domingo, 3 de octubre de 2010

El debido cuidado en seguridad de la información. Un ejercicio de virtudes para la función de seguridad de la información

Siguiendo los elementos conceptuales y formales establecidos en la tesis de maestría en Derecho de ETSEBETH (2009) detallar un estándar de debido cuidado para el gobierno de la seguridad de la información en una organización debe pasar al menos por los siguientes elementos:

* La obligación legal de las organizaciones de proteger la información
* Las responsabilidades frente a la materialización de las fallas de seguridad de la información
* El desarrollo efectivo de un programa de seguridad de la información
* Un modelo de seguimiento y control de la efectividad del gobierno de la seguridad de la información

Obligación legal de proteger a la información
La obligación legal de las organizaciones de proteger la información no solamente se encuentra articulada por las normatividades nacionales e internacionales que obligan a las empresas para establecer medidas de salvaguarda de la misma, sino en el entendimiento y aseguramiento de: (ETSEBETH 2009, Sección Resumen Ejecutivo)

* La forma en la cual la información es creada, procesada, almacenada, transmitida, usada y comunicada.
* ¿Quién tiene acceso a la información?
* ¿Qué pueden hacer las personas con la información?
* ¿Cuánto tiempo éstas tendrán acceso?
* ¿Quién tiene la autoridad para cambiar el acceso y cómo?

Responsabilidades frente a las fallas de seguridad de la información
Teniendo claras las respuestas y acciones requeridas para enfrentar la obligación legal, se hace necesario revisar y comprender las responsabilidades que se tienen cuando la inseguridad de la información se materializa en el contexto organizacional. Las responsabilidades se articulan a nivel corporativo en diferentes niveles frente a los diferentes grupos de interés.

En este sentido, el primer responsable frente a la materialización de una falla de seguridad es la alta gerencia, quien al declarar a la información como un activo a proteger es el primer patrocinador del aseguramiento de la misma en los diferentes frentes de la organización. Si bien dicha responsabilidad, se materializa en el responsable corporativo de la seguridad de la información, es deber de los cuerpos de gobierno corporativo, establecer las respuestas concretas y efectivas para los interesados (mayoritarios y moniritarios) sobre lo ocurrido, sus impactos y las posibles disminuciones de valor que han tenido sus intereses en la empresa.

En un segundo nivel, se encuentra el director o responsable empresarial de la seguridad de la información o en inglés Chief Information Security Officer, quien deberá rendir cuentas de la efectividad del programa de seguridad de la información, la administración de los riesgos de seguridad y la efectividad de las medidas de seguridad tecnológicas que se tienen implantadas. Este reporte, deberá estar articulado con las promesas de valor que la organización tiene para sus grupos de interés de tal manera que se haga evidente como la inversión en la protección de los activos de información, se hace concreta en el nivel de confianza esperado por la organización y el nivel de riesgo aceptado por ésta frente a las amenazas identificados.

En un tercer nivel, se encuentran los analistas de seguridad de la información, especialistas en riesgos y controles de seguridad, así como los profesionales de seguridad informática que aseguran la infraestructura tecnológica: administradores de red, de servidores, de firewalls, antivirus, entre otros, que deberán rendir cuentas sobre las medidas de mitigación y control frente a las amenazas identificadas, así como el conocimiento del nivel de riesgo propio de cada uno de los mecanismo de protección. Este reporte, debe mostrar el seguimiento y alineación de acciones frente al programa de seguridad que tiene la empresa y cómo las fallas de seguridad deben ser atendidas en el modelo de atención de incidentes, con el fin de comprender mejor a la efectividad de las medidas tecnológicas implementadas y su permanente actualización frente a la dinámica del entorno empresarial y de la inseguridad de la información.

Diseño y desarrollo el programa de seguridad de la información
Como se puede ver, las responsabilidades frente a las falla de seguridad, exigen del responsable de la seguridad de la información, el diseño y desarrollo de un programa de seguridad de la información efectivo, entendiendo este como un conjunto de estrategias y actividades que articulen los mecanismos de integración organizacional, las estructuras de coordinación y las competencias técnicas requeridas que muestren claramente la integración de la seguridad con la estrategia empresarial (CANO 2010).

En este contexto, la implementación del programa de seguridad debe informar y comunicar a la alta gerencia sus alcances, retos y riesgos, con el fin de advertir con claridad y precisión qué hace parte de las acciones para mitigar las posibles fallas de seguridad y cuáles los riesgos residuales que acepta la empresa frente a las amenazas identificadas en los flujos de información en sus procesos de negocio.

