lunes, 17 de diciembre de 2012

Protegiendo el valor de la información: Reflexiones desde la inseguridad de la información



Introducción
Conforme evoluciona el mundo, los negocios y las necesidades de las personas, la información, ese valor fundamental de nuestra época, se vuelve cada vez más la savia de múltiples operaciones, acciones y reportes que permiten tanto a personas como a organizaciones establecer la forma como deben movilizarse en un entorno cada vez más dinámico, incierto y competitivo.

La lucha por el posicionamiento en los mercados, la búsqueda permanente de ventajas competitivas que desequilibren la competencia y la generación de ideas innovadoras, establecen el patrón que las empresas del siglo xxi deben atender frente al reto de permanecer en el tiempo y vigentes con la dinámica de cambio y transformación acelerada que estamos viviendo.

En este contexto, la inseguridad de la información, como patrón asimétrico de la protección de la información, establece una serie de connotaciones estratégicas y prácticas que descubren en las organizaciones, necesidades y retos que exigen una vista empresarial más homogénea y eficiente que permita, mantener un apetito al riesgo natural en los negocios y el balance de una cultura centrada en la protección de información. (GREENGARD 2012)

Como quiera que la inevitabilidad de la falla es la constante en el ejercicio de mantener la operación de las empresas y su materialización una fuente constante de aprendizaje, es decir de lecciones aprendidas y por aprender, se hace necesario comprender con mayor detalle que significa “generar valor” en el contexto del programa de seguridad de la información de una empresa, sabiendo que los incidentes de seguridad serán el atenuador de la ecuación base que se plantee y los hechos que comprometen la confianza de la alta gerencia con el ejecutivo de seguridad de la información.

El modelo de negocio de los ciber criminales
De acuerdo con FERRARA (2012) los atacantes tienen un plan de negocio inherente a la estrategia de sus ataques. Ellos establecen un objetivo específico de activos de información pues saben lo que significa para la persona o la empresa y cuentan con una demanda asegurada en el mercado de información relevante que ha sido robada. Este sentido de orientación de sus acciones, permite programar sus movimientos y desarrollar acciones de mediano y largo plazo que aseguran sus ingresos y reputación, generando un ciclo virtuoso que requiere una mínima inversión con un máximo rendimiento.

Habida cuenta de lo anterior podemos establecer que el modelo de negocio de los atacantes está articulado en el sentido y sensibilidad de éstos para identificar los activos valiosos de las empresas o personas, los cuales al exponerse a condiciones agrestes del entorno y hacer evidente las debilidades inherentes de sus planes de protección, genera inestabilidad e incertidumbre que, por lo general, escapa a los más exigentes análisis de riesgos, sorprendiendo tanto a los ejecutivos empresariales como a los responsables de la seguridad de la información.

Así las cosas, la “generación de valor” en el modelo de los ciber criminales se materializa de manera concreta dado que son capaces de alinear sus métodos y estrategias con las expectativas de sus clientes y las demandas del mercado. De igual forma, los efectos de sus acciones y resultados adquieren un valor en sí mismo dados los impactos revelados y declarados por los afectados, que hacen aún más relevante y deseada la información obtenida.

Finalmente y no menos importante, el presupuesto invertido para lograr los objetivos propios de sus acciones, responde no a una extrapolación de los que ocurrió el año inmediatamente anterior, sino a la valoración inherente de los activos objetivo de sus actuaciones, y la capacidad desarrollada para encontrar las asimetrías de la inseguridad de la información en el programa de protección propio de las empresas y la vigilancia permanente de los cambios en el entorno tecnológico que pueden ser explotados bien con técnicas previas ampliamente probadas o con modificaciones y actividades novedosas que generen efectos de borde no documentados.

Entendiendo  la clasificación de los activos de información
Toda la capacidad de variación y creatividad que los atacantes desarrollan en el ejercicio de su modelo de negocio, debe ser el insumo mismo para la formulación de las estrategias de protección de la información. Esa extraña habilidad de analizar y comprender el valor de los activos de los ciber criminales, debe movilizar tanto al dueño de la información como al responsable de la seguridad de la información para conocer en profundidad lo que significa en sí mismo el “valor” de la información.

Revisando lo señalado por WEIL y ROSS (2009, pág.59) se establece una categorización de activos de tecnología de información que son valorados según su nivel de riesgo, es decir, no por su nivel de exposición, sino por los impactos que se pueden tener si se compromete o materializa un evento no deseado en ellos. Siguiendo esta misma propuesta, se plantea una clasificación de activos de información empresariales que fiel al foco e impacto frente a la inevitabilidad de la falla, sugiere acciones de aseguramiento y monitorización para advertir vectores de ataque a los cuales éstos pueden ser susceptible.


Activo de información
Foco
Riesgo
Impacto
Estratégico
Ventaja competitiva
Pérdida y/o fuga de información
Pérdida de mercados emergentes y nuevos negocios
Reporte
Soporte de cumplimiento
Pérdida de 
confiabilidad
Sanciones o multas y pérdida de reputación
Registro
Análisis de información
Pérdida de 
integridad
Escenarios inciertos de operación
Transaccional
Automatización de procesos
Pérdida de 
disponibilidad
Incapacidad para medir la efectividad de la operación

Tabla No.1 Activos de información empresariales (Adaptado de WEIL y ROSS. 2009, pág59)

De acuerdo con lo anterior, las acciones de aseguramiento de la información previstas según lo indicado en la tabla No.1, irán en prioridad de lo transaccional (con la menor prioridad) a lo estratégico (con la mayor prioridad). En consecuencia, los focos de inversión en seguridad de la información y análisis no lineal de los flujos de información buscarán asegurar el cierre de las brechas básicas de disponibilidad e integridad, para proteger de manera creativa la confiabilidad y la confidencialidad de la información, sabiendo que los mayores riesgos fundados en la vista estratégica, pueden comprometer las capacidades necesarias y suficientes de la empresa para crear sus ventajas competitivas.

