a otras épocas (la famosa guerra fría) donde la inteligencia y el espionaje era la norma natural a través de la cual las naciones generaban su posición Info-estratégica, encontramos que todas las personas involucradas en estas actividades reconocían en la información una de las formas a través de la cual era posible anticiparse o tener una perspectiva ventajosa frente a situaciones inesperadas en el corto o mediano plazo. Estos ejercicios realizados en el contexto de la seguridad nacional daban mayores márgenes de maniobra o negociación ante situaciones críticas, mientras que en el escenario de la industria privada fue la manera de anticiparse a la crisis de los mercados, reconociendo el valor de los ejercicios prospectivos y de inteligencia competitiva como apalancadores de la visión y la administración de los riesgos de los negocios.

Cuando somos testigos de uno de los hechos más representativos de fuga de información de la última década, son múltiples las visiones y afirmaciones que se advierten, frente a un hecho que naturalmente ocurre, como bien dice una señora casada: “de las puertas hacia adentro, yo si sé como son las cosas”. Dicho de otra manera, de las puertas hacia adentro, cada nación, empresa y persona, tiene detalles de los asuntos y acciones que han emprendido para mejorar y tener una posición práctica y relevante frente a eventuales vulnerabilidades propias de sus procesos de negocio y su estatus frente a su competencia en el entorno.

Por mucho que las naciones, organizaciones y personas se esfuercen para evitar una fuga de información, se hace necesario contar con la esfera inabarcable de los seres humanos, que quieran o no, están expuestos constantemente a guardar o revelar secretos como parte natural de su relacionamiento con otros. Si el secreto que se guarda le implica sanciones o efectos negativos posteriores, la persona estará persuadida de no hacerlo, aunque muchos podemos ser lo suficientemente osados para desafiar lo que haya por venir. Así las cosas, nadie puede vivir sin relacionarse con otros, por tanto la revelación de la información propia de nuestras relaciones estará enmarcada en la confianza y protección que al menos dos puedan hacer de ella, siempre y cuando no exista la intimidación o presión que se pueda tener por ésta.

Con los avances tecnológicos y una alta interactividad de los usuarios finales a través de medios inalámbricos, la información fluye tan rápido como ella se produce. Es así que tenemos ahora ciudadanos digitales empoderados y exigentes, que demandan estar “informados”, para tener una posición al respecto y por qué no incidir en la toma de decisiones que implica la situación. En este contexto, al compartir cada vez más información a través de las redes, perdemos espacio en nuestra privacidad, ese principio fundamental propio de la esfera personalísima que nos define y realiza, más allá de nuestras acciones y labores diarias, pues allí está la esencia misma de nuestra personalidad y razón de ser.

En razón con lo anterior, cada vez más tenemos escenarios para materializar una fuga de información, más allá de un acceso físico a documentos, o generación de grabaciones analógicas o digitales de conversaciones, ahora en un mundo interconectado y con múltiples plagas informáticas, vulnerabilidades y fallas de seguridad, los cuales no avizoran un mejor escenario para las naciones, organizaciones y personas. En consecuencia, las acciones que se emprendan para mitigar la fuga, deberán articular los aspectos tecnológicos, jurídicos, procedimentales y culturales para establecer una red de estrategias, que reten las motivaciones propias de aquellos que “buscan revelar” lo que está oculto y generar los impactos que satisfagan sus “intenciones” primarias.

Establecer estrategias en este sentido, es reconocer al ser humano como el eslabón más débil de la cadena y el elemento táctico más efectivo para enfrentar al mismo hombre. Dicho de otra forma, nosotros somos la causa y el control de la fuga de la información, razón por la cual los teóricos y practicantes de la seguridad se encuentran en una encrucijada, para poder enfrentar con efectividad este riesgo. Cuando la protección de la información corporativa se hace como parte extensiva de la custodia misma de la información personal y sus impactos, se confronta el entendimiento colectivo de la cultura y se hace evidente que nuestros comportamientos deberán ser los esperados por la empresa, así como nosotros los esperamos con nuestros datos.

Es claro que, como reza la realidad de los hackers o “aquellos que van más allá del manual” (no hablo de aquellos que han usado lo que saben para afectar o dañar a otros), la información es la materia prima para hacer que las cosas avancen: un mundo informado es un mundo que tiene una posición crítica y acciones concretas frente a la situación, pero de igual forma hay registros que no deben estar a la luz pública, so pena de generar inestabilidades sociales o malos entendidos que no ayudan a la construcción de un mundo mejor y con oportunidades para todos.

Cualquiera sea su posición frente a los hechos revelados recientemente, es importante que se cuestione sobre “su derecho a estar informado”, al “derecho que tiene a cada persona a su privacidad”, a la revisión de los impactos propios de este tipo de hechos y sobre manera a la protección de su información, como elementos básicos para tomar una posición balanceada, firme y concreta frente a ese activo que representa o tiene un valor para alguien, quien generalmente conoce y sabe lo importante que es para esa persona u grupo de individuos: la información.

Finalmente y sabiendo que toda fuga lleva consigo una persecución, evalúe con cuidado de qué lado quiere estar: ser un “fugitivo o perseguido” con causa o sin causa, o ser el “fiscal acusador y perseguidor” que hará defender sus derechos bien por una causa o razón para salvaguardar una reputación, o por conveniencia, cuándo él mismo se encuentra involucrado. A final la decisión no admitirá puntos medios, sino la realidad propia de los intereses de las partes comprometidas.


Referencias
GORDON, P. Data leakage. Threats and mitigation (2007) GSEC Gold Certification. Disponible en: http://www.sans.org/reading_room/whitepapers/awareness/data-leakage-threats-mitigation_1931
BORTNIK, S. (2010) ¿Qué es la fuga de información? Parte II. Disponible en: http://blogs.eset-la.com/laboratorio/2010/04/22/%C2%BFque-es-la-fuga-de-informacion-parte-ii/. Blog - ESET.

domingo, 5 de diciembre de 2010

Inseguridad de la información. Fuente de la innovación en seguridad de la información

Introducción
Parafraseando al Jesuíta González Vallés en su libro “El secreto de oriente. Respirar”, “(…) bastó un soplo para que el hombre tuviese vida. Un delicada y suave expiración de DIOS, para que fluyese la semejanza del Eterno en nuestra esencia”. Una frase que verifica con una decisión la transformación de la creación, la puesta en escena de una nueva criatura, un nuevo orden que somete bajo el mandato del hombre, todas las cosas como administrador de la tierra.

Esta misma condición y mandato natural, se quiebra por la desobediencia del hombre, lo cual trae como consecuencia todas las vicisitudes y limitaciones que experimentamos a diario. De igual forma en la seguridad de la información la desobediencia y la arrogancia de nosotros es causal de la innovación permanente de la inseguridad de la información. Al no tener claridad sobre el ejercicio de protección de la información, cualquier escenario que se plantee será válido y las respuestas ante los incidentes serán inesperadas, sin planeación y posiblemente erráticas.

En este escenario ahora natural y normal, no resulta muy sofisticado tratar de inferir las tendencias en la inseguridad de la información el próximo año o 10 años, pues de lo que se trata es de identificar “los nuevos juguetes tecnológicos” que están disponibles, su popularidad en el uso, advertir los nuevos desarrollos tecnológicos y malas prácticas aplicadas, que generan el escenario ideal para que la creatividad, esa ausencia de autorestricciones, fluya con sencillez entre las rendijas desatendidas de las relaciones entre la tecnología, las personas y los procesos.

Revelando las fuentes de la innovación
Trata de comprender la inseguridad de la información y un escenario plausible para su evolución, es tratar de comprender algunas variables generalmente aceptadas para comprender la innovación. De acuerdo con Peter Drucker, las fuentes básicas de la innovación se encuentran en: las ocurrencias inesperadas, las incongruencias, las necesidades de los procesos, la industria y cambios en los mercados, en los cambios demográficos, en los cambios de percepción y en el nuevo conocimiento.

Cada una de estas variables representa todo un reto de análisis y revisión que con el paso del tiempo, es posible ver un marcado liderazgo de una u otra. Las dos primeras están más relacionadas con el factor sorpresa, ese momento o reflexión que surge sin estar previsto, que desequilibra la comprensión actual y compromete el statu quo de lo que se conoce y sabe. Esta incertidumbre, se convierte en el insumo fundamental para que un nuevo paradigma surja y nuevas propuestas para aproximarse a la situación problemáticas se hagan presentes.

Las dos siguientes variables, las necesidades de los procesos, así como la industria y sus cambios en los mercados, están relacionadas con la manera como la empresa entiende lo que hace y en qué contexto lo materializa. El estar avocada a la constante renovación de los mercados y las reiterativas necesidades del negocio para obtener mejores resultados, genera una ambiente de alta presión, mucha responsabilidad y decisiones oportunas. En este contexto, la inestabilidad de la situación nos revela nuevamente la incertidumbre, como ese factor común que lanza al tomador de decisiones a advertir sus riesgos y evaluar su posición frente al reto que se le sugiere.

