domingo, 9 de octubre de 2011

ISACA Latin CACS 2011 - Una experiencia para desafiar una región

Introducción

Se comenta en los medios informativos y por los analistas económicos internacionales que Latinoamérica es y será un destino natural para los capitales y oportunidades de los grandes inversionistas del mundo. Los temas de minería, explotación de hidrocarburos, biodiversidad y nuevos capitales humanos calificados, hacen de las Américas un lugar privilegiado para desarrollar nuevas iniciativas en el contexto de los negocios emergentes basados en servicios financieros, telecomunicaciones, servicios de consultoría, investigación y desarrollo, entre otros.

En este contexto, poder asistir a uno de los eventos latinoamericanos más importantes en temas de auditoría, seguridad y control en sistemas de información, es una forma de comprender la dinámica de una región que atenta a los cambios globales y sus crisis, es capaz de mantener el paso firme frente a los retos de cumplimiento, aseguramiento y gobierno corporativo que su contexto le demanda.

Durante los días 3 al 5 de octubre de 2011, Puerto Rico fue sede de presentaciones y talleres que se desarrollaron en el contexto del LatinCACS que anualmente programa ISACA para todos los interesados de la región que quieren comprender mejor los retos que la dinámica empresarial demanda frente a las tecnologías de información y comunicaciones.

La jornada académica estuvo animada por temas relevantes para las empresas de la región como son la “gestión del valor de TI”, la seguridad en los sistemas SCADA, la computación en la nube, la ciberseguridad y la ciberdefensa y los temas de privacidad de los empleados. Cada de uno de estas temáticas, desarrolladas por destacados profesionales de la región revelan la necesidad de avanzar con celeridad en cada uno ellas, como factores direccionadores del desarrollo de las empresas y naciones hacia mejores y mayores estándares de productividad y rentabilidad corporativas.

Gestión del valor

Cuando se habla de la gestión del valor de TI, es importante aclarar que podemos invocar los conceptos de ISACA en su modelo de VAL IT, así como otros relevantes en otras disciplinas administrativas que van a contribuir a un mejor entendimiento de este reto de las organizaciones actuales. Es claro, que la alta gerencia de las empresas reconoce en TI un elemento clave dentro de su gestión, pero que aún no desarrolla su potencial para elevar sus conversaciones a nivel de las juntas directivas.

En este contexto las conferencias desarrolladas en el evento, plantearon entre otras tesis, un concepto de valor como la relación existente entre la satisfacción de las expectativas de las partes interesadas y los recursos utilizados para ello. Esta definición, establece el reconocimiento de las esperanzas o deseos de la alta gerencia sobre el negocio, para a la luz de los riesgos de servicios, proyectos e innovación, la empresa cuente con un factor diferenciador que le permita apalancar su modelo de generación de valor.

De igual forma, cuando de construir, desarrollar, comunicar y proteger el valor, la tecnología cuenta con un factor fundamental, que si bien parece desalineado con la estrategia de negocio, encuentra en ella la fuente misma de las ideas que le permita evolucionar de ser un proveedor de servicios a un aliado de negocio. Esta última frase, que frecuentemente se escucha en los eventos internacionales, es el gran desafío de los gerentes o vicepresidentes de tecnología: poder educar a la gerencia en cómo la tecnología genera diferencia, más que cómo ésta es capaz de generar mayores ahorros.

De la mano con lo anterior, otro renombrado profesional en gobierno de TI, profundizó lo ya planteado en el contexto de la competitividad de los países, particularmente los latinoamericanos. Para este especialista, la competitividad la define “el que menos pierde en el contexto de un mercado” o dicho de otra forma “aquella empresa que genera resultados arriba del promedio de manera sostenida”. En el escenario actual de incertidumbres y desbalances macroeconómicos mundiales, la tecnología de información funge como un habilitador de alianzas y encuentros entre diferentes empresas, con el fin de marcar la diferencia ya no sólo individual, sino colectiva en el contexto de las realidades internacionales.

La tecnología de información y comunicaciones como fuente de creatividad y coordinación de iniciativas empresariales debe responder rápidamente a los cambios, so pena de convertirse en el mediano o largo plazo en un “commodity” perfectamente copiable y sustituible, dado su fuerte influencia y uso para fortalecer elementos como velocidad, calidad y costos que benefician la operación de las corporaciones. Así las cosas, la tecnología de información, como quiera que ésta debe ser funcional y operacional frente a los retos del día a día de las empresas, también se hace necesario repensar sus aproximaciones conceptuales y lenguajes corporativos, para que asegurando la disponibilidad de la infraestructura, pueda proteger el valor de la empresa, incrementar la agilidad de la transformación de la organización y ascender en su discurso al cuerpo empresarial de las juntas directivas.

