lunes, 14 de febrero de 2011

Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's


¿Quiénes son los arquitectos?

Frecuentemente se habla de arquitecturas, de arquitectos, elementos y personalidades que poco a poco han tomado forma en medio de diferente temáticas como tecnología de información, seguridad de la información, talento humano, liderazgo entre otros campos. Cuando revisamos la etimología de la palabra arquitectura, encontramos que proviene del griego αρχ (arch, cuyo significado es ‘jefe’, ‘quien tiene el mando’), y τεκτων (tekton, es decir, ‘constructor’ o ‘carpintero’), que de manera combinada podría leerse como “jefe constructor”, esa persona que orienta, dirige y mantiene el rumbo para asegurar que cada pieza sea la requerida y mantenga la vista general y articulada de todo cuanto se tiene.

El arquitecto es quien de manera sistemática y sistémica define y mantienen las relaciones entre los elementos, le da forma a la estructura y define su propio funcionamiento. Ser un arquitecto es encontrarle el sentido a cada unión de los componentes, entendiendo su función en el conjunto de su obra, una forma de conjugar diferentes vistas de los participantes e interesados para ser luz en medio de las “turbas” de los diferentes entendimientos. Ser un “maestro constructor”, es traducir la complejidad y la visión de un diseño, en la sencillez de una expresión, en la cotidianidad de una explicación y en la contundencia de una declaración.

Avanzar en el diseño de una arquitectura, es decir, de una forma de articular y entender una realidad, es sumar en la reconstrucción de una verdad vista por múltiples actores, planteando una serie de patrones y parámetros para hacer de la visión de la estructura final, una ruta concreta y desafiante que permite a cada uno de sus participantes, sentirse orgulloso de un logro colectivo. El arquitecto no puede permitirse “errores de interpretación” o la tentación de “tener la verdad”, pues corre el riesgo de encontrarse con su propio reflejo, que no es otra cosa que su limitado entendimiento del enfoque final del proyecto.

En este sentido, tener la responsabilidad de ser un arquitecto de tecnología de información, de seguridad de la información, de la estrategia corporativa de una organización, requiere ir más allá del entendimiento de su propia área de conocimiento y forzarse a cruzar sus dominios y descubrir aquellas relaciones que antes no había visto, encontrarse con la esencia misma de la incertidumbre, para trazar un camino evolutivo que lo lleve de una vista particular, a una colectiva y enriquecida con las reflexiones de otros.

Un arquitecto que se niegue a vivir la realidad de su misión: ser facilitador de una visión colectiva de un equipo, sabrá que será responsable por las consecuencias de las inconsistencias que se planteen en el desarrollo de sus planes, pues el que debiendo ser luz, se vuelve tiniebla, corrompe la sal que “da sabor” a la fuente de la perspectiva y limita el desarrollo del potencial de la comunidad, de la cual es mentor.

Así las cosas, los arquitectos, esos jefes de construcciones técnicas, deben ir en profundidad de sus propias limitaciones, para que haciéndolas evidentes en cada una de sus actuaciones, puedan ser ocasión para descubrirse a sí mismos. Por tanto, avanzar en el reconocimiento de principios básicos de arquitectura, es recabar en la historia reciente de la humanidad que desafiante de la obra divina, es capaz de vivir la humildad de su propio conocimiento.

Finalmente y sabiendo que todos somos responsables para lograr la “maestría del constructor”, es necesario reconocernos finitos y limitados, para encontrar el camino que nos lleva la “veritas”, esa promesa divina y búsqueda humana, que se esconde en cada uno de nuestros pensamientos, en cada disciplina científica, en cada esfuerzo humano y técnico que hace de cada día, la experiencia más exigente y desafiante que podemos experimentar: vivir en plenitud y sin límites.

Reflexiones para los arquitectos de seguridad de la información

En este sentido, un arquitecto de seguridad de la información y todo su conocimiento deberá servir de “tapete” para que sea mancillado y puesto a prueba por las “huestes” de la inseguridad de la información y así, aprender de cada paso de sus maestros, la exigencia del reto de encontrar sentido y valor para ver más allá de lo evidente y escribir “derecho” con las letras “torcidas”.

Todo aquel que en seguridad de la información acepte el reto de ser un arquitecto, deberá soltar la vista de la infraestructura tecnológica y sumergirse en el mar de las relaciones de los negocios, no para saber cómo alcanzar mayor reconocimiento corporativo, sino para descubrir en las esencia misma de cada estrategia corporativa, cómo apalancar la diferencia desequilibrante, en un mercado altamente competitivo y dinámico.

