Introducción
Revisando un documento de Gartner publicado en octubre de 2010, denominado “Security Governance and operations are not the same” se aclara una realidad estructural de la seguridad de la información que da cuenta de la vista tripartita que se desarrolla para darle sentido a la confianza que una organización requiere frente a la protección de su información.
Como quiera que por mucho tiempo, se ha mantenido una relación muy cercana de los temas de seguridad de la información con las temáticas técnicas, se hace necesario desarrollar una dogmática básica para comprender desde la óptica de la inseguridad, el gobierno, la administración y operación de la seguridad de la información, no como simples elementos conceptuales, sino como reales evidencias prácticas que nos permitan conectar la declaración formal de la información como un activo, así como las prácticas operacionales que definen la confiabilidad de la infraestructura tecnológica.
De acuerdo con el documento previamente citado, el gobierno de la seguridad de la información debe asegurar que la relación entre el negocio y la seguridad siga los principios de la segregación funcional, toda vez que este último, le permite a la organización asegurar un flujo de información declarado y sobre manera trazable, limitando en la medida de lo posible posibles conflictos de interés que se pudiesen manifestar desde la operación.
Sin perjuicio de que existan múltiples vistas para modelar una organización para la seguridad de la información, se requiere comprender la expectativas y entendimientos políticos que el aseguramiento de la información demanda en el contexto de las necesidades del negocio. En este sentido, a continuación detallamos, utilizando como soporte la publicación de Gartner, los tres elementos que deben traducir y transformar la lectura y comprensión de la alta gerencia frente a la protección de la información en su contexto del negocio.
Gobierno de la seguridad de la información
El gobierno de la seguridad de la información lo define Gartner como “los procesos que aseguran las acciones apropiadas y razonables que deben ser tomadas para proteger los recursos de información de la organización”. Si bien esta definición, es claramente una invitación para una comprensión funcional de la organización, debemos anotar que se queda corta frente al reto de transformación corporativo que la seguridad debe asumir más allá de los riesgos y controles.
La función de gobierno de la seguridad de la información demanda de su estratega, movilizarse en las tendencias propias del negocio donde opera, los movimientos y retos emergentes que enfrenta el modelo de generación de valor de la empresa y anticiparse frente a los riesgos y amenazas que pueden comprometer la vista estratégica corporativa y no sólo, asegurar los procesos.
Si bien no desechamos la propuesta de los consultores internacionales mencionados, si queremos ampliar el espectro de su comprensión para ir de una vista claramente funcional del ejecutivo de la seguridad de la información, hacia una más de “socio estratégico” que no sólo advierte las inadecuadas prácticas sobre la información en los procesos negocios, sino que revela un panorama de pronósticos y detalles que están enraizados en los “espacios en blanco” que visualiza la junta directiva de la organización. (CANO 2011)
En consecuencia el texto de Gartner establece como responsabilidades del gobierno de seguridad de la información:
• Actuar como un comité de coordinación para los proyectos más significativos
• Efectuar seguimiento al progreso de los planes de remediación de los riesgos (particularmente en de los informes de auditoría)
• Revisar el reporte de métricas, solicitar nuevas métricas, si es requerido.
• Monitorear el desempeño operacional de las tecnologías de seguridad
• Proveer un escenario para el CISO (Chief Information Security Officer) con el fin de focalizar los esfuerzos dentro las unidades de negocios, a través del comité de gobierno de seguridad de la información.
• Establecer y mantener líneas efectivas de responsabilidad, propiedad y autoridad frente a los activos de información.
• Actuar como un mediador o árbitro para conciliar los conflictos sobre los requerimientos de seguridad de la información entre los diferentes actores de la organización.
Consecuente con las precisiones desarrolladas alrededor de la definición inicial de gobierno, se echan de menos otros elementos claves que complementen la vista de procesos. En este sentido, se sugieren las siguientes responsabilidades complementarias que motivan una reflexión extendida del ejercicio de gobierno de la seguridad de la información:
• Identificar y analizar el modelo de generación de valor de la empresa
• Comprender y detallar los riesgos y amenazas que impactan el modelo de generación de valor de la empresa
• Proponer un escenario de análisis de impactos, que defina las posibles actuaciones corporativas para proteger el valor actual de la empresa y anticiparse frente a sus amenazas.