Cuando de cambios demográficos y cambios de percepción se trata, el ser humano es el protagonista principal. Los cambios en la composición de la sociedad, edades, perfiles de las personas, variaciones de sus percepciones, propensión al riesgo, nuevas necesidades y exigencias, hacen de estas variables elementos desafiantes, pues comprender este tipo de desviaciones, exige una permanente valoración de la comprensión del riesgo de las personas, sus gustos y tendencias de los mercados, permitiendo el surgimiento de nuevos entendimientos de la realidad o retos novedosos para la industria o su entorno de negocio.

Finalmente la creación de nuevo conocimiento, necesariamente pasa por la ruta de la incertidumbre y contradicción, pues sólo en este entorno se abre la posibilidad de correr el velo de la rutina y se cae el telón del “eso ya lo hemos probado”, para que los nuevos lentes tallados desde la mente individual y colectiva, muestren a la sociedad una sorpresa que mueva elementos dormidos o aún desconocidos para sus participantes.

La innovación y la inseguridad de la información
Revisando cada uno de estos elementos de la innovación, encontramos en la inseguridad toda una maestra que revela en cada variable analizada una lección propia que debemos reconocer e incorporar en nuestra práctica de seguridad como estrategia para anticiparnos a los posibles riesgos que son propios en cada una de ellas.

Cuando de hablamos de ocurrencias inesperadas, la inseguridad de la información se revela en la inevitabilidad de la falla, esa que está esperando el momento y la ocasión para materializarse. Cada trozo de código en cualquier programa cuenta con situaciones inesperadas que han quedado incluidas en su estructura y sólo esperan una combinación particular de la interacción con el usuario o proceso para revelarse. Una condición que denominamos inesperada es la que termina por descubrir la combinación exacta para materializar la falla de seguridad, falla que ha estado dormida en la ejecución del código y aguardando su turno para manifestarse.

Las presiones de los mercados y la exigencia de resultados exponen nuevamente a la seguridad a rendir concesiones, a generar excepciones que plantean escenarios para que la inseguridad de la información haga su aparición. Cada excepción es la respuesta a una condición de exigencia de negocio que requiere espacio para avanzar en la realización de valor de la firma o el cumplimiento de una exigencia directiva. Cuando la seguridad de la información no colabora, es estigmatizada frente al resultado, pero cuando se hace parte de la solución, es la respuesta que se espera de ella y sus responsables. La seguridad no debe ser parte del problema, sino facilitadora de la contestación al mismo.

Con el paso del tiempo se advierten cambios en la manera como percibimos el riesgo, como entendemos nuestras relaciones con los demás y sobremanera como nos aproximamos al mundo que nos rodea. No es equivalente comprender a los nacidos entre 1980 y 1990, que a los nacidos en 1970 y 1979. Cada uno de ellos tiene una manera de comprender su entorno y una realidad diferente. Mientras los nacidos en los 70’s encontraron un mundo con guerras y nacientes desarrollos tecnológicos, los cuales fueron apalancadores de grandes cambios y revoluciones, los nacidos en los 90’s son herederos de la tecnologías, del mundo de lo instantáneo y de soluciones automáticas.

Así las cosas, la distinción de la seguridad de la información para los herederos de los 70’s es una condición base para actuar, mientras para los nacidos en los 90’s es un reto para superar, una condición contradictoria frente al flujo natural de la información, pues consideran que ésta (la información) es parte natural de su entorno y realidad.

Todos estos elementos revisados previamente generan múltiples vistas de la realidad, diversos entendimientos y posiciones que terminan en explicaciones de los fenómenos estudiados, no para cuestionar el ambiente actual, sino para revelar una comprensión aún no estudiada, una vista complementaria de lo que ocurre, que nos permite construir nuevos “cómos” y desarrollar reglas novedosas para sorprendernos de lo que podemos hacer y renovar para evitar la zona de confort.

Reflexiones finales
La inseguridad de la información reconoce en la sabiduría del error, de la sorpresa, de lo inesperado, la fuente misma de conocimiento y renovación de su propia esencia. No es posible avanzar en el fortalecimiento de las tecnologías de seguridad sin la manifestación propia de la inseguridad. Es decir, que mientras más nos sumerjamos en la fuente misma de la inseguridad de la información mayor información tendremos para anticiparnos.

Cuando advertimos la aplicación de malas prácticas en la protección de la información; cuando somos capaces de destruir nuestras propias restricciones frente a las posibilidades de la interacción entre tecnología, personas y procesos, es posible generar escenarios prospectivos que nos permitan anticiparnos a ver posibilidades, antes que la inseguridad los haga reales.

Como sabemos que el riesgo cero no existe, esta reflexión busca manifestar una posibilidad para avanzar en la conquista de nuestras propias limitaciones, de nuestros inesperados comportamientos frente a las fallas, para encontrar en las condiciones base de la innovación, nuevos insumos para rastrear a la inseguridad de la información como una táctica más para continuar comprendiendo la “inevitabilidad de la falla”.

Reconocer en la inseguridad de la información una estrategia para validar las manifestaciones de la innovación sugeridas por Drucker, es caminar en un nuevo tejido de relaciones y propuestas para incorporar una función de inteligencia competitiva que nos permita una función de seguridad de la información proactiva, preventiva y retadora de la realidad: una búsqueda permanente con focos claros, esfuerzos dirigidos y trabajo dedicado.


Referencias
DRUCKER, P. (2002) The discipline of Innovation. The innovative enterprise. Harvard Business Review. August. Disponible en: http://www.engr.pitt.edu/mac/images-t/articles%20and%20docs/DisciplineofInnovation.pdf (Consultado: 6-12-2010)
GONZÁLEZ VALLÉS, C. (2006) El secreto de oriente. Respirar. Sal terrae.

lunes, 1 de noviembre de 2010

Facilitando la madurez de la función de seguridad: Algunos arquetipos propuestos

Según un informe reciente de Forrester Research denominado “Use Organizational and Professional Archetypes to accelerate security organization maturity”, son las expectativas del negocio sobre la organización de la seguridad la que define el proceso de madurez de la función de seguridad de la información de una organización. Esto es, identificar el foco o interés particular de la alta gerencia sobre la protección de los activos de información y detallar las preocupaciones que estos altos ejecutivos tienen frente a sus grupos de interés.

En este sentido, el artículo establece cuatro arquetipos (modelos de referencia base) que permiten comprender focos de acción que los responsables de la seguridad de la información pueden tener, según los casos estudiados por la firma consultora. Los cuatro arquetipos de profesionales de la seguridad identificados son: security practitioner, security architect, security strategist y business partner. Los dos primeros hacen referencia a una vista eminentemente operacional y de cumplimiento, el siguiente se mueve por una vista de riesgos y el último como un facilitador del negocio.

Cuando se revisa el security practitioner, tenemos el especialista técnico de la seguridad, el cual se encuentra concentrado en las amenazas de seguridad y operación de controles tecnológicos, quien constantemente tiene como foco la realización de los análisis de vulnerabilidades, monitoreo de la infraestructura tecnológica de seguridad y el mantenimiento de su nivel de parches. Cuando encontramos este arquetipo en las organizaciones podemos advertir que la alta gerencia ve la función de seguridad como un componente técnico propio de la infraestructura y como guardián de la información en el nivel operacional de la misma.

De otra parte, cuando las regulaciones internacionales comienzan a ejercer presión sobre los objetivos de negocio, la reputación y el mantenimiento de un estatus en un entorno global, aparece el arquetipo del security architect, quien si dejar de mantener una vista operacional, traduce los requerimientos de seguridad en controles técnicos operativos, los cuales se incorporan de manera inmediata y algunas veces, sin mayores condiciones o estrategia de gestión del cambio, en la operación de la empresa. Esta distinción de la seguridad, que pasa de una vista de amenazas de seguridad a una de cumplimiento regulatorio, permite al responsable de la seguridad pensar un poco más allá del hacer y actuar en seguridad, para lanzarlo a comprender el verificar, como una función más de aseguramiento que de operación.

Muchas organizaciones se mantienen en estos dos arquetipos sin mayores cambios, dado que cumplen con las expectativas de la gerencia frente a sus preocupaciones con los activos de información. Sin embargo, cuando la función de seguridad de la información, sabe que hace parte del sistema de administración de riesgos de la empresa y que sus acciones están encaminadas a comprender y tratar los riesgos propios de la tecnología, hace su aparición el arquetipo denominado security strategist. Este modelo o desarrollo de la función de seguridad, es un momento en el que el responsable de la seguridad de la información comprende que su misión real, más allá de un hacer y un actuar en la infraestructura, es el planear y verificar que le permita conocer con mayor detalle las funciones de negocio y cómo a través de los flujos de información es capaz de ver su aporte a la ecuación de utilidad de la firma.

