domingo, 18 de abril de 2010

Signos y señales de la Inseguridad de la información: Pérdida y/o fuga de la información

Dice el Padre linero en su libro “Orando y Viviendo para pensar en la Cotidianidad” que DIOS habla a través de signos y que DIOS da señales de su voluntad. Los signos son demostraciones concretas que hacen evidente la manifestación de una realidad, mientras las señales son elementos que nos indican algo, te muestran un camino, te sugieren una posibilidad.

Las señales en sí mismas, no son DIOS, sino elementos que deben ser revisados en el contexto de lo que ocurre, para revelar aspectos del camino que se sigue en el contexto de la vida. Por lo tanto, pueden seguirte muchas señales particulares que pueden ser ignoradas o analizadas, y es tu deber dedicarte a revisarlas o ignorarlas según tu cosmovisión del mundo y acercamiento a tu Creador.

Considerando lo anterior como inspiración base para nuestras reflexión ante la pérdida y/o fuga de la información, se hace necesario monitorear y revisar de manera permanente los signos reportados de las fallas de seguridad, los comportamientos inadecuados con el uso de la información y las diferentes tendencias que la industria revela frente a las vulnerabilidades que se presentan con frecuencia tanto en procesos organizacionales como en las tecnologías de información disponibles.

Cuando las organizaciones no se encuentran atentas a los “signos de los tiempos”, las sorpresas se hacen evidentes, los riesgos se materializan y los pronósticos se comprometen. En este sentido, las empresas deben “sensar” y responder a su entorno, de tal manera que capitalicen los referentes que marcan las “señales del camino” con relación a la información, como esa nueva moneda que circula de manera restringida o libre, según se establezca por sus dueños o propietarios.

Así las cosas, este documento presenta una revisión básica sobre la fuga y/o pérdida de la información, la cual busca la restitución de la importancia de la clasificación de la información, no como una actividad del proceso de aseguramiento de la información, sino como una competencia básica que le dé la relevancia a la información como activo real y concreto de las personas y las empresas del siglo XXI.

Somos las personas, los primeros y más importantes custodios de la información y como tal, debemos advertir una serie de buenas prácticas que nos permitan mantener ésta asegurada según se requiera.

Para que esto sea real, la clasificación de la información, es una actividad y a la vez una competencia que cada uno de nosotros debe desarrollar. La información clasificada define el nivel de importancia y protección que una persona debe darle a la misma, lo que en sí mismo, delinea aquello que no deberá circular y lo que deber fluir de manera restringida.

Frente a esta práctica y competencia nuestra en esta sociedad de la información y el conocimiento, existen signos concretos que muestran su necesidad. En el reciente informe elaborado por Forrester por encargo de RSA y Microsoft, liberado en marzo de 2010, denominado The value of corporate data, se advierte que el 57% de las fugas de información de las empresas están asociados con accidentes de los empleados como son: pérdida del teléfono móvil (smartphones), pérdida de computador portátil con información sensible de la empresa y publicación o envío de información sensible de la empresa a través de medios masivos de información o vía correo electrónico respectivamente.

Así las cosas, cuando no se cuenta con una adecuada clasificación de la información que articule la práctica misma con las tecnologías disponibles, las fallas o accidentes que se presenten generarán mayores activos tóxicos, como los menciona el informe de Forrester, en términos de titulares de prensa, multas, sanciones legales y quejas de los clientes, que generan pérdida de valor de la empresa y daños importantes en la imagen y competitividad de la empresa en su entorno de negocio.

Considerando lo anterior, la clasificación de la información o mejor de activos de información, se vuelve una práctica requerida y general para cualquier organización, como la base para adelantar las actividades requeridas en sus relaciones de negocio. No tener asegurada esta práctica, expone a la organización a una pérdida de posicionamiento global e importantes impactos económicos, que debilitan, no solo los informes de pérdidas y ganancias, sino también la moral interna de la organización, pues cada persona recibe un mensaje encontrado que no sabe cómo interpretar frente a una de las actividades centrales de la compañía: generar valor con la información.

Esta realidad de la clasificación de la información, asociada con los elementos de cumplimiento normativo se enfrentan a las necesidades de agilidad de los procesos de negocio y la información secreta, donde reside el 70% de la información clave de las empresas para su posicionamiento local y global, según anota el reporte de Forrester. Para tratar de encontrar un balance entre estas necesidades y realidades organizacionales el informe The Value of Corporate Data establece los siguientes elementos para revisar:

1. Identifique los más importantes activos de información en su portafolio de negocio. Esto es clasifique la información secreta y restringida de la firma que le permita tener por área de negocio aquellos datos que no deben circular y deben ser custodiados por responsables específicos con medidas de control concretas; y los flujos de información de los procesos críticos de negocio, con aquella información que sólo le interesa a dicho proceso y que requieren medidas de control adecuadas para evitar su filtración, fuga o pérdida. En este último escenario, estos activos de información se volverán tóxicos en la medida que el proceso de gestión de incidentes no se encuentre probado o sea ejecutado de manera improvisada.

