domingo, 31 de enero de 2010

Inseguridad Tercerizada: Un reto de confianza, acuerdos y riesgos

Es claro que un mundo global, dominado por sistemas informáticos y acuerdos “on click”, las estrategias de tercerización para el área de tecnología de información se han convertido en una opción estratégica y financieramente atractiva, que permite ofrecer servicios altamente competitivos a costos aceptables impactando de manera positiva la ecuación de costos de las organizaciones en este nuevo milenio.


En este sentido, si bien esta realidad balancea de manera contundente las inversiones de las áreas de tecnología, también es claro que surgen nuevos interrogantes que continúan en la agenda de los ejecutivos de tecnología como son:

· ¿Será que los datos e información que compartimos con el prestador del servicio están tan asegurados como si los tuviésemos locamente en nuestras instalaciones?

· ¿Cómo obtengo un servicio tan bueno como el que podría ofrecer en mis instalaciones, sin perder el control de los datos e información?

· ¿Qué debemos entender y aplicar frente a las regulaciones de cumplimiento en TI, ahora en un contexto de tercerización?

Si revisamos estas tres preguntas críticas alrededor del tema de tercerización, todas ellas nos hablan de la seguridad de los datos y la información, de la forma como ellos se deben comportar y de cómo debemos asegurar las evidencias de un adecuado control de éstos.



Cuando compartimos información y datos con un tercero
, surge la necesidad de establecer una serie de protocolos de intercambio y acuerdos sobre el manejo de aquellos. Para ello, se requiere no sólo conocer las bondades y buenas prácticas del tercero, sino adelantar una serie de cláusulas contractuales que obliguen al tercero a tener un conjunto de acciones que adviertan al contratista que la información y los datos de la empresa exigen un tratamiento especial, y que cualquier falla en el cumplimiento de los controles de seguridad previstos, implicará un perjuicio cuantificable y evidente que tendrá que resarcir frente a las regulaciones previstas en el país donde se encuentre y el acuerdo de voluntades firmado por las partes.



De otra parte, cuando ofrecemos servicios a través de terceros, los datos y la información implícitamente quedan bajo el control del contratista, debiendo la empresa contratante establecer estrategias que permitan verificar el “adecuado uso de la información y los datos” frente a las condiciones de sus clientes en el manejo de éstos. En este sentido, deberá adelantar el aseguramiento de sus funciones internas para evitar la ambigüedad inherente al ser un tercero de confianza en la administración y uso de los datos e información de una empresa: gobierno de los datos Vs. Usos de la información. Mientras a un tercero es posible delegarle la custodia de los datos en sí mismos, se hace necesario revisar en el contratante, hasta donde será la información parte de los activos entregados en dicha custodia.



Los escenarios anteriormente comentados, nos sitúan en una realidad emergente que es cómo comprender las regulaciones y normas de cumplimiento en tecnologías de información en una realidad donde un tercero hace parte de la custodia y operación de la infraestructura de tecnología, los datos e información de una empresa. Algunos manifiestan que todo esto se resuelve desde la perspectiva enunciada por temas contractuales, mientras otros dicen que no es suficiente y se hace necesario otro tipo de estrategias.



En este sentido, el cumplimiento exigido para el área de tecnología de información de una empresa, soportada en un contrato de tercerización con un contratista externo, se debe basar en la relación de confianza de las partes, en quién controla qué y cómo, y cuáles son las evaluaciones que son realizadas por terceros independientes sobre la conveniencia de los procesos y procedimientos que éste tiene que soporten la confianza entregada por el contratante.



Es claro, que al entregar tanto la información como los datos e información a un tercero con infraestructura y dinámica propia es prácticamente imposible asegurar un cumplimiento estricto de las prácticas de seguridad y control, hecho derivado de que no es posible ver de manera cercana y real la operación misma del contratista en sus instalaciones. Por tanto, el cumplimiento o normatividad exigida para el área de TI que tiene parte de sus servicios con terceros, será más probabilístico que determinístico.



Así las cosas y considerando las implicaciones de los costos previamente revisadas en esta nota, la seguridad de los datos e información en el contexto de una función de tecnología de información con terceros, se puede ver, como anota el Dr. Geer, bien como un impuesto o como una inversión.



Si se hace necesario tener múltiples niveles de protección, que por demás disminuyen la facilidad de la operación y no permiten un manejo fluido de los procesos de negocio, la seguridad será un impuesto, que claramente será objeto del balance de costos de la empresa, perdiendo la esencia misma del control y manejo de los riesgos de la empresa, que más tarde podría impactar la imagen de la compañía. En consecuencia, la lección aprendida en este escenario nos dice que la seguridad de la información no debe generar nuevos impuestos que impacten la dinámica empresarial, sino ofrecer una manera para que el negocio opere de manera confiable.



De otro lado, cuando la reflexión de la seguridad de la información se desarrolla en el terreno de los riesgos y los flujos de información de los negocios, esta distinción se hace parte del lenguaje de los negocios; no se habla de controles o estrategias de protección, sino de características requeridas por los dueños de los procesos, para asegurar el flujo de la información, como una realidad inherente al proceso e inmersa dentro del lenguaje natural de la operación. Vista así, la seguridad es una inversión que nace en las mismas necesidades del negocio y que los encargados de la seguridad deben hacer realidad y asegurar que se dé según se tiene previsto.