No obstante, el gobierno de la seguridad de la información, en nuestra definición complementaria, representa un ejercicio de alquimia entre la política corporativa, los intereses superiores de los accionistas y la realidad de la protección de la información, se requiere que dichos planteamientos encuentren un suelo abonado y fértil en la implementación del mismo en el contexto de los procesos empresariales. (COMMONWEALTH OF AUSTRALIA 2007)
Administración o gerencia de la seguridad informática
En este contexto, aparece el concepto de administración o gerencia de la seguridad tecnológica o seguridad informática. Este concepto reconoce en la realidad de la arquitectura de los procesos de la empresa, que dan sentido al modelo de generación de valor de la empresa, las actividades requeridas para incorporar la distinción de seguridad en la dinámica de las personas que participan en ellos. Para los investigadores del documento comentado, la gerencia o administración de la seguridad de la información, se traduce como la “implementación del programa de seguridad de la información presidido por el comité de gobierno de seguridad de la información”.
El documento no detalla en qué consiste un programa de seguridad de la información, ni detalla los alcances del mismo, pero si podemos advertir que dicho programa debe contemplar el plan de prácticas de seguridad de la información apalancado en los empleados de la empresa, los planes de tratamiento de riesgos de seguridad de la información, las tecnologías de seguridad requeridas para generar una operación confiable, donde la información previamente clasificada, fluya según sea requerido.
Gartner establece que el responsable de la gerencia o administración de la seguridad informática debe realizar al menos las siguientes actividades:
• Desarrollar e implementar una política de seguridad de la información
• Diseñar y administrar una arquitectura de seguridad tanto para las aplicaciones como empresarial.
• Diseñar y adelantar campañas de interiorización y concientización relativas a la seguridad de la información.
• Establecer y promover un ciclo de vida de los usuarios o lo que en términos modernos se conoce como gestión de identidades (incorporación, desincorporación y administración de roles de administración de usuarios)
• Establecer proyectos de nuevas propuestas de tecnologías de seguridad informática.
• Proveer orientación y direccionamiento sobre riesgos y controles para proyectos no relacionados con seguridad de la información.
• Monitorear la operación de las tecnologías de seguridad informática configuradas y disponibles.
• Probar, validar y asegurar la infraestructura de seguridad informática.
Al revisar estas responsabilidades propuestas, claramente vemos el enfoque táctico de la seguridad que orientada por los riesgos y controles, requiere coordinar con diferentes equipos de trabajo la forma como se comportan la infraestructura de seguridad, de tal forma que pueda contar con las métricas requeridas por el gobierno de la seguridad de la información, para entregar la vista consolidada de la “confianza” que la organización puede desarrollar frente a la protección de sus activos de información.
Las personas que están ubicadas en el escenario de la gerencia de la seguridad de la información, deben comprender el negocio y sus necesidades frente al aseguramiento de la información. En este punto de la estructura de seguridad, la capacidad de negociación y habilidades de comunicación son habilidades claves y requeridas para lograr que las decisiones en la gerencia media sean consistentes con las distinciones estratégicas y definiciones corporativas frente a la vista del gobierno de la seguridad de la información.
Operación de la seguridad informática
Finalmente y no menos importante, el documento detalla lo relacionado con la operación de la seguridad informática. Amén de lo anterior, Gartner precisa este concepto operacional como “las actividades que se dan en el día a día que buscan mitigar los riesgos de seguridad informática en el nivel técnico.” Si bien esta declaración nos presenta efectivamente el concepto natural esperado, debemos anotar que, los que se encuentran en la operación son parte del eslabón clave, para capitalizar las lecciones aprendidas de la organización frente a la atención de los incidentes de seguridad.
Esto es, los profesionales que se encuentran en la realidad técnica y formal de la operación de los dispositivos técnicos, son testigos de primera fila de los impactos corporativos de las fallas parciales o totales propias de la materialización de la inseguridad de la información. En este sentido, son los llamados para alimentar la experiencia de la gerencia de la seguridad informática, para crear un círculo virtuoso entre lo táctico y lo operacional, que no desprecia ninguna de sus interacciones, sino que enriquece la vista táctica de la forma como la organización entiende y recompone la seguridad de la información de manera dinámica.
En consecuencia y sabiendo que existen múltiples actividades asociadas con la parte operacional de la seguridad informática, Gartner sugiere algunas de ellas:
• Aplicar y desplegar los parches de seguridad sobre los productos y herramientas.
• Monitoreo activo del ambiente frente a las amenazas y vulnerabilidades
• Proveer conocimiento y experiencia cierta para las políticas de seguridad de la información corporativas y del desarrollo de los procedimientos propios de la operación de la seguridad
• Desarrollar, mantener, monitorizar e implementar la arquitectura técnica de seguridad informática.