La distinción de riesgos sobre los activos de información es una forma concreta y real de advertir en el lenguaje de los ejecutivos de la firma, los niveles de exposición de la información y los impactos que se pueden tener por un inadecuado tratamiento de los mismos. El security strategist, sabe y comprende mejor su responsabilidad como asesor táctico del negocio, como función clave dentro de la manera como la empresa apalanca función generadora de valor en mediano y largo plazo.

Es frecuente escuchar en las juntas directivas y comités de alto nivel que la seguridad no habla el lenguaje de los negocios y que los negocios hablan un lenguaje de seguridad, cifrado en las expectativas de valor y generación de confianza con sus grupos de interés. Cuando la función de seguridad puede quebrar el criptosistema que recubre las peticiones de los presidentes de las empresas o mejor aún, el responsable de seguridad es capaz de proponer elementos de negocio basados en una estrategia de protección de la información que maduren y desarrollen las perspectivas de la gerencia, visibles en el pérdidas y ganancias tangible o intangible de empresa estamos hablando del arquetipo del Business Partner.

Este arquetipo comprende el riesgo empresarial y sus impactos en cada proceso de negocio, lo que le posibilita un lenguaje de riesgo articulado en las impresiones de la gerencia, que sabiendo los desbalances de los mercados y las afectaciones de sus portafolios de inversiones, son capaces de incorporar en estas reflexiones los impactos de las estrategias de seguridad, medibles y visibles en términos de percepciones de aseguramiento de operaciones y manejo de información. Un business partner, exige un proceso de madurez organizacional y propia de la función de seguridad que ha sabido crecer con las corrientes y expectativas del negocio, aprovechando cada momento para apalancar la generación de valor con las acciones e impactos de las medidas de seguridad en los flujos de información de la empresa.

El informe concluye diciendo que en la medida que se evoluciona desde una seguridad basada en la tecnología, a una basada en la administración de riesgos de flujos de información hacia una propuesta colaborativa de apalancamiento del negocio, en términos tangibles o intangibles, deberán agotarse diferentes instancias y reflexiones al interior de la empresa. En este camino el Chief Information Security Officer – CISO, deberá desarrollar una gran capacidad de persistencia basada en resultados y logros que lo catapulten al siguiente nivel. Este implica que cada logro, debe asegurar la sostenibilidad del mismo, con el fin de que sea posible continuar abriendo camino en la evolución de la distinción de seguridad de la información.

Por otro lado, sabiendo que deberá llegar a ser parte de la agenda de los ejecutivos de la empresa en el contexto mismos de los planes de negocio, deberá mantener y asegurar el ambiente de control y eficiencia táctica y operacional que soporte un funcionamiento confiable de la infraestructura, como parte natural del gobierno de la seguridad de la información que debe ejercer frente las necesidades diarias de la corporación, donde los arquetipos security practitioner y security architect podrán ser útiles.

Finalmente y no menos importante, este informe si bien muestra la curva de madurez que debe seguir la función de seguridad de la información en una organización, nos debe recordar que todo este ejercicio deberá estar mediado por el factor impredecible y retador de la seguridad como lo son los individuos. Esto es, desarrollar de manera paralela en este proceso la construcción de una cultura de seguridad enraizada en los mismos objetivos de negocio y cómo la información es un activo estratégico y táctico de la empresa, que hace la diferencia al efectuar los balances y los análisis económicos, al sopesar las estrategias de continuidad de operaciones y al mirar las nuevas oportunidades para generar valor en la empresa y sus grupos de interés.

Referencias
KARK, K. (2010) Use organizational and professional archetypes to accelerate security organization maturity. Forrester Research

domingo, 3 de octubre de 2010

El debido cuidado en seguridad de la información. Un ejercicio de virtudes para la función de seguridad de la información

Siguiendo los elementos conceptuales y formales establecidos en la tesis de maestría en Derecho de ETSEBETH (2009) detallar un estándar de debido cuidado para el gobierno de la seguridad de la información en una organización debe pasar al menos por los siguientes elementos:

* La obligación legal de las organizaciones de proteger la información
* Las responsabilidades frente a la materialización de las fallas de seguridad de la información
* El desarrollo efectivo de un programa de seguridad de la información
* Un modelo de seguimiento y control de la efectividad del gobierno de la seguridad de la información

Obligación legal de proteger a la información
La obligación legal de las organizaciones de proteger la información no solamente se encuentra articulada por las normatividades nacionales e internacionales que obligan a las empresas para establecer medidas de salvaguarda de la misma, sino en el entendimiento y aseguramiento de: (ETSEBETH 2009, Sección Resumen Ejecutivo)

* La forma en la cual la información es creada, procesada, almacenada, transmitida, usada y comunicada.
* ¿Quién tiene acceso a la información?
* ¿Qué pueden hacer las personas con la información?
* ¿Cuánto tiempo éstas tendrán acceso?
* ¿Quién tiene la autoridad para cambiar el acceso y cómo?

Responsabilidades frente a las fallas de seguridad de la información
Teniendo claras las respuestas y acciones requeridas para enfrentar la obligación legal, se hace necesario revisar y comprender las responsabilidades que se tienen cuando la inseguridad de la información se materializa en el contexto organizacional. Las responsabilidades se articulan a nivel corporativo en diferentes niveles frente a los diferentes grupos de interés.

En este sentido, el primer responsable frente a la materialización de una falla de seguridad es la alta gerencia, quien al declarar a la información como un activo a proteger es el primer patrocinador del aseguramiento de la misma en los diferentes frentes de la organización. Si bien dicha responsabilidad, se materializa en el responsable corporativo de la seguridad de la información, es deber de los cuerpos de gobierno corporativo, establecer las respuestas concretas y efectivas para los interesados (mayoritarios y moniritarios) sobre lo ocurrido, sus impactos y las posibles disminuciones de valor que han tenido sus intereses en la empresa.

En un segundo nivel, se encuentra el director o responsable empresarial de la seguridad de la información o en inglés Chief Information Security Officer, quien deberá rendir cuentas de la efectividad del programa de seguridad de la información, la administración de los riesgos de seguridad y la efectividad de las medidas de seguridad tecnológicas que se tienen implantadas. Este reporte, deberá estar articulado con las promesas de valor que la organización tiene para sus grupos de interés de tal manera que se haga evidente como la inversión en la protección de los activos de información, se hace concreta en el nivel de confianza esperado por la organización y el nivel de riesgo aceptado por ésta frente a las amenazas identificados.

En un tercer nivel, se encuentran los analistas de seguridad de la información, especialistas en riesgos y controles de seguridad, así como los profesionales de seguridad informática que aseguran la infraestructura tecnológica: administradores de red, de servidores, de firewalls, antivirus, entre otros, que deberán rendir cuentas sobre las medidas de mitigación y control frente a las amenazas identificadas, así como el conocimiento del nivel de riesgo propio de cada uno de los mecanismo de protección. Este reporte, debe mostrar el seguimiento y alineación de acciones frente al programa de seguridad que tiene la empresa y cómo las fallas de seguridad deben ser atendidas en el modelo de atención de incidentes, con el fin de comprender mejor a la efectividad de las medidas tecnológicas implementadas y su permanente actualización frente a la dinámica del entorno empresarial y de la inseguridad de la información.

Diseño y desarrollo el programa de seguridad de la información
Como se puede ver, las responsabilidades frente a las falla de seguridad, exigen del responsable de la seguridad de la información, el diseño y desarrollo de un programa de seguridad de la información efectivo, entendiendo este como un conjunto de estrategias y actividades que articulen los mecanismos de integración organizacional, las estructuras de coordinación y las competencias técnicas requeridas que muestren claramente la integración de la seguridad con la estrategia empresarial (CANO 2010).

En este contexto, la implementación del programa de seguridad debe informar y comunicar a la alta gerencia sus alcances, retos y riesgos, con el fin de advertir con claridad y precisión qué hace parte de las acciones para mitigar las posibles fallas de seguridad y cuáles los riesgos residuales que acepta la empresa frente a las amenazas identificadas en los flujos de información en sus procesos de negocio.

Seguidamente, incorporar dentro del hacer natural de las actividades de negocio, el análisis de los riesgos de seguridad de la información, como parte inherente del actuar de las personas en sus actividades diarias. Esto es, reconocer que la información no es algo que está en los procesos, sino que es parte del negocio, pues basado en las prácticas de aseguramiento y protección, es que podemos comprender la efectividad y valor de la misma cuando el negocio mismo genera valor para los grupos de interés.