Finalmente, cuando nos enfrentamos a la realidad de una función de tecnología de información tercerizada, debemos saber que no tenemos un control evidente y concreto sobre los datos e información, que confiamos en el buen juicio y prácticas del tercero, aunque podemos contratar una evaluación externa e independiente que nos pueda dar un concepto sobre cómo opera y sus impactos. Cuando tenemos un contrato de operación con terceros, la seguridad de la información tendrá siempre dos costos y dos realidades: los costos anticipados propios de las acciones de tratamiento resultado del análisis de riesgo (la realidad de las probabilidades) y los costos de las fallas o incidentes y de la retención de los datos requeridos para efectos probatorios, que finalmente determinan la efectividad de la gestión de seguridad y control (la realidad de las posibilidades).
(GEER 2009)



Referencias utilizadas:

GEER, D. (2009) Economics & Strategies of Data Security. Verdasys Thougth Leadership Series.

domingo, 17 de enero de 2010

La seguridad de la información: Una estrategia de aprendizaje

Russell Ackoff y Daniel Greenberg en su libro “Turning learning right side up” publicado por Wharton School Publishing en 2008 hacen una serie de reflexiones alrededor de la educación tradicional que bien se pueden aplicar al desarrollo de la función de seguridad de la información en una organización.

1. La educación tradicional se concentra en la enseñanza y no en el aprendizaje.
2. El objetivo de la educación es el aprendizaje y no la enseñanza.
3. La inteligencia es la habilidad para aprender, no es una medida de cuánto has aprendido.

La función de seguridad de la información tradicional se concentra en la información y cómo esta deber ser protegida. Es decir, estudia los detalles de ésta y sus medios de difusión o almacenamiento para establecer las medidas tecnológicas (en su amplio sentido de la palabra y no solamente elementos computarizados) requeridas que permitan un acceso confiable y controlado. En este sentido, la seguridad hace énfasis en la forma como deben hacerse las cosas para obtener el comportamiento deseado y evitar sorpresas en el futuro que impacten el nivel de confianza del usuario en el acceso a los medios donde se encuentre registrada o almacenada la información.

En consecuencia con lo anterior, una función de seguridad de la información planteada de esta forma, trata de encontrar e impartir una manera de entender la protección de los activos de información orientada claramente por los controles conocidos y aplicados. En este sentido, las personas reconocerán la seguridad de la información como la atención a las medidas de restricción que le permiten conocer el nivel de confiabilidad del acceso y uso de los datos y su procesamiento, haciendo de éstas una rutina básica y propia que cada persona debe memorizar y aplicar.

Entender la función de seguridad de esta manera, es cerrarle la posibilidad a la organización para descubrir en su función de negocio, nuevas formas de construir confianza en el acceso y uso de la información; es negarle la posibilidad de reconocer nuevos valores y comportamientos que se pueden desarrollar para confirmar una estrategia de protección basada en las personas; es perder el potencial de acción y conocimiento de cada individuo en los procesos de negocio, para revelar las intenciones de los atacantes.

Si el objetivo de la educación es el aprendizaje, el de la seguridad son los riesgos y no los controles. Parece una herejía lo que se plantea en esta reflexión, pero no lo es; es realmente el resultado de comprender que la seguridad es una propiedad emergente de un sistema, que no imparte clases sobre cómo fluye y se asegura la información, sino más bien busca constantemente respuestas en los inesperados comportamientos que él mismo presenta, fruto de la interacción de éste y sus componentes.

Si no existieran los riesgos o pudiésemos tener situaciones sin riesgos, la seguridad sobraría, no sería elemento sensible a considerar. Pero como no existe tal condición y la constante es que estamos expuestos a los riesgos, se hace necesario aprender de la incertidumbre y de las “fallas de control” para comprender que en la sabiduría del error esta la fuente del aseguramiento permanente de la información de las empresas.

Si el secreto de la educación es el aprendizaje, entonces la inteligencia de la función de la seguridad estará en su capacidad de aprender de la dinámica de los flujos de la información en los negocios, comprender las condiciones inseguras a las cuales está expuesta la información, detallar y moderar las expectativas de los responsables de la información, con el fin de actuar como asociado y consultor interno, que permita acompañarlos en la valoración permanente del nivel de seguridad requerido; no para hacer invulnerable el tratamiento de la información, sino para encontrar nuevas formas para responder ante la inevitabilidad de la falla.

En este sentido, el encargado o responsable de la seguridad, en inglés el Chief Information Security Officer – CISO deberá entender su función como una estrategia de aprendizaje permanente y no de enseñanza, que le permita descubrir y afinar en la práctica que no se trata de transmitir, instruir, enseñar o usar la seguridad, sino más bien construir una comprensión conjunta, tangible y concreta de los riesgos de la información desde la dinámica del negocio que de manera natural sugiera sus estrategias de aseguramiento.