El reto de los SCADA

Por otra parte los sistemas SCADA o Supervisory Control and Data Adquisition, son elementos fundamentales de las infraestructuras críticas de las naciones como son entre otras: los sistemas de distribución de energía, de derivados de los hidrocarburos, de funcionamiento de acueductos y otros servicios, así como de sistemas de transporte y emergencia de muchos países. Estos sistemas, por demás complejos e finamente interconectados con la realidad de tableros de distribución, válvulas de presión, medidores de temperatura o sistemas cerrados de televisión o control de acceso, establecen un reto de gobierno frente a la seguridad de la información de una empresa.

Estos sistemas, que si bien están automatizados y articulados con sistemas de información especializados, poco a poco han venido siendo objeto de ataques informáticos básicos y sofisticados, generando en las diferentes empresas encargadas de éstos, una incertidumbre creciente que obliga a sus responsables a una revisión completa del aseguramiento de los mismos. Dentro de los riesgos más relevantes para esta infraestructura tenemos: código malicioso, revelación no autorizada de datos críticos, modificación y manipulación no autorizada de datos sensibles, negación del servicio, acceso no autorizado a los registros de auditoría y modificación de los mismos.

Si bien para el mundo de los sistemas de información tradicionales, del trinomio de la seguridad de la información (confidencialidad, integridad y disponibilidad) las confidencialidad y la integridad son, en su orden, elementos claves para asegurar, en los sistemas SCADA dada la necesidad de funcionamiento permanente y generación de información en tiempo real, la disponibilidad se vuelve la fuente misma de las actividades para el aseguramiento de estos sistemas.

Sin perjuicio de lo anterior, los eventos recientes relacionados “armas informáticas” desarrolladas para poner en tela de juicio las protecciones hasta el momento desarrolladas para los sistemas de control, como es el caso de Stuxnet, un código malicioso capaz de tomar control de sistemas de control y telemetría, nos muestra que se hace necesario repensar el modelo de seguridad y control de estos sistemas y formular estrategias que correspondan con el reto de su operación ahora en redes IP y con exposición en las redes nacionales.

Dentro de las mejores prácticas establecidas para estos sistemas tenemos: monitoreo y aseguramiento de los registros de auditoría, biometría, firewalls, sistemas de detección de intrusos, detección y eliminación de código malicioso, criptografía asimétrica, control de acceso basado en roles y sobre manera, una alta sensibilización del personal que opera esta plataforma con el fin de asegurar el correcto entendimiento de la responsabilidad frente a la protección de estos sistemas y los impactos de eventos inesperados no sólo para la organización, sino para la nación.

Las reflexiones en la nube

Adicionalmente, fueron muchos momentos dedicados para comprender la computación en la nube y sus diversas aplicaciones e impactos. Muchos profesionales de Latinoamérica ven esta tendencia una importante posibilidad y forma de generar factores diferenciadores con tecnología, mucho de ello apalancado por el factor costos, pero se hace necesario una revisión juiciosa y sosegada para evaluar frente a las necesidades y retos empresariales, los riesgos que implica necesariamente entregar la información y los datos a terceros.

Por un lado las reflexiones se orientaron por el lado de la clasificación de la información, la protección de la misma y las implicaciones del tráfico transnacional de información personal (muchas veces no consentida) que genera incertidumbres para las empresas y los reguladores de las naciones. Por otro, se cuestionó los modelos actuales de seguridad y cumplimiento que podría derivar en movimientos de firma de auditores o personas certificadas a diferentes puntos del mundo para asegurar que el Cloud Service Provider o proveedor de servicios en la nube, cumple con lo establecido en el contrato y hace su mejor esfuerzo para limitar los impactos de posibles incidentes que se presenten.

En este escenario, se concluye que aún no se alcanza la madurez necesaria de la evolución de este modelo, de tal forma que aquellos que tomen la decisión de subirse a la nube, deberán estar alertas frente al tratamiento de incidentes que se presenten allí, los elementos de análisis forenses que se deban generar y los incumplimientos normativos, bien por acción u omisión se pudiesen presentar frente a la realidad de la información de las organizaciones. Existen algunos referentes internacionales que se sugieren para continuar aprendiendo de estos retos como son la guía de controles del Cloud Security Alliance y la guía de aseguramiento de control de ISACA IT Control for Cloud Computing.

Repensando la defensa de las naciones

Acciones internacionales como las creadas por Anonymous en diferentes países latinoamericanos revela un creciente interés en ese nuevo reto de gobernabilidad de las naciones denominado ciberseguridad y ciberdefensa. Luego de un largo exilio de los temas de defensa nacional, concentrados en realidades de campo operacional y de inteligencia tradicional, las naciones comienzan a comprender que existe un nuevo campo de acción y una nueva forma de impactar la realidad. Esta realidad convocada desde las redes sociales, interconectada con dispositivos móviles y reflejados en servidores y equipos en la nube, nos muestra el empoderamiento de las nuevas generaciones frente a una realidad digital que nos supera y nos cuestiona.