Roles y responsabilidades frente al tratamiento de la información
Fruto de lo anterior, se presenta de manera natural los roles y responsabilidades que los participantes de los procesos tienen frente a la información. Los dueños o propietarios de la información, como aquellos que crean la información y establecen las condiciones de uso y custodia del mismo, dado que reconocen y entienden sus riesgos, en el contexto de los flujos de información del proceso en el que participan.

Seguidamente, se establecen los usuarios, quienes atendiendo las condiciones y característica de uso establecidas por sus propietarios, sacan el mejor provecho de la misma en un ambiente controlado, sabiendo que cualquier uso no autorizado, promueve la materialización de un incidente de seguridad de la información con impacto corporativo importante.

Finalmente, se tienen los custodios, quienes observando las características establecidas por los propietarios y las necesidades de uso de los usuarios, definen los medios y mecanismos para mantener la disponibilidad de la información y la trazabilidad de los accesos requeridos, asegurando en tiempo, medio y formato que la organización minimizará los riesgo asociados con obsolescencia tecnológica, compatibilidad de formatos de datos e integridad de los medios de almacenamiento.

Seguimiento y control del gobierno de la seguridad de la información
Necesariamente lo anterior, debe responder no solamente a una apropiación de recursos técnicos, financieros y talentos humanos, sino toda una estrategia de concientización e interiorización de la distinción de seguridad, que apalancada desde la distinción de riesgos, es capaz de cuestionar el colectivo organizacional de supuestos frente a la protección de la información, para construir una nueva forma de comprender y valorar la información desde la esfera personal, hacia la realidad corporativa.

Como toda iniciativa, el programa de seguridad de la información, deberá mantener un seguimiento y mantenimiento por parte de la función de seguridad y su cuerpo directivo, de tal manera que asegure que el nivel de riesgo aceptado se mantiene o disminuye. Esto significa, que el reporte de avance del programa no se medirá exclusivamente en la materialización o no de incidentes de seguridad de la información, que se tengan en la organización, sino en los niveles de prevención y ahorro que situaciones infortunadas que se pudieron materializar y no se dieron.

Medir la efectividad de la seguridad la información es un reto permanente de los ejecutivos de la seguridad de la información, que lo que busca en últimas es “contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas (…)” (CANO 2010b)

Reflexiones finales
En consecuencia, para hacer realidad la propuesta planteada para materializar el debido cuidado en seguridad de la información se hace necesaria una evolución acelerada de la función de seguridad hacia los temas de gobierno, riesgo y cumplimiento, que le permita estar en la agenda los miembros de la junta directiva a través de un comité ejecutivo de primer nivel, donde se rindan cuentas de la evolución del programa de seguridad, apalancado en los riesgos estratégicos de negocio y las regulaciones y acciones legales que implican la materialización de una falla de seguridad. (ETSEBETH 2009, capítulo 8)

Por tanto, la próxima vez que sea interrogado sobre el debido cuidado en seguridad de la información, recuerde éste es un ejercicio equivalente al desarrollo de virtudes humanas, donde cada persona da lo mejor de sí para alcanzar el justo medio, aún cuando en el camino sea tentado y sorprendido por situaciones inesperadas que ponen a prueba su propio entrenamiento y experiencia frente al siempre nuevo y dinámico arte de la inseguridad de la información.

Referencias
ETSEBETH, V. (2009) Legal implications of information security governance. Master of Law Thesis. Unpublished Document. Law Faculty. University of Johannesburg. Disponible en: http://ujdigispace.uj.ac.za:8080/dspace/handle/10210/1837. (Consultado: 3-10-2010)
CANO, J. (2010) Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad. Disponible en: http://insecurityit.blogspot.com/2010/09/integrando-la-seguridad-de-la.html (Consultado: 3-10-2010)
CANO, J. (2010b) Métricas en seguridad de la información. Un reto permanente. Disponible en: http://insecurityit.blogspot.com/2010/07/metricas-en-seguridad-de-la-informacion.html (Consultado: 3-10-2010)

domingo, 26 de septiembre de 2010

Bases de datos: ¿inseguras?. Algunas reflexiones básicas

Recientemente la Independent Oracle Users Group's (IOUG) (ver referencias) liberó un estudio realizado con 430 de sus miembros sobre la seguridad en los datos, donde se revelan cinco puntos claves que muestran porqué falla la seguridad en las bases de datos. Los cinco puntos son:

1. Las organizaciones no saben aún donde residen sus datos sensibles
2. El monitoreo de la seguridad sigue siendo aún irregular y no sistemático
3. Los usuarios privilegiados se siguen ejecutando sin un adecuado control y seguimiento
4. Los parches en las bases de datos se despliegan y aplican lentamente
5. Existe un evidente retraso en la aplicación de técnicas de cifrado sobre las bases de datos

Cuando se advierten estas cinco conclusiones sobre la seguridad de la bases de datos, encontramos que son situaciones que en la mayoría de ellas se encuentran asociadas con ineficientes prácticas de seguridad de la información que exponen la información y a la organización a posibles fallas o vulnerabilidades que pueden ser explotadas tanto por atacantes internos como externos.

El estudio afirma que las organizaciones no saben donde residen sus datos sensibles. Esta es una realidad en muchas empresas a nivel internacional, la cual se manifiesta en una inadecuada o inexistente clasificación de la información. Esto es, que las corporaciones no se toman el tiempo para adelantar el análisis de riesgos propios de los flujos de información en sus negocios, de tal manera que puedan identificar aquella información que por su confidencialidad requiera niveles de protección diferentes a las demás.

Esta situación se agrava aún más cuando las prácticas de seguridad de la información no son constantes, lo que lleva a una aplicación sistemática de comportamientos inapropiados con la información que pueden ser, ingenuos por el desconocimiento del nivel de confidencialidad de la información o definitivamente intencionales, sabiendo que por la ausencia de controles e indefiniciones frente al tratamiento de la información, es posible filtrarla con la complicidad de un limitado seguimiento y control propio de los participantes en los procesos de la compañía.

Lo anterior confirma la segunda conclusión del estudio: el monitoreo sigue siendo irregular e inconstante. La seguridad de la información cuando se traduce en una inestable y débil gestión de reconocimiento de la inseguridad en los procesos de negocio, allana el camino para la materialización de incidentes de seguridad con consecuencias inesperadas, dado que no se conoce el alcance ni impacto de cada uno de los componentes del proceso y su interrelación con las otras áreas de negocio.

Esta situación, exige de las organizaciones modernas, la incorporación de prácticas de control interno, que le permitan afianzar el reconocimiento de los riesgos en el tratamiento de la información para así, hacer de ciclo de vida de la información, una experiencia conocida y apropiada por todos y cada uno de los colaboradores empresariales.

Ya la tercera conclusión, sobre la falta de monitoreo de los usuarios privilegiados es un llamado de atención al sistema de control interno informático de las organizaciones. Mientras los administradores de las bases de datos, así como los administradores de servidores o dispositivos de telecomunicaciones, mantengan su hálito de “intocabilidad” por su clara función crítica en el funcionamiento de los sistemas informáticos de las organizaciones y no se acojan a las prácticas de seguridad y control, que exige básicamente la trazabilidad de sus operaciones, así como la aplicación de guías de aseguramiento de cada uno de sus dispositivos, mantendremos una gestión parcial de seguridad que podrá ver claramente lo que los usuarios desarrollan en las aplicaciones, pero una vista borrosa e inexacta de lo que los usuarios privilegiados aplican o ejecutan sobre los componentes básico de la infraestructura computacional de las empresas.

Hablar de parches y aplicación de los mismos es hablar de una operación de cirugía de alta precisión, pues esto implica conocer muy bien las aplicaciones y la manera como ellas funcionan en los diferente servidores. Cuando de aplicar un parche se trata, se hace necesario establecer una “ventana de tiempo” para que en un ambiente controlado y donde las aplicaciones no estén funcionando, se pueda instalar éstos y ver los comportamientos de la máquina y del software base, así como de las aplicaciones. Estas últimas son las que ante una actualización pueden dejar de funcionar o hacerlo de manera errática, lo cual implica un trabajo conjunto con los líderes funcionales de éstas con el fin de asegurar que la solución sigue funcionando como se tiene previsto.

Aplicar un parche, no es instalar un archivo ejecutable en un servidor y esperar a que se termine su realización; es todo un procedimiento formal en la organización donde participan tanto el área de tecnología de información como el área de negocio, para asegurar que las condiciones y acciones requeridas para que el proceso de actualización se dé y que ante cualquier eventualidad se tienen previstos los mecanismos de “vuelta atrás” y respaldos, que permitan mantener la operación y excepcionar si es necesario, la aplicación del parche en la máquina. Es claro que una situación como la anterior, exige de la organización una revisión de la aplicación afectada, con el fin de evaluar y revisar su código para ver alternativas de afinamiento según se requiera.

