Introducción
Conforme evoluciona el mundo,
los negocios y las necesidades de las personas, la información, ese valor
fundamental de nuestra época, se vuelve cada vez más la savia de múltiples
operaciones, acciones y reportes que permiten tanto a personas como a
organizaciones establecer la forma como deben movilizarse en un entorno cada
vez más dinámico, incierto y competitivo.
La lucha por el
posicionamiento en los mercados, la búsqueda permanente de ventajas
competitivas que desequilibren la competencia y la generación de ideas innovadoras,
establecen el patrón que las empresas del siglo xxi deben atender frente al
reto de permanecer en el tiempo y vigentes con la dinámica de cambio y
transformación acelerada que estamos viviendo.
En este contexto, la inseguridad
de la información, como patrón asimétrico de la protección de la información,
establece una serie de connotaciones estratégicas y prácticas que descubren en
las organizaciones, necesidades y retos que exigen una vista empresarial más
homogénea y eficiente que permita, mantener un apetito al riesgo natural en los
negocios y el balance de una cultura centrada en la protección de información. (GREENGARD 2012)
Como quiera que la
inevitabilidad de la falla es la constante en el ejercicio de mantener la
operación de las empresas y su materialización una fuente constante de
aprendizaje, es decir de lecciones aprendidas y por aprender, se hace necesario
comprender con mayor detalle que significa “generar valor” en el contexto del
programa de seguridad de la información de una empresa, sabiendo que los
incidentes de seguridad serán el atenuador de la ecuación base que se plantee y
los hechos que comprometen la confianza de la alta gerencia con el ejecutivo de
seguridad de la información.
El modelo de negocio de los ciber criminales
De acuerdo con FERRARA (2012)
los atacantes tienen un plan de negocio inherente a la estrategia de sus
ataques. Ellos establecen un objetivo específico de activos de información pues
saben lo que significa para la persona o la empresa y cuentan con una demanda
asegurada en el mercado de información relevante que ha sido robada. Este
sentido de orientación de sus acciones, permite programar sus movimientos y
desarrollar acciones de mediano y largo plazo que aseguran sus ingresos y
reputación, generando un ciclo virtuoso que requiere una mínima inversión con
un máximo rendimiento.
Habida cuenta de lo anterior
podemos establecer que el modelo de negocio de los atacantes está articulado en
el sentido y sensibilidad de éstos para identificar los activos valiosos de las
empresas o personas, los cuales al exponerse a condiciones agrestes del entorno
y hacer evidente las debilidades inherentes de sus planes de protección, genera
inestabilidad e incertidumbre que, por lo general, escapa a los más exigentes
análisis de riesgos, sorprendiendo tanto a los ejecutivos empresariales como a
los responsables de la seguridad de la información.
Así las cosas, la “generación
de valor” en el modelo de los ciber criminales se materializa de manera
concreta dado que son capaces de alinear sus métodos y estrategias con las
expectativas de sus clientes y las demandas del mercado. De igual forma, los
efectos de sus acciones y resultados adquieren un valor en sí mismo dados los
impactos revelados y declarados por los afectados, que hacen aún más relevante
y deseada la información obtenida.
Finalmente y no menos
importante, el presupuesto invertido para lograr los objetivos propios de sus
acciones, responde no a una extrapolación de los que ocurrió el año
inmediatamente anterior, sino a la valoración inherente de los activos objetivo
de sus actuaciones, y la capacidad desarrollada para encontrar las asimetrías
de la inseguridad de la información en el programa de protección propio de las
empresas y la vigilancia permanente de los cambios en el entorno tecnológico
que pueden ser explotados bien con técnicas previas ampliamente probadas o con
modificaciones y actividades novedosas que generen efectos de borde no
documentados.
Entendiendo la
clasificación de los activos de información
Toda la capacidad de
variación y creatividad que los atacantes desarrollan en el ejercicio de su
modelo de negocio, debe ser el insumo mismo para la formulación de las
estrategias de protección de la información. Esa extraña habilidad de analizar
y comprender el valor de los activos de los ciber criminales, debe movilizar
tanto al dueño de la información como al responsable de la seguridad de la
información para conocer en profundidad lo que significa en sí mismo el “valor”
de la información.
Revisando lo señalado por
WEIL y ROSS (2009, pág.59) se establece una categorización de activos de
tecnología de información que son valorados según su nivel de riesgo, es decir,
no por su nivel de exposición, sino por los impactos que se pueden tener
si se compromete o materializa un evento no deseado en ellos. Siguiendo esta
misma propuesta, se plantea una clasificación de activos de información empresariales
que fiel al foco e impacto frente a la inevitabilidad de la falla, sugiere
acciones de aseguramiento y monitorización para advertir vectores de ataque a
los cuales éstos pueden ser susceptible.