La ciberseguridad, como desarrollo de prácticas operacionales de protección y control, y la ciberdefensa, como la capacidad desarrollada por las naciones para defender sus activos de información estratégicos e infraestructura crítica nacional, son conceptos que poco a poco se deben incorporar en el lenguaje de los profesionales de gobierno de TI, no como una forma extendida de gobernar la tecnología de información en el contexto nacional, sino como una disciplina independiente que apalanca la gobernabilidad de una nación, la protección de los ciudadanos y las instituciones en un contexto global.

Si hoy a nivel internacional es una norma tener buenas prácticas en temas de gobierno corporativo, las naciones deben concretar esfuerzos para desarrollar estructuras que le permitan gobernabilidad a las naciones en el siglo XXI en un contexto digital; es decir, más allá de un nombre e identidad nacional, se hace necesario desarrollar programas nacionales de prácticas de protección de información, reconocimiento de las fronteras y condiciones de seguridad y control de la nación y sobre manera, la declaración abierta y fundamental que eleve a la información, como un bien jurídico y estratégico de la nación en todas sus actividades.

Si bien los países desarrollados han venido avanzando en el desarrollo y operación de planes para la ciberseguridad y ciberdefensa, es necesario que nuestra región inicie su camino en esta aventura, que implica necesariamente repensar el estado-nación en las consideraciones constitucionales de las naciones, para comprender que la defensa de nación no solamente cubre aire, mar, tierra, sino la red y sus confines, como una nueva frontera para proteger los derechos de los ciudadanos y de las nuevas generaciones que ahora viven en internet.

La privacidad: un derecho individual y corporativo

Finalmente y no menos importante, tenemos los temas de privacidad, protección de datos personales y la realidad del acceso a la información privada de los empleados en las empresas. Los retos jurídicos que esto implica, recaen en los avances jurisprudenciales de los países latinoamericanos donde el derecho de “habeas data”, se conjuga en primera persona (natural) frente al “conocer, actualizar y rectificar” que de igual forma tienen las personas jurídicas en los ordenamientos constitucionales latinoamericanos.

Si bien, podemos desarrollar contextos de acceso seguro, acordados y revisados con los titulares del dato, ellos jamás renuncian a su derecho constitucional de privacidad, que en cualquier momento podrán invocar, si ven vulnerados sus derechos frente a la información que sobre ellos, un tercero tiene acceso. No podemos ignorar, que frente a este debate del acceso o no a la información personal, existe la condición natural de los agentes de inteligencia de los gobiernos, los organismos de seguridad del estado y las solicitudes judiciales que autorizan a entes de policía judicial, como actores fundamentales que requieren, bajo el imperio de la ley, asegurar la información necesaria para actuar en derecho frente a las amenazas o retos de seguridad nacional.

Sin un consenso aparente en estas reflexiones, pronto Colombia tendrá una nueva ley de protección de datos personales que exigirá a cada una de las empresas desarrollar un manual de prácticas que muestre su compromiso y aseguramiento frente al acceso a los datos personales que manejen las organizaciones. Esto necesariamente deberá generar un esfuerzo colectivo de las empresas, que orientado por un nuevo desafío de cumplimiento, deben abordar la problemática de la protección de la información de manera general y, ahora en particular, para los datos de carácter personal.

Este tipo de iniciativas frente a la privacidad de la información no son nuevas en la región, sin embargo son generalmente inadvertidas por las áreas de tecnologías de información y seguridad de la información, dado el limitado monitoreo de los avances normativos en la materia que ejercen tanto el área jurídica como el área de tecnología. En este sentido, una relación más fluida entre las dos disciplinas y un trabajo interdisciplinario entre ellas, podrá generar nuevas y sostenibles ventajas competitivas frente a los retos empresariales donde la tecnología de la información es parte fundamental de la estrategia para desequilibrar los mercados.

Reflexiones finales

Así las cosas y aunque durante los días del evento se presentaron otros temas, igualmente relevantes para enriquecer el trabajo de los profesionales de seguridad y control, así como para los auditores de tecnología de información y altos ejecutivos empresariales, las reflexiones aquí representadas crearon en la audiencia memorias y enlaces frente a su realidad actual, para persuadir y motivar nuevas fronteras y retos corporativos y así, encontrar con cada uno de sus ejecutivos y profesionales, eso que deseamos y aquello que queremos ser: cruzar el umbral de la inercia corporativa y lanzarnos a escribir el futuro con letra imprenta y misteriosamente cursiva.

2 comentarios:

  1. Estupendo resumen ejecutivo del evento, felicidades
    Saludos

    ResponderEliminar
  2. Excelente, me hizo recordar a un episodio de la Serie 24 horas. En la cual un ataque terrorista a los sistemas SCADAs de producción de energía causo un gran problema en USA. Creo que la fantasía de este capitulo de la serie, es cristalizado en su articulo de que realmente podría suceder.

    ResponderEliminar