Finalmente el estudio nos habla sobre el uso de las técnicas de cifrado, las cuales son ampliamente conocidas y las cuales cuentan con aplicaciones de implementación tanto en bases de datos como en aplicaciones, con el fin de asegurar la confidencialidad en el tratamiento de la información en los diferentes escenarios en los que la información fluye.

El uso de cifrado de la información en las bases de datos o en sobre cualquier información bien sea en servidores de alto desempeño o en dispositivos móviles, lleva consigo un impacto en desempeño propio de la aplicación de los algoritmos utilizados. Mientras la operacionalización de las técnicas de cifrado se apalanquen en el uso intensivo del procesador, siempre habrá un costo base en el tiempo de respuesta, que estará disminuido en la manera como cada implementador del algoritmo lo desarrolle. Así las cosas, en las bases de datos conocidas este es un costo que debe ser considerado en el momento del diseño de la seguridad de la misma, siempre y cuando esta fase, haga parte de la puesta en operación de un sistema manejador de bases de datos.

Las conclusiones del estudio realizado por la Independent Oracle Users Group's (IOUG), demuestran una vez más que la seguridad de la información aún continua siendo una realidad “externa” a la gestión propia de la tecnología de la información en las organizaciones, lo cual genera el escenario ideal para que la maestra inseguridad encuentre nuevas razones para mostrarnos que mantiene su posición vigilante ante nuestra inconstancia y falta de aseguramiento de acciones preventivas que nos permitan anticiparnos a las lecciones propias de la fallas de seguridad.

En consecuencia, debemos reconocer que si queremos, podemos aumentar la predictibilidad de la operación de las tecnologías de información, no sólo desde las buenas prácticas de seguridad inmersas en los procesos de negocio, sino dentro del colectivo cultural y social de los participantes de la empresa, quienes son los que al final del día hacen la diferencia en la gestión de la seguridad de la información.

Referencias:
http://www.darkreading.com/shared/printableArticle.jhtml?articleID=227500653
http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

domingo, 5 de septiembre de 2010

Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad

Son muchas las estrategias que hoy por hoy los responsables de la seguridad de la información intentan para persuadir a la alta gerencia con su discurso de protección de activos, las cuales van desde cuantificación de la materialización de las vulnerabilidades, análisis de impactos por pérdidas de imagen e implicaciones económicas de alguna sanción por algún incumplimiento normativo. (BAYUK 2010, pág.4) En este contexto, los ejecutivos de la seguridad de la información, buscan de alguna manera integrar sus planes en la agenda estratégica de la compañía para hacerse visible, no sólo por las consabidas brechas de seguridad que tarde o temprano se presentarán en la empresa, sino como elemento crítico para apalancar las ventajas competitivas de la corporación.

En este sentido, se advierten en la realidad de los programas de seguridad de la información elementos como incorporación de mejores prácticas, análisis beneficio-costo, historias o anécdotas en otras empresas del sector o estudios de referenciación que revisan la función de seguridad de la información en el contexto de los costos organizacionales y el personal requerido para dar cumplimiento al desarrollo de los habilitadores de riesgo y cumplimiento normativo, que no es otra cosa que apalancar las funciones de control interno o aseguramiento de los flujos de información de negocio de la empresa.

Así las cosas, los responsables de seguridad de la información saben que su integración con la estrategia corporativa, no depende exclusivamente de cómo los mecanismos tecnológicos de seguridad se comportan en las diferentes unidades de negocio (valga la pena aclarar, que deben funcionar de acuerdo con lo previsto y acordado con las áreas), sino de cómo alinear sus esfuerzos para hacerse una distinción transversal en la compañía, embebida en la cultura de los negocios, articulado con los sistemas de gestión organizacional y reconocidos por los terceros o grupos de interés en su relación comercial y estratégica.

Sobre este particular un reciente estudio realizado por KAYWORTH, T. y WHITTEN, D. (2010) advierte: “(…) la falta de integración entre el grupo de seguridad de la información y los negocios resulta en una política de seguridad y presupuestos que no reflejan las reales necesidades de la organización. En este contexto, la seguridad de la información tiende a ser reactiva, las decisiones de inversión se mueven por prioridades de corto plazo más que estratégicas o de largo plazo, recibiendo muy poca atención por parte de los ejecutivos de la empresa.(…)”.

Este resultado no nos sorprende, pues lo que hace es ratificar lo que de múltiples formas ha venido ocurriendo hace algunos años, donde la seguridad de la información se confunde con implementación de tecnologías de seguridad, haciendo de esta última distinción, una marca que generalmente tiene alta gerencia de lo que es esta función. Adicionalmente podemos agregar que esta percepción técnica generalizada de la seguridad, es también de nuestra propia práctica, que orientada por los nuevos desarrollos tecnológicos, nos dejamos tentar sin considerar, en algunos casos, los impactos de éstas en los negocios de la empresa. Podríamos decir que los altos ejecutivos de la empresa ven al área de tecnologías de la información y por ende, a la de seguridad de la información, como la sección de la inversión en “juguetes novedosos y costosos” que buscan generar un poco de más confianza en las operaciones de la empresa, pero no mayor valor para el negocio.

En consecuencia, la transformación y renovación de esta percepción de la alta gerencia en los seguridad de la información debe pasar no solamente por una estrategia tecnológica, sino social y cultural que implique una distinción complementaria de los riesgos en los activos de información de la empresa. Es decir, desarrollar un liderazgo de alto nivel sobre la protección de los activos, como parte de la práctica gerencial de la empresa, una visibilidad ejecutiva de la seguridad en los comités directivos y una cultura de seguridad de la información anclada en los supuesto propios de la empresa, que no solamente la perciba como algo que existe en el exterior, sino que se construye y vive en su interior.

Para lograr, lo propuesto en el párrafo anterior, no se requiere amplios esfuerzos en estrategias de gestión del cambio, sino articular tres elementos fundamentales detallados en el estudio de KAYWORTH, T. y WHITTEN, D. (2010) que son:
  • Balancear el aseguramiento de los activos de información con la necesidad de apalancar el negocio
  • Mantener el cumplimiento
  • Asegurar la alineación cultural

En este sentido, dicen los autores que se podrá desarrollar una estrategia efectiva de seguridad de la información que permita a los ejecutivos de la empresa salir de las “historias de horror y miedo” (concepto acuñado por BAYUK 2010) de la seguridad (como son los incidentes de seguridad), para entrar en la etapa del reconocimiento estratégico del valor de la seguridad de la información, como una forma de comunicarse con sus grupos de interés y los mismos procesos de negocio, y asegurar que la información que fluye entre las diferentes áreas, está disponible, controlada, gobernada y ágilmente procesada para que las metas de la organización se transformen en realidades evidentes y visibles tanto para los accionistas como para sus empleados.

Comprender la función de seguridad de la información como una forma de apalancar la manera como la empresa genera valor y lo comunica a sus clientes y demás interesados, debe llevar a los responsables de la seguridad de la información a cuestionarse sobre el enfoque de su estrategia de seguridad de la información más allá del aseguramiento de los perímetros porosos, de las acciones proactivas de identificación y manejo de vulnerabilidades, de los programas de sensibilización e interiorización de la seguridad y de la misma estrategia de cumplimiento legal y normativo, para reenfocar las conversaciones sobre la seguridad de la información más en términos de logros y servicios de apoyo a las estrategias de negocio, que en los componentes de tecnología que los hicieron posibles.

De otra parte, los responsables de la seguridad de la información, sabiendo que es fundamental mantener la segregación funcional con sus pares de la seguridad informática, deben comprender que su trabajo no termina cuando una tecnología de seguridad se instala y asegura lo que ha prometido, sino que allí debe iniciar la construcción de la nueva distinción de seguridad de la información, más allá de la técnica puesta en operación, sino en la percepción de la confianza y aseguramiento de los activos de información que entregue y comunique el valor mismo de la estrategia de la compañía en el proceso de negocio, que haga evidente una experiencia útil y estratégica tanto para los clientes como para el proceso.

Dicho lo anterior, los profesionales de la seguridad de la información no deben hacer cumplir de manera inflexible las reglas y estándares propios de los sistemas de gestión de la seguridad de la información, sin comunicar en el lenguaje del negocio, el porqué estas existen y cómo se articulan con el hacer mismo de los procesos de la empresa. Por tanto, la comunicación del valor de la seguridad de la información en un contexto estratégico y táctico, se centra en las personas, sus habilidades, actitudes y las manera como ellas interactúan con el resto de las áreas y sus procesos, y cómo las prácticas de protección de los activos de información son parte de su manera de actuar y hacer.