El valor de la información
Los analistas de Forrester determinan el valor de la información como la ecuación que establece  “un porcentaje (hasta 100%) de los ingresos actuales y futuros que produce la información menos el costo directo e indirecto necesario para producir, manejar y proteger la misma”.

Esto es, primero categorice los activos de información por unidad de negocio, entendiendo como éstos soportan la generación de ingresos, las ventajas competitivas y los planes de negocio de la empresa, detallando los puntos donde se producen, manejan y reciben, para comprender la sensibilidad e impacto de éstos frente la materialización de una falla de seguridad de la información.

Seguidamente, cuantifique los ingresos que los activos de información producen, es decir, estudie los planes de negocio de la empresa para sus productos y servicios, así como los procesos donde se manejan los activos analizados, de tal forma que se puedan revelar y analizar los esfuerzos realizados (controles y prácticas de seguridad de la información) frente a los ingresos que producen éstos y sus resultados. Esto permite focalizar las energías en aquellos lugares donde se generan los ingresos más importantes en la organización, protegiendo su valor, en el ejercicio de la operación del modelo de negocio.

Finalmente, cuantifique las implicaciones de riesgo y cumplimiento para aquellos activos de información que no relacionados con la generación ingresos. Las acciones en este punto identifican aquellos activos de información regulados, que si bien no están directamente relacionados con los ingresos de la empresa, si son requeridos para participar de negocios importantes en mercados altamente competidos, los cuales exigen condiciones mínimas propias de un selecto grupo de corporaciones, cuyos grupos de interés demandan y exigen ambientes de control conocidos y verificaciones detalladas para darle tranquilidad a los inversionistas.

Un ejercicio sencillo de aplicación del concepto está asociado con la sensibilidad de los procesos de innovación y gestión del conocimiento empresarial, donde la aplicación de los mismos genera los mayores ingresos para la empresa. En este proceso, la seguridad de la información deberá balancear la necesidad de compartir los resultados del proceso con la demanda de controles claves que protejan la confidencialidad de la información.

En este contexto, si bien el activo de información identificado no está regulado, si requiere la mayor atención dada su categoría estratégica frente a las metas y generación de valor de la empresa con sus grupos de interés. En razón de lo anterior, los focos de inversión y aseguramiento tanto en comportamientos, tratamiento de riesgos como de herramientas tecnológicas tendrán una orientación clara, que no sólo va limitar la materialización de un incidente, sino que va a desarrollar un modelo de protección basado en el desaprender de la dinámica del entorno, para ver nuevos patrones de la inseguridad alrededor del mismo.

Reflexiones finales
Considerando los cambios y mutaciones de los adversarios y los diferentes y dinámicos escenarios de análisis, las vulnerabilidades estarán siempre en el orden del día de cualquier responsable por la seguridad de la información. Mientras en el pasado la publicación de los ataques y sus resultados era razón para generar controversia, cada vez se vuelve más común publicar los mismos, como un ejercicio responsabilidad empresarial que habla de la seriedad de la empresa frente a sus grupos de interés y como una forma de aprender y desaprender que permite tanto a desarrolladores como proveedores avanzar en la madurez de sus productos y servicios. (BASIN y SRDJAN 2012, LEMOS 2012)

Como quiera que los ejercicios de concientización e interiorización son claves como medidas que apalancan prácticas y comportamientos frente al tratamiento adecuado de la información, el conjunto de acciones y actividades que se desarrollan frente a la inevitabilidad de la falla, demandan un entendimiento de los esquemas que los atacantes establecen frente al objetivo final de comprometer alguno de los principios básicos de la seguridad de la información.

Así las cosas, comprender el modelo de generación de valor de los atacantes y capitalizar su olfato para identificar los activos de información de mayor relevancia, nos debe ofrecer un marco de análisis para establecer el valor del programa de seguridad de la información, que no deberá estará articulado necesariamente desde la vista de riesgos y controles, sino desde las lecciones aprendidas, la identificación y valoración de los activos de información y, el cumplimiento de las expectativas tanto de los dueños, como de los usuarios y custodios de la misma.

Si lo anterior es cierto, un programa de seguridad de la información estará en las prioridades ejecutivas cuando sea capaz de sintonizarse con los procesos que generan los ingresos de la empresa, potenciando las capacidades corporativas para operar en ambientes agrestes y desconocidos, aprendiendo de su entorno, anticipando los riesgos, haciendo de la inseguridad de la información la base del caso de negocio que revela la inmaterialidad de un activo aún desconocido en las organizaciones: la información.

Referencias
LEMOS, R. (2012) U.S. Creates System To Look For "Future Crimes" http://www.darkreading.com/security-monitoring/167901086/security/news/240144496/u-s-creates-system-to-look-for-future-crimes.html (Consultado: 16-12-2012)
BASIN, D. y SRDJAN, C. (2012) The research value of publishing attacks. Communications of the ACM. Vol.55. No.11. November.
GREENGARD, S. (2012) On the digital trail. Communications of the ACM. Vol.55. No.11. November.
FERRARA, E. (2012) Determine the business value of an effective security program. Information security economics 101. Forrester Research. October. 
WEIL, P. y ROSS, J. (2009) IT Savvy. What top executives must know to go from pain to gain. Harvard Business Press.