• Implementar los cambios de configuración en las plataformas corporativas de seguridad informática en concordancia con los procedimientos de administración de cambios.
• Monitorización – sobre consolas nativas, sistemas de correlación de eventos y otras herramientas de análisis para observar amenazas, vulnerabilidades y cambios en el ambiente que afecten el perfil de riesgo empresarial.
• Cumplir con los acuerdos de niveles de servicio de seguridad definidos.
• Planear y participar de manera activa en la respuesta a incidentes.
• Incorporar y desincorporar las identidades digitales y los permisos de acceso.
Si bien esta enumeración no pretende agotar las actividades propias de la operación de la seguridad informática, si resulta indicativa de la misma y el nivel de aseguramiento que se requiere para que ésta funcione de manera estándar y repetible, con el fin de generar confiabilidad y menor incertidumbre sobre qué ocurre con los activos de información en los procesos de negocio de la empresa.
Al correr el velo de los tres conceptos previamente presentados que, claramente articulados, definen una estrategia para “gobernar, gerenciar y operar” la seguridad de la información, se establece la imperiosa necesidad de complementar dicha propuesta con una formulación alterna que interrogue y asista al ejecutivo de la seguridad de la información, para conquistar la tentación de la falsa sensación de seguridad.
Una propuesta complementaria
La propuesta establece mantener un escenario de análisis basado en posibilidades, más que en probabilidades en cada uno de los conceptos. Esto es, para la vista del gobierno, el detalle de escenarios posibles que afecten el valor de la empresa, que permitan establecer el tono ejecutivo de la seguridad requerido y la vista preventiva que prepare a la organización cuando el 0,01% de probabilidad del riesgo se materialice.
Para la vista de la gerencia de la seguridad de la información, se busca configurar y detallar un mapa de riesgos posibles, de acuerdo con los flujos de información en los procesos, los cambios normativos o ajustes en las estrategias corporativas, que demanden una renovación del panorama de aplicación de los procesos. Esto es, trabajar de manera coordinada con los negocios para tener una matriz de riesgos extendidos, basado en eventos probables en los flujos de información frente a sus relaciones e integraciones corporativas, para tratar de ver asimetrías y comportamientos inesperados que puedan configurar situaciones no conocidas, para sí desarrollar respuestas oportunas para eventos no previstos.
En la operación, dado que cualquier eventos inesperado se presenta con relativas periodicidad, siempre y cuando no exista una forma clara de operar y atender una situación que califique como fuera de la “normalidad”, la invitación a desarrollar ejercicio de pruebas de vulnerabilidades internas y externas informadas o ciegas, que mantengan un “mínimo de paranoia bien administrado”, para que la sangre caliente de las infraestructura, no se debilite y mantenga el vigor permanente frente a la inevitabilidad de la falla.
Reflexiones finales
Así las cosas y como quiera que esta revisión base de tres conceptos para enfrentar la inseguridad de la información, es una excusa conceptual y académica para enfrentar el reto de la práctica empresarial de la seguridad, se hace necesario entender que la seguridad de la información, como concepto emergente de un sistema y particular para una organización y sus relaciones de sujeción específica, es una manifestación empresarial que al igual que algunas realidades teológicas, establecen tres personas con naturaleza distinta, que definen un solo responsable verdadero.
No podemos avanzar en la construcción de una práctica real de confianza de la organización en el contexto de los activos estratégicos de información, sin reconocer que la verdad o revelación se esconde en el “grial” del modelo de negocio empresarial, que permanentemente busca alcanzar “espacios en blanco” con un escenario en movimiento.
Referencias
McMILLAN, R. y SCHOLTZ, T. (2010) Security Governance and Operations are not the same. 8 de octubre de 2010. Gartner Research. Disponible en: http://www.gartner.com/id=1448116 (Requiere suscripción)
COMMONWEALTH OF AUSTRALIA (2007) Leading practices and guidelines for enterprise security governance. Disponible en: http://www.dbcde.gov.au/__data/assets/pdf_file/0016/41308/Leading_practices_and_guidelines_for_enterprise_security_governance_revision_1.pdf (Consultado: 10-03-2012)
CANO, J. (2011) Gerencia de la seguridad de la información. Evolución y retos. ISACA Journal Online. No.5. Disponible en: http://www.isaca.org/Journal/Past-Issues/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx (Requiere suscripción)
No hay comentarios:
Publicar un comentario