Si bien las consideraciones técnicas de la seguridad de la información se deben asegurar y funcionar conforme lo que se tiene previsto para hacer realidad, una percepción de la seguridad de la información requerida en los procesos de negocio, el lenguaje que se utilice para insertarla en la comunicación del valor para los negocio, deberá ser el más adecuado y ajustado con las prácticas de los negocios y las metas corporativas. El área de seguridad no debería hablar de sus “clientes”, como sino fuese parte del negocio mismo; más bien, debe ser alguien que acompaña y se hace parte del proceso como colega o par que aprende junto con aquello que genera valor, para hacerlo diferente y novedoso, comunicando y cumpliendo su promesa de valor de apalancar los resultados de la empresa de manera confiable.

Los responsables de la seguridad de la información que quieran avanzar en una estrategia efectiva de seguridad de la información, no deberán descuidar los diferentes elementos mencionados en esta reflexión, sabiendo que en un entendimiento sistémico de la realidad de la organización podemos mejorar día a día el entendimiento de la inseguridad de la información en los procesos de negocio y descubrir, en la puesta en práctica del programa de seguridad de la información, que la seguridad perfecta no existe y que caminamos “en medio de la noche” con una luz encendida: un monitoreo proactivo.

A continuación el detalle de los tres mecanismos de administración de riesgos para una efectiva estrategia de seguridad de la información sugerida por KAYWORTH, T. y WHITTEN, D. (2010):

Mecanismos de integración organizacional
• Estructuras organizacionales formales
  • Unidades organizacionales responsables de la seguridad de la información
  • Existencia de un ejecutivo responsable de la seguridad de la información
  • Función de auditoría interna
• Estructuras de coordinación
  • Comité directivo de seguridad de la información
  • Enlaces de seguridad de la información (oficiales de seguridad de la Inf.)
  • Separación entre seguridad de la información y seguridad informática
• Coordinación de procesos
  • Enfoque de seguridad de la información Top-Down
  • Seguridad de la información embebida en los procesos críticos de la organización
  • Aplicación flexible de estándares uniformes

Mecanismos de alineación social
• Culturales
  • Programas de sensibilización e interiorización en seguridad de la información
  • Desarrollo de redes informales de aliados estratégicos de la seguridad de la información
  • Desarrollo mentoría y asesoría en seguridad de la información para las áreas de la empresa
• Liderazgo
  • Compromiso ejecutivo basado en el reconocimiento de la información como un activo clave de la organización.

Competencia Técnica (El detalle propuesto en este tema es aporte del autor del blog y no hace parte del artículo original mencionado previamente)
  • Continuidad de Tecnológica
  • Control de acceso
  • Integridad de la información
  • Cumplimiento legal y normativo
  • Gobierno de la seguridad de la información

Referencias
KAYWORTH, T. y WHITTEN, D. (2010) Effective information security requires a balance of social and technology factors. MIS Quarterly Executive. Vol.9, No.3. September.
BAYUK, J. (2010) Enterprise security for the executive. Setting the tone from de top. Praeger.

miércoles, 18 de agosto de 2010

Expectativas y motivaciones de la función de seguridad de la información

Existen múltiples publicaciones y reflexiones sobre la formación y evolución del ejecutivo responsable de la seguridad de la información, las cuales hablan sobre las competencias que debe desarrollar para incorporar en la dinámica de los procesos de negocio y la esencia misma de la protección de los activos de información. De igual forma y de manera complementaria, se plantea la inquietud sobre la posición del área de seguridad de la información dentro de la estructura organizacional, que por lo general entra en conflicto con múltiples entendimientos de la función de seguridad de la información: visión técnica, de riesgos o estratégica.

A raíz de este constante y sano debate, que habla de una función dinámica y evolutiva, Forrester Research ha desarrollado un interesante análisis denominado “Security Organization 2.0: Building a robust security organization”, que procura explicar con precisión las expectativas y motivadores de la seguridad de la información en las organizaciones.

Según este estudio y basado en la experiencia del autor, la función y el role del ejecutivo de la seguridad de la información responde a un proceso evolutivo de los motivadores de la empresa sobre el tema. Mientras hace más de 25 años, la seguridad de la información se entendía como la implementación de tecnologías de protección de información, hoy se mueven más por la administración de los riesgos en los flujos de información de los negocios. Así las cosas, la función de seguridad se viene transformando de un motivador eminentemente tecnológico y operacional (que se debe mantener en el radar) a uno más táctico y estratégico, orientado por el entendimiento de los riesgos críticos para el negocio como pueden ser la fuga y/o pérdida de la información.

En este contexto, el responsable de la seguridad de la información debe poseer una fuerte formación técnica en las tecnologías de seguridad, con un alto componente de visión de riesgos y gran capacidad de ejecución y aseguramiento de controles, que le permitan moverse eficientemente entre el control y la eficiencia de las medidas de seguridad y el apoyo a la generación de valor en el negocio.

De igual forma y de manera consistente, el CIO Executive Board publicó un reporte sobre el Futuro de la TI Corporativa a 2015, donde hace evidente que la información será el elemento donde estará fundada la ventaja competitiva de las organización, apalancada con cambios significativos en la manera como los clientes usan la información, analizan los datos y se facilita el desarrollo de los trabajadores del conocimiento. En razón con lo anterior, el encargado de la seguridad de la información deberá estar atento para desarrollar roles estratégicos que le permitan fundir la distinción de seguridad en este escenario futuro.

Un primer role es el de enlace de negocio. Esto significa que el área de seguridad debe hablar y comprender cómo el negocio genera valor, para mirar en ese contexto, aquello que el negocio necesita para ser exitoso y cómo la protección de los activos de información hace la diferencia en el logro de las metas organizacionales.

Un segundo role es el de coordinador con terceras partes. En un mundo global y con claras tendencias hacia la tercerización se hace necesario que el encargado de la seguridad de la información comprenda y asegure los requisitos básicos que deben atender los proveedores de servicios, incluir dentro de sus panoramas de riesgos (los de los negocios) aquellos que se derivan de la relación con terceros y el manejo de la información de la empresa. Así las cosas, este ejecutivo, puede apalancar al negocio, siendo el puente de entendimiento de las posibles amenazas que implican una operación de seguridad de la información con terceras partes.

Finalmente un tercer role, es el de arquitecto de seguridad. Esta distinción le permite al responsable de la seguridad de la información establecer los controles de línea base de la operación, los estándares de cumplimiento y la articulación de las iniciativas técnicas de seguridad, que le brinden al negocio la confianza y tranquilidad que los flujos de información, se encuentran modelados alrededor del entendimiento de los riesgos y asegurados con tecnologías adecuadas.

Estos tres roles exigen de los encargados de la seguridad, repensar la misión y visión del negocio de seguridad, para hacer de la función misma, una vista sistémica de gobierno, riesgo y cumplimiento, que considerando y alineando la correcta y eficiente operación de la infraestructura de seguridad, sea capaz de responder con celeridad y prudencia cuando la magia de la inseguridad se haga presente.

En consecuencia con lo anterior, la estructura organizacional del área de seguridad de la información deberá articular perfiles profesionales orientados por la gestión de riesgos de seguridad de la información, con capacidad de entrenar y asesorar a las áreas de negocio en la valoración de sus riesgos, así como asegurar la correcta operación de los controles que se tengan implementados. Lo que en definitiva se entiende como un desarrollo consistente y formal de una cultura de seguridad de la información apalancada en el individuo, que participa en un proceso de negocio y soporta una meta organizacional.

Así las cosas, la seguridad de la información como función y facilitador de las estrategias de negocio, debe asegurar el despliegue de prácticas de protección de la información, como parte de la operación del negocio, de tal forma, que cada persona que participe conozca y comprenda los riesgos e impactos de un inadecuado tratamiento de la información; que experimente de manera real y concreta la consciencia de que la información es un activo y como tal exige de cada uno su mejor esfuerzo para asegurarla.

Por lo tanto, construir una función de seguridad robusta en una organización, debe ser una resultante del trabajo continuado y sistemático del entendimiento de los riesgos de la información tanto en los procesos de negocio y sus flujos de información, como del apoyo y comprensión de los mismos por parte de los profesionales de seguridad en el lenguaje de la industria. Mientras mayor sea la comprensión del negocio y sus amenazas frente a las vulnerabilidades o fallas de seguridad, mejor será el resultado de la gestión de confiable de la información, pues son ellos mismos los que hacen la diferencia al reconocerla como parte de su estrategia para apalancar la generación de valor.

Cuando la función de seguridad de la información, entiende con claridad cómo la organización genera el valor, produce los resultados y alcanza sus metas, puede afinar y afianzar su discurso como una forma de cuestionar las creencias, las prácticas y los artefactos empresariales que permitan transformar su cultura organizacional hacia una gestión segura de la información que reconozca, entienda y comprenda el valor de la misma en un contexto global e interconectado.