Los arquitectos de seguridad de la información deben encontrar en su organización, el mejor laboratorio conceptual y arquitectónico para poner a prueba su entendimiento de los negocios y las promesas de valor basadas en la confianza corporativa, con el fin de esbozar con mayores detalles las estructuras más adecuadas para anticiparse a los ataques propios de la inseguridad de la información replegada en la articulación de la tecnología, las personas y los procesos.

En consecuencia, avanzar en una vista empresarial de la arquitectura de seguridad de la información, es reconocer en las capacidades del negocio, fuerzas y mecanismos anticipatorios, que permitan proteger los flujos de información que alimentan la estrategia. Es buscar en la sabiduría de los incidentes de seguridad, el conocimiento requerido para blindar las respuestas de la organización frente a sus amenazas. Es comprender las expectativas de los interesados, como retos y sugerencias de transformación que hacen de las estrategias de seguridad de la información, un insumo real y evidente de cómo se logran las metas empresariales.

Cuando el gerente, director o ejecutivo de seguridad de la información, reconoce en la arquitectura empresarial, cómo se hace parte de la dinámica de la corporación misma, revela los disparadores escondidos del programa de seguridad de la información, amplía la visión del modelo de negocios y es consciente del impacto de sus decisiones frente a la protección de la información.

Si bien existen múltiples formas de aproximarse al diseño de una arquitectura de seguridad, cualquiera que se escoja deberá tener en cuenta al menos cuatro elementos fundamentales: la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos. Estos cuatro elementos, visto de manera sistémica, revelan las necesidades propias de una organización frente al reto de hacer de la información un activo valioso y de su protección, una práctica sistemática inmersa en cada elemento de ella.

Por tanto, los arquitectos de seguridad de la información deberán compartir y alinear la agenda interna de la alta gerencia, con la agenda interna del área de seguridad de la información, no para estar enterados de los retos y ajustes empresarial, sino para afinar y ajustar sus acciones frente a las amenazas empresariales del entorno y, cómo desde el entendimiento de los riesgos de la información, generar escenarios predictivos y preventivos que custodien la forma como la empresa genera valor para sus accionistas y empleados.

Para dar cumplimiento a esta promesa del arquitecto de seguridad, se deben considerar algunas declaraciones de diseño que no pueden ser negociables y menos hoy en un ambiente móvil, de sobrecarga de información y de servicios extendidos.

Las declaraciones sugeridas son:
• La inseguridad de la información en una propiedad inherente de un sistema, por tanto es deber de la arquitectura descubrirla y entenderla.
• La arquitectura de seguridad de la información deberá ser flexible y adaptable como la inseguridad de la información (Resilente).
• El arquitecto debe entender que la seguridad es una propiedad emergente de un sistema y por tanto, deberá generar la variedad requerida para enfrentar sus amenazas internas y del entorno.
• Cualquier diseño que se proponga para enfrentar la inseguridad de la información deberá privilegiar la autoregulación, la autoadaptación y el aprendizaje, como apalancadores de valor para la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos.

Si bien no será fácil materializar esta disciplina arquitectónica en los diseños actuales de seguridad de la información, será un reto tratar de hacerlos realidad en las nuevas iniciativas, que den paso a un entendimiento de la seguridad, más allá de un ejercicio de protección de información y aseguramiento del cumplimiento normativo, por otro donde los fundamentos de la seguridad sean parte de la construcción de modelos de negocio confiables y productivos y la información sea el eje fundamental de nuestra relación con los accionistas y grupos de interés.

Referencias
• WEIL, ROSS y ROBERTSON (2006) Enterprise Architecture as Strategy. Harvard Business School Press.
• KOVACICH, G. y HALIZBOZEK, E. (2006) Security metrics management. Butterworth Heinemann.
• SCHOU, C. y SHOEMAKER, D. (2007) Information assurance for the enterprise. A roadmap to information security. McGraw Hill.
• COHEN, F. (2005) Security Governance: Business Operations, Security Governance, Risk Management and Enterprise Security Architecture. ASP Press.
• CARALLI, R. (2004) Managing for enterprise security. Technical Note. CMU/SEI-2004-TN-046. Carnegie Mellon University.

1 comentario:

  1. Interesante Blog, como nos tiene acostumbrado el autor del mismo nos entrega sus pensamientos y definiciones en las cuales reflexionar. Considero que un gran reto y responsabilidad es que todos somos arquitectos de una u otra manera a diferentes niveles en nuestros procesos y actividades; por tal razón es necesario asumir esta responsabilidad teniendo en cuenta lo que nos menciona el autor: "Cualquier diseño que se proponga para enfrentar la inseguridad de la información deberá privilegiar la autoregulación, la autoadaptación y el aprendizaje...."

    ResponderEliminar