2. Funde el registro de riesgos de seguridad de los datos. Esto es, divida los registros de dos formas: los registros asociados con el cumplimiento normativo y el mal uso de la información secreta. Sabrá que mientras más riesgos materializados por incumplimiento normativo, mayores posibilidades de un mal uso de la información secreta se puede advertir. Así mismo, al materializarse un uso no adecuado de la información secreta, analice en el contexto del área y los individuos que tienen acceso a esta información, para documentar las lecciones aprendidas y fortalecer los esquemas de segregación de funciones y control de acceso requeridos para este tipo de información.

3. Balancee el programa de seguridad de la información frente a las exigencias de cumplimiento y protección de la información secreta de la empresa. Esto implica comprender las necesidades y expectativas de la gerencia frente al manejo de la información y la “toxicidad” de sus activos, de tal forma que los responsables de la seguridad de la información, puedan avanzar en el fortalecimiento de la cultura de protección de los activos de información, desarrollo de métricas de efectividad del programa de seguridad y generación de confianza en la gestión de la información de la empresas tanto a su interior como con sus asociados y clientes.

Cuando observamos los análisis detallados en este documento, advertimos que se vienen dando signos evidentes que nos sugieren cambios estructurales en la manera como estamos manejando la información tanto a nivel personal como corporativo, lo que exige de los ejecutivos de riesgos empresariales y de seguridad de la información, alinear esfuerzos para incorporar en el desarrollo mismos del diseño de los procesos, las medidas de aseguramiento requeridas para disminuir la fuga y/o pérdida de la información.

Por otro lado, en diferentes industrias se presentan señales que sugieren comportamientos generalizados que materializan riesgos que afectan activos de información claves para las empresas, los cuales muchas veces no son vistos con la relevancia requerida por los altos niveles ejecutivos de las organizaciones, que pueden llevar a caminos peligrosos para la salud financiera y pérdida de imagen en su sector de negocio, afectando su posición y competitividad en el mediano y largo plazo.

En consecuencia, si bien esta reflexión no pretende ser una señal más sobre los signos evidentes que a diario se presentan sobre la inseguridad de la información, quiere proponer algunos elementos de análisis que nos cuestionen sobre lo que a diario ocurre en nuestras organizaciones y no detenernos en nuestro proceso de aseguramiento permanente de los flujos de información en los procesos.

Seguir en la ruta del crecimiento y competitividad organizacional, ignorando las señales del camino propias de la clasificación de la información, las prácticas de gestión segura de la información y el afinamiento de las tecnologías de seguridad requeridas para ello, es asegurar una constante acción reactiva y costosa de las organizaciones, que no se han detenido a pensar la importancia de ese activo real y concreto, cuya fuga o pérdida es el enemigo invisible de su crecimiento, de su posicionamiento.

Cuando la información organizacional, adquiere el status y relevancia en los niveles de decisión de las organizaciones, se abre una alianza real entre la administración de riesgos empresariales y los de seguridad de la información, que requiere de la mediación de los responsables de de la seguridad de la información para poder comprender en el contexto de cada uno de los proceso de negocio, las implicaciones de una fuga y/o pérdida de información empresarial.

Por tanto, no estemos esperando hablar directamente con la alta gerencia para comprender el valor de la información, sino que en cada una de tus acciones y actividades tanto personales como de negocio, sepas interpretar las señales y advertir los signos de la inseguridad, para así poder proceder en consecuencia y conquistar nuestros propios temores.

Referencias
FORRESTER (2010) The value of Corporate Secrets. How Compliance And Collaboration Affect Enterprise Perceptions Of Risk. March. Disponible en: http://www.rsa.com/document.aspx?id=10844 (Consultado: 18-04-2010)
NIST (2010) Guide to protecting the confidentiality of Personally Identifiable Information. April. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf (Consultado: 18-04-2010)
LINERO, A. (2007) Orando y Viviendo para pensar en la cotidianidad. Corporación Centro Carismático Minuto de DIOS.
DATALOSSDB (2010) Tipos de brechas de seguridad. Disponible en: http://datalossdb.org/statistics (Consultado: 18-04-2010)