Referencias

* CIO Executive Board (2010) The future of Corporate IT. Disponible en: http://www.executiveboard.com/it/pdf/The_Future_of_Corporate_IT.pdf
* FORRESTER RESEARCH (2010) Security Organization 2.0: Building a robust security organization. Disponible en: http://eval.symantec.com/mktginfo/enterprise/articles/b-article_security_organization_20_building_a_robust_security_organization.en-us.pdf

domingo, 11 de julio de 2010

Métricas en Seguridad de la Información: Un reto permanente

Hablar sobre métricas en seguridad de la información, es actualizar una reflexión permanente que está en la agenda de los ejecutivos de seguridad. Las métricas, necesarias para evidenciar la gestión de los profesionales de seguridad frente a los temas de aseguramiento de infraestructura, pero no suficientes para dar respuesta al interrogante: ¿qué tanto hemos mejorado nuestra seguridad con respecto al año anterior?

El Dr. Hyden afirma en su libro que “medimos la seguridad para entender la seguridad”. Parece una afirmación algo simple, pero desafiante y exigente para llevarla a la práctica. En la medida que recolectamos datos sobre la seguridad, con un contexto, con un objetivo, sabiendo lo que queremos hacer con ellos, poco a poco se nos revelará aquello que queremos conocer y detallar. Podemos tener grandes reportes con datos y vulnerabilidades identificadas, los cuales carecerán de sentido si no sabemos qué es aquello que nos queremos responder y atender, para continuar nuestro viaje al corazón mismo de la inseguridad en las diferentes relaciones entre personas, tecnología y procesos.

Continúa comentando el académico mencionado previamente, que “el real beneficio de las métricas se revela cuando los datos que se representan llevan a actividades con sentido para la organización, acciones que soporta objetivos y apalancan retos en la empresa”. En este contexto, el valor de las métricas se percibe y se potencia, sólo cuando somos capaces de expresarlas en el lenguaje del negocio y la hacemos parte de la manera como la misma corporación genera valor en su entorno.

Así las cosas, las métricas en seguridad son valoraciones altamente riesgosas, pues al comprender mejor algo que previamente no se conocía, se genera un mayor conocimiento de la situación y su correspondiente responsabilidad y obligación para actuar en conformidad. En este escenario, recolectar información sobre las diferentes variables el programa de protección de la información es comprender por qué se recogen y las decisiones que se tomarán soportadas en ella.

Considerando lo anterior, el desarrollar un programa de métricas en seguridad exige declarar las limitaciones propias de este ejercicio y la comprensión de variables con cambios constantes, incertidumbre y riesgo, que en otras industrias como los seguros, la manufactura y los diseños se manifiestan con la misma intensidad. De acuerdo con lo que presenta el Prof. Hyden en su libro, se advierte al menos tres lecciones sobre las métricas de seguridad en estas industrias a saber: (HYDEN 2010, pág. 20, 21 y 22)

Lección No.1 Sus métricas de seguridad y las subsecuentes decisiones derivadas de la administración de riesgos, mejorarán su seguridad, tanto como su capacidad para recolectar, analizar y entender los datos relacionados con la operación de la seguridad. (Seguros)

Lección No.2 La seguridad es un proceso de negocio. Si usted no está midiendo ni controlando el proceso, usted no estará midiendo ni controlando la seguridad. (Manufactura)

Lección No.3 La seguridad es el resultado de una actividad humana. Un programa efectivo de métricas en seguridad tratará de entender las personas tanto como la tecnología. (Diseños)

Hyden define la medición como el acto de juicio o estimación de las calidades de algo, a través de la comparación con algo adicional. Mientras las métricas, como los estándares de medidas. En este sentido, no son las métricas las que son sensibles en sí mismas, pues responden a hecho concretos sobre aspectos de la seguridad de la información que requieren ser revisados, sino las mediciones que se derivan de ellas, es decir las valoraciones que se efectúan sobre las métricas las cuales son juicios de valor humanos frente a referentes que deberán ser los más adecuados con la realidad de la empresa y su entorno competitivo.

Considerando lo anterior, Jaquith (2007, pág.30) confirma que si bien se establece un sistema de métricas basado en estándares como el ISO 27001 es un reto interesante, no es lo más adecuado dado que las mediciones asociadas con éste, estarán focalizadas en aspectos que son auditables y requerimientos de control, más que en la incorporación de las prácticas mismas; estará muy sesgada por criterios subjetivos de valoración, dado que se requiere definir qués y cómos propios con la dinámica de la organización y sus estructuras de negocio, y finalmente, las métricas se enfrentarán al problema de la valoración, las cuales el mismo estándar no ofrece orientación al respecto.

De manera complementaria Brotby, establece en su publicación que “se mide para poder administrar”. Esto es, negociar un conjunto de recursos, acordar unos comportamientos requeridos y rendir cuentas. En consecuencia para determinar la información requerida para medir y monitorear un proceso de seguridad se requiere dar respuesta al menos a las siguientes preguntas: (BROTBY 2009, pág.73)
1. ¿Qué es lo que será administrado?
2. ¿Cuáles son sus objetivos?
3. ¿Qué decisiones se deben tomar?
4. ¿Qué información es requerida para tomar dichas decisiones?
5. ¿Qué procesos pueden proveer la información requerida?

Los tres autores coinciden en que las métricas en seguridad de la información son acuerdos propios de las organizaciones en los cuales las buenas prácticas y/o estándares nos permiten comprender la brecha que tenemos frente a los ideales y no representan un ejercicio mandatorio o imprescindible para alcanzar modelos certificables frente a nuestra gestión de riesgos relacionados con la información.

El contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas, nos permite generar mayor visibilidad del programa de protección de activos de información, que el uso mismo de un estándar per se.

No queremos con esta reflexión insinuar o desvirtuar las grandes bondades de las prácticas de seguridad de la información disponibles a la fecha, sino más bien darles su debido lugar dentro de la exigente y constante manifestación de la inseguridad en cada uno de nuestros procesos organizacionales, como esos libros abiertos de sabiduría y consejo, que siempre están disponibles para continuar afinando nuestras acciones de tratamiento del riesgo y afinando nuestro olfato para enfrentar a la inseguridad de la información, haciendo de las mediciones una consecuencia de nuestro mejor entendimiento de esta realidad.

Referencias
HYDEN, L. (2010) IT Security metrics. A practical framework for measuring security & protecting data. McGraw Hill.
BROTBY, K. (2009) Information security management metrics. A definitive guide to effective security monitoring and measurement. CRC Press.
JAQUITH, A. (2007) Security metrics. Replacing fear, uncertainty, and doubt. Addison Wesley

lunes, 5 de julio de 2010

Innovación, Cambio y Estrategia: Tres elementos claves para potenciar la función de seguridad de la información

Durante estos días de múltiples noticias sobre balances de mitad de año, de revelación de indicadores de gestión, surgen muchas inquietudes sobre qué deben hacer las organizaciones para lograr lo que se han propuesto para este periodo de 365 días. En este sentido, luego de revisar tres libros, uno sobre innovación, otro sobre el cambio y un tercero sobre estrategia, se advierte con claridad que son estas tres palabras las que deben marcar el paso de todos aquellos que se atreven a hacer sus sueños realidad y que han decidido dejar una huella profunda en el mundo.

En este contexto, los responsables de la seguridad deberán hacer lo propio, pues la magia de la inseguridad de la información, como maestra de aquellos, nos recuerda a cada instante que debemos caminar por la ruta del desaprender, como requisito de la estrategia, la base para el cambio y la fuente de la innovación. Cada vez que nos enfrentemos al reto de la inseguridad, son los tres elementos antes mencionados los que deben animar nuestra reflexión para avanzar y desafiar los movimientos de nuestra maestra.

La innovación en seguridad de la información supone una mente creativa, que constantemente se pregunta el porqué de las cosas, nunca está satisfecha con las explicaciones de los proveedores y demanda de ellos, formas diferentes de enfrentar los retos de la inseguridad. De igual forma, busca de manera constante combinar dominios y fuentes de análisis, como la incorporación de prácticas de otras disciplinas como el derecho, la seguridad física, las matemáticas, las ciencias sociales, entre otras, pues sabe que allí encontrará elementos que le permitirán ver mejor o replantear el reto mismo de las fallas de seguridad. (Adaptado de: PONTI 2010, pág. 72 y 73)

Cuando somos capaces de innovar, de retirar nuestras propias autorestricciones y lanzarnos a experimentar las consecuencias de este acto, es posible liberar la energía potencial de ideas y acciones que la seguridad requiere para enfrentar a la inseguridad. Esta connotación, exige de los diseños organizacionales de la función de seguridad espacios seguros para pensar diferente y traducir en la práctica, empoderamiento de los profesionales del área y sobre manera mucha alineación con los objetivos de negocio, para que el impacto de lo que se proponga maximice su competitividad y la fuerza de la función de seguridad.

