domingo, 31 de enero de 2010

Inseguridad Tercerizada: Un reto de confianza, acuerdos y riesgos

Es claro que un mundo global, dominado por sistemas informáticos y acuerdos “on click”, las estrategias de tercerización para el área de tecnología de información se han convertido en una opción estratégica y financieramente atractiva, que permite ofrecer servicios altamente competitivos a costos aceptables impactando de manera positiva la ecuación de costos de las organizaciones en este nuevo milenio.


En este sentido, si bien esta realidad balancea de manera contundente las inversiones de las áreas de tecnología, también es claro que surgen nuevos interrogantes que continúan en la agenda de los ejecutivos de tecnología como son:

· ¿Será que los datos e información que compartimos con el prestador del servicio están tan asegurados como si los tuviésemos locamente en nuestras instalaciones?

· ¿Cómo obtengo un servicio tan bueno como el que podría ofrecer en mis instalaciones, sin perder el control de los datos e información?

· ¿Qué debemos entender y aplicar frente a las regulaciones de cumplimiento en TI, ahora en un contexto de tercerización?

Si revisamos estas tres preguntas críticas alrededor del tema de tercerización, todas ellas nos hablan de la seguridad de los datos y la información, de la forma como ellos se deben comportar y de cómo debemos asegurar las evidencias de un adecuado control de éstos.



Cuando compartimos información y datos con un tercero
, surge la necesidad de establecer una serie de protocolos de intercambio y acuerdos sobre el manejo de aquellos. Para ello, se requiere no sólo conocer las bondades y buenas prácticas del tercero, sino adelantar una serie de cláusulas contractuales que obliguen al tercero a tener un conjunto de acciones que adviertan al contratista que la información y los datos de la empresa exigen un tratamiento especial, y que cualquier falla en el cumplimiento de los controles de seguridad previstos, implicará un perjuicio cuantificable y evidente que tendrá que resarcir frente a las regulaciones previstas en el país donde se encuentre y el acuerdo de voluntades firmado por las partes.



De otra parte, cuando ofrecemos servicios a través de terceros, los datos y la información implícitamente quedan bajo el control del contratista, debiendo la empresa contratante establecer estrategias que permitan verificar el “adecuado uso de la información y los datos” frente a las condiciones de sus clientes en el manejo de éstos. En este sentido, deberá adelantar el aseguramiento de sus funciones internas para evitar la ambigüedad inherente al ser un tercero de confianza en la administración y uso de los datos e información de una empresa: gobierno de los datos Vs. Usos de la información. Mientras a un tercero es posible delegarle la custodia de los datos en sí mismos, se hace necesario revisar en el contratante, hasta donde será la información parte de los activos entregados en dicha custodia.



Los escenarios anteriormente comentados, nos sitúan en una realidad emergente que es cómo comprender las regulaciones y normas de cumplimiento en tecnologías de información en una realidad donde un tercero hace parte de la custodia y operación de la infraestructura de tecnología, los datos e información de una empresa. Algunos manifiestan que todo esto se resuelve desde la perspectiva enunciada por temas contractuales, mientras otros dicen que no es suficiente y se hace necesario otro tipo de estrategias.



En este sentido, el cumplimiento exigido para el área de tecnología de información de una empresa, soportada en un contrato de tercerización con un contratista externo, se debe basar en la relación de confianza de las partes, en quién controla qué y cómo, y cuáles son las evaluaciones que son realizadas por terceros independientes sobre la conveniencia de los procesos y procedimientos que éste tiene que soporten la confianza entregada por el contratante.



Es claro, que al entregar tanto la información como los datos e información a un tercero con infraestructura y dinámica propia es prácticamente imposible asegurar un cumplimiento estricto de las prácticas de seguridad y control, hecho derivado de que no es posible ver de manera cercana y real la operación misma del contratista en sus instalaciones. Por tanto, el cumplimiento o normatividad exigida para el área de TI que tiene parte de sus servicios con terceros, será más probabilístico que determinístico.



Así las cosas y considerando las implicaciones de los costos previamente revisadas en esta nota, la seguridad de los datos e información en el contexto de una función de tecnología de información con terceros, se puede ver, como anota el Dr. Geer, bien como un impuesto o como una inversión.



Si se hace necesario tener múltiples niveles de protección, que por demás disminuyen la facilidad de la operación y no permiten un manejo fluido de los procesos de negocio, la seguridad será un impuesto, que claramente será objeto del balance de costos de la empresa, perdiendo la esencia misma del control y manejo de los riesgos de la empresa, que más tarde podría impactar la imagen de la compañía. En consecuencia, la lección aprendida en este escenario nos dice que la seguridad de la información no debe generar nuevos impuestos que impacten la dinámica empresarial, sino ofrecer una manera para que el negocio opere de manera confiable.



De otro lado, cuando la reflexión de la seguridad de la información se desarrolla en el terreno de los riesgos y los flujos de información de los negocios, esta distinción se hace parte del lenguaje de los negocios; no se habla de controles o estrategias de protección, sino de características requeridas por los dueños de los procesos, para asegurar el flujo de la información, como una realidad inherente al proceso e inmersa dentro del lenguaje natural de la operación. Vista así, la seguridad es una inversión que nace en las mismas necesidades del negocio y que los encargados de la seguridad deben hacer realidad y asegurar que se dé según se tiene previsto.



Finalmente, cuando nos enfrentamos a la realidad de una función de tecnología de información tercerizada, debemos saber que no tenemos un control evidente y concreto sobre los datos e información, que confiamos en el buen juicio y prácticas del tercero, aunque podemos contratar una evaluación externa e independiente que nos pueda dar un concepto sobre cómo opera y sus impactos. Cuando tenemos un contrato de operación con terceros, la seguridad de la información tendrá siempre dos costos y dos realidades: los costos anticipados propios de las acciones de tratamiento resultado del análisis de riesgo (la realidad de las probabilidades) y los costos de las fallas o incidentes y de la retención de los datos requeridos para efectos probatorios, que finalmente determinan la efectividad de la gestión de seguridad y control (la realidad de las posibilidades).
(GEER 2009)



Referencias utilizadas:

GEER, D. (2009) Economics & Strategies of Data Security. Verdasys Thougth Leadership Series.

No hay comentarios:

Publicar un comentario