Seguidamente, incorporar dentro del hacer natural de las actividades de negocio, el análisis de los riesgos de seguridad de la información, como parte inherente del actuar de las personas en sus actividades diarias. Esto es, reconocer que la información no es algo que está en los procesos, sino que es parte del negocio, pues basado en las prácticas de aseguramiento y protección, es que podemos comprender la efectividad y valor de la misma cuando el negocio mismo genera valor para los grupos de interés.

Roles y responsabilidades frente al tratamiento de la información
Fruto de lo anterior, se presenta de manera natural los roles y responsabilidades que los participantes de los procesos tienen frente a la información. Los dueños o propietarios de la información, como aquellos que crean la información y establecen las condiciones de uso y custodia del mismo, dado que reconocen y entienden sus riesgos, en el contexto de los flujos de información del proceso en el que participan.

Seguidamente, se establecen los usuarios, quienes atendiendo las condiciones y característica de uso establecidas por sus propietarios, sacan el mejor provecho de la misma en un ambiente controlado, sabiendo que cualquier uso no autorizado, promueve la materialización de un incidente de seguridad de la información con impacto corporativo importante.

Finalmente, se tienen los custodios, quienes observando las características establecidas por los propietarios y las necesidades de uso de los usuarios, definen los medios y mecanismos para mantener la disponibilidad de la información y la trazabilidad de los accesos requeridos, asegurando en tiempo, medio y formato que la organización minimizará los riesgo asociados con obsolescencia tecnológica, compatibilidad de formatos de datos e integridad de los medios de almacenamiento.

Seguimiento y control del gobierno de la seguridad de la información
Necesariamente lo anterior, debe responder no solamente a una apropiación de recursos técnicos, financieros y talentos humanos, sino toda una estrategia de concientización e interiorización de la distinción de seguridad, que apalancada desde la distinción de riesgos, es capaz de cuestionar el colectivo organizacional de supuestos frente a la protección de la información, para construir una nueva forma de comprender y valorar la información desde la esfera personal, hacia la realidad corporativa.

Como toda iniciativa, el programa de seguridad de la información, deberá mantener un seguimiento y mantenimiento por parte de la función de seguridad y su cuerpo directivo, de tal manera que asegure que el nivel de riesgo aceptado se mantiene o disminuye. Esto significa, que el reporte de avance del programa no se medirá exclusivamente en la materialización o no de incidentes de seguridad de la información, que se tengan en la organización, sino en los niveles de prevención y ahorro que situaciones infortunadas que se pudieron materializar y no se dieron.

Medir la efectividad de la seguridad la información es un reto permanente de los ejecutivos de la seguridad de la información, que lo que busca en últimas es “contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas (…)” (CANO 2010b)

Reflexiones finales
En consecuencia, para hacer realidad la propuesta planteada para materializar el debido cuidado en seguridad de la información se hace necesaria una evolución acelerada de la función de seguridad hacia los temas de gobierno, riesgo y cumplimiento, que le permita estar en la agenda los miembros de la junta directiva a través de un comité ejecutivo de primer nivel, donde se rindan cuentas de la evolución del programa de seguridad, apalancado en los riesgos estratégicos de negocio y las regulaciones y acciones legales que implican la materialización de una falla de seguridad. (ETSEBETH 2009, capítulo 8)

Por tanto, la próxima vez que sea interrogado sobre el debido cuidado en seguridad de la información, recuerde éste es un ejercicio equivalente al desarrollo de virtudes humanas, donde cada persona da lo mejor de sí para alcanzar el justo medio, aún cuando en el camino sea tentado y sorprendido por situaciones inesperadas que ponen a prueba su propio entrenamiento y experiencia frente al siempre nuevo y dinámico arte de la inseguridad de la información.

Referencias
ETSEBETH, V. (2009) Legal implications of information security governance. Master of Law Thesis. Unpublished Document. Law Faculty. University of Johannesburg. Disponible en: http://ujdigispace.uj.ac.za:8080/dspace/handle/10210/1837. (Consultado: 3-10-2010)
CANO, J. (2010) Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad. Disponible en: http://insecurityit.blogspot.com/2010/09/integrando-la-seguridad-de-la.html (Consultado: 3-10-2010)
CANO, J. (2010b) Métricas en seguridad de la información. Un reto permanente. Disponible en: http://insecurityit.blogspot.com/2010/07/metricas-en-seguridad-de-la-informacion.html (Consultado: 3-10-2010)