De otro lado, el innovar supone un cambio. Un cambio que debe estar apalancado en una movilización de esfuerzos alrededor de una visión compartida, que permita a la creatividad, encontrar terreno fértil para que sus semillas germinen. Mientras el responsable de la seguridad no sea el abono natural para pensar de manera diferente la seguridad de la información, ésta no estará en la zona de impacto que la organización necesita para ser diferente y hacer de sus procesos de negocio una zona confiable para gerencia y sus grupos de interés.

Cambiar, deja de ser un proceso de las organizaciones, para convertirse en una necesidad permanente de las mismas. El cambio generalmente se indica cuando se desarrolla una crisis, un momento de verdad. En seguridad de la información el cambio es una crisis permanente, gracias a que la inseguridad todo el tiempo está generando nuevas formas de hacernos ver que tenemos mucho que aprender. Así las cosas, el cambio en la función de seguridad de la información es una exigencia permanente que evita a toda costa la zona de confort para los profesionales del área y la tentación de “la falsa sensación de seguridad”.

Consolidar a la seguridad de la información como una ventaja competitiva de la organización, como un activo negocio que hace la diferencia, exige hacer de la práctica de seguridad un referente interno en la forma como comprendemos los riesgos de la información en los flujos de negocio, del conocimiento propio de nuestras limitaciones y de la habilidad para hablar el lenguaje de la dirección. Si esta consideración se inscribe en los planes de desarrollo de las áreas de seguridad de las empresas, otro será el futuro de los Chief Information Security Officers, pues no estarán buscando razones para justificar la importancia de la seguridad en los negocios, sino haciendo parte de la búsqueda de nuevos horizontes y escenarios de crecimiento de las corporaciones.

Pensar de manera estratégica, requiere tener una visión intuitiva e irreverente de lo que vemos y queremos de nuestro futuro. Bien se dice que planear, es lanzarnos a experimentar las corrientes inesperadas y propias de los vientos en las alturas como lo hacen las aves, pues de la misma forma en seguridad se exige que busquemos fuera del statu quo opciones y alternativas para disparar las rentabilidades de los negocios. La seguridad de la información más allá de un servicio, debe transformarse en una realidad de las expresiones y declaraciones de las juntas directivas, que vean en esta función un proceso de madurez organizacional, que crea estándares de industria que diferencia y posicionan a la organización más allá de sus propuestas de negocio.

Hablar de innovación, cambio y estrategia en seguridad de la información es declarar que estamos dispuestos a dar la batalla permanente y efectiva a la inseguridad de la información, que estamos atentos y alertas para conocer y confrontar las consecuencias de lecciones de las fallas, errores y vulnerabilidades de la tecnología y sobremanera, que nuestra decisión para alcanzar la madurez y evolución en el gobierno de la seguridad de la información, estará soportada en la visión estratégica, sistémica y de futuro que la organización quiere alcanzar.

Referencias
PONTI, F. (2010) Los siete movimientos de la innovación. Editorial Norma
HARVARD BUSINESS (2009) Surviving Change. A manager’s guide. Harvard Business Press.
HAX, A. (2010) The Delta model. Reinventing your business strategy. Springer Verlag

lunes, 21 de junio de 2010

ISACA international Conference 2010 - El lenguaje de los riesgos de TI

La Information System Audit and Control Association – ISACA es una organización sin ánimo de lucro que es decana de las asociaciones en lo referente a los temas de seguridad y control en tecnologías de información. Dentro de sus múltiples actividades, anualmente organiza un evento de alcance global para reconocer los temas emergentes y retos que los profesionales en tecnologías de información, auditores y entes de aseguramiento y control, así como todos aquellos interesados en los desarrollos tecnológicos, deben advertir de cara a los cambios y tendencias que se presentan en el hacer organizacional y en los avances de la ciencia y la tecnología.

En el 2010 la conferencia internacional desarrollada en Cancún, México, deja ver claramente que las tendencias asociadas con la computación en la nube, la administración de riesgos de tecnologías de información, la generación de valor con tecnologías de información y los temas de continuidad de negocio son los elementos que marcan y marcarán la práctica de las organizaciones que asumen el reto de caminar en la nueva década del nuevo milenio.

La computación en la nube, ya no es más una tendencia, sino una realidad que empieza a desarrollarse en las empresas. Muchas de las presentaciones, incluso se estableció una pista completa para tratar el tema, se mostraron como aplicaciones prácticas del concepto, ilustrando con ejemplos y casos, la forma como se viene desplegando el concepto en países como Australia y Estados Unidos, donde se encuentran muchos de los proveedores de este servicio.

Así mismo, esta realidad hace evidente un riesgo sistémico de falla, dado que en un ecosistema interrelacionado de empresas que proveen servicios en la nube, existe una interdependencia que hace que una falla en una parte de la malla de proveedores, repercuta en el servicio de una u otra empresa. Así las cosas, esta advertencia, hacen más elaborada las reflexiones que sobre el particular se vienen haciendo para darle vida con seguridad y control al reto de los servicios en la nube.

Por otro lado la administración de los riesgos en tecnología de información, asociado con el marco general de Risk IT, establece una serie de elementos de consideración, que permiten al profesional de TI, advertir las amenazas relevantes a la generación de valor de las TIC’s en la organización, no sólo desde la perspectiva tecnológica, sino desde la visión integral de personas, tecnología y procesos. Risk IT es una herramienta estratégica y táctica que permite un gobierno eficiente y efectivo de los riesgos de tecnología en las organizaciones, para lo cual establece tres dominios de conocimiento fundamentales: gobierno de los riesgos, evaluación de los riesgos y respuesta a los riesgos.



Tomado de: ISACA. http://www.isaca.org/Knowledge-Center/PublishingImages/Risk-IT-VAL-IT-Full.jpg

La administración de los riesgos de TI, establece una práctica fundamental en los objetivos de negocio, dada la alta dependencia de la tecnología de las organizaciones modernas. Así las cosas, un marco de referencia como Risk IT, define una ruta a seguir, una forma estructural de identificar el valor y la comunicación del mismo, integrada al portafolio de iniciativas del área de tecnología, como una forma de identificar y valorar el apetito y tolerancia al riesgo de la organización sobre los temas de TI.

De igual forma, los nuevos avances en el tema de Cobit 5.0, que integra los diferentes esfuerzos de buenas prácticas que viene desarrollando ISACA tanto en el tema de riesgos, como en el de seguridad la información (Business Information Security Model), así como en el tema regulatorio y de cumplimiento, hacen parte de un giro estratégico que la asociación y su práctica internacional materializada en sus más de 40000 miembros, ha identificado. La información se convierte en el centro de la gestión misma del área de tecnología. Mientras las tecnologías de información detallan los medios para el uso de la información, la información en sí misma es la razón de ser del área de tecnología.

El valor que percibe la organización del área de TI, se refleja más en el uso mismo de la información. Es decir, en los comportamientos y valores que los individuos identifican y practican frente al procesamiento de los datos, más que en el despliegue de herramientas tecnológicas. En este contexto, el Cobit 5.0 presenta el Information Reference Model, que centra la atención de cada uno de los profesionales de TI en la riqueza misma de la información y sus diferentes relaciones de negocio y de éstos con sus clientes.

Finalmente y no menos importante, los se detallaron aspectos asociados con la continuidad del negocio donde la tecnología funge como el apalancador táctico y estratégico para que las consideraciones de las buenas prácticas revisadas se hagan realidad. De nada sirve contar con un reconocimiento del valor estratégico de la información en la organización, si el soporte de las herramientas mismas, no hace parte de la visión general del gobierno de las tecnologías de información. En este escenario, la continuidad del negocio no puede ser confundida como un seguro técnico que se compra e implementa en la infraestructura técnica de la organización, sino como un proceso estratégico y táctico que incorpora en el marco general de riesgos de TI, la manera real y práctica como la organización responde a una falla parcial o total de los equipos de computación que soportan la operación.

Las charlas asociadas con continuidad de negocio, muestran con claridad mitos y realidades que muchas veces se ignoran frente a este reto organizacional, donde la tecnología, al igual que otros elementos como las evacuaciones, pandemias, emergencias, entre otros, hacen parte de la sintonía requerida por la organización para sobrevivir a un evento bien sea fortuito, intencional o no.

Si bien el evento revisa múltiples perspectivas en los temas previamente desarrollados, es importante anotar que en la vista conjunta tanto de latinoamericanos como europeos, así como de asiáticos y americanos, el lenguaje de los riesgos hace confluir las miradas y los análisis, lo cual genera una dinámica generosa y particular que permite asistir a una conversación internacional sobre una realidad local y propia de cada empresa.

ISACA Internacional Conference 2010, es una experiencia que motiva la imaginación y el entendimiento de una realidad heterogénea y muchas veces ambigua, que sólo en una construcción colectiva de saberes es posible avizorar un modelo parcial de la realidad de la seguridad y el control en el uso de las tecnologías de información a nivel global