Activo de
información
|
Foco
|
Riesgo
|
Impacto
|
Estratégico
|
Ventaja competitiva
|
Pérdida y/o fuga de información
|
Pérdida de mercados emergentes y nuevos negocios
|
Reporte
|
Soporte de cumplimiento
|
Pérdida de
confiabilidad |
Sanciones o multas y pérdida de reputación
|
Registro
|
Análisis de información
|
Pérdida de
integridad |
Escenarios inciertos de operación
|
Transaccional
|
Automatización de procesos
|
Pérdida de
disponibilidad |
Incapacidad para medir la efectividad de la
operación
|
Tabla No.1 Activos de información
empresariales (Adaptado de WEIL y ROSS. 2009, pág59)
De acuerdo con lo anterior, las
acciones de aseguramiento de la información previstas según lo indicado en la
tabla No.1, irán en prioridad de lo transaccional (con la menor prioridad) a lo
estratégico (con la mayor prioridad). En consecuencia, los focos de inversión
en seguridad de la información y análisis no lineal de los flujos de
información buscarán asegurar el cierre de las brechas básicas de
disponibilidad e integridad, para proteger de manera creativa la confiabilidad
y la confidencialidad de la información, sabiendo que los mayores riesgos
fundados en la vista estratégica, pueden comprometer las capacidades necesarias
y suficientes de la empresa para crear sus ventajas competitivas.
El valor de la información
Los analistas de Forrester determinan
el valor de la información como la
ecuación que establece “un porcentaje (hasta 100%) de los ingresos
actuales y futuros que produce la información menos el costo directo e indirecto
necesario para producir, manejar y proteger la misma”.
Esto es, primero categorice los activos de información por
unidad de negocio, entendiendo como éstos soportan la generación de
ingresos, las ventajas competitivas y los planes de negocio de la empresa,
detallando los puntos donde se producen, manejan y reciben, para comprender la
sensibilidad e impacto de éstos frente la materialización de una falla de
seguridad de la información.
Seguidamente, cuantifique los ingresos que los activos de
información producen, es decir, estudie los planes de negocio de la empresa
para sus productos y servicios, así como los procesos donde se manejan los
activos analizados, de tal forma que se puedan revelar y analizar los esfuerzos
realizados (controles y prácticas de seguridad de la información) frente a los
ingresos que producen éstos y sus resultados. Esto permite focalizar las energías
en aquellos lugares donde se generan los ingresos más importantes en la
organización, protegiendo su valor, en el ejercicio de la operación del modelo
de negocio.
Finalmente, cuantifique las implicaciones de riesgo y cumplimiento
para aquellos activos de información que no relacionados con la generación
ingresos. Las acciones en este punto identifican aquellos activos de
información regulados, que si bien no están directamente relacionados con los
ingresos de la empresa, si son requeridos para participar de negocios
importantes en mercados altamente competidos, los cuales exigen condiciones
mínimas propias de un selecto grupo de corporaciones, cuyos grupos de interés
demandan y exigen ambientes de control conocidos y verificaciones detalladas
para darle tranquilidad a los inversionistas.
Un ejercicio sencillo de
aplicación del concepto está asociado con la sensibilidad de los procesos de
innovación y gestión del conocimiento empresarial, donde la aplicación de los
mismos genera los mayores ingresos para la empresa. En este proceso, la
seguridad de la información deberá balancear la necesidad de compartir los
resultados del proceso con la demanda de controles claves que protejan la
confidencialidad de la información.
En este contexto, si bien el
activo de información identificado no está regulado, si requiere la mayor
atención dada su categoría estratégica frente a las metas y generación de valor
de la empresa con sus grupos de interés. En razón de lo anterior, los focos de
inversión y aseguramiento tanto en comportamientos, tratamiento de riesgos como
de herramientas tecnológicas tendrán una orientación clara, que no sólo va
limitar la materialización de un incidente, sino que va a desarrollar un modelo
de protección basado en el desaprender de la dinámica del entorno, para ver
nuevos patrones de la inseguridad alrededor del mismo.
Reflexiones finales
Considerando los cambios y
mutaciones de los adversarios y los diferentes y dinámicos escenarios de
análisis, las vulnerabilidades estarán siempre en el orden del día de cualquier
responsable por la seguridad de la información. Mientras en el pasado la
publicación de los ataques y sus resultados era razón para generar
controversia, cada vez se vuelve más común publicar los mismos, como un
ejercicio responsabilidad empresarial que habla de la seriedad de la empresa
frente a sus grupos de interés y como una forma de aprender y desaprender que
permite tanto a desarrolladores como proveedores avanzar en la madurez de sus productos
y servicios. (BASIN y SRDJAN 2012, LEMOS 2012)
Como quiera que los ejercicios
de concientización e interiorización son claves como medidas que apalancan
prácticas y comportamientos frente al tratamiento adecuado de la información, el
conjunto de acciones y actividades que se desarrollan frente a la
inevitabilidad de la falla, demandan un entendimiento de los esquemas que los
atacantes establecen frente al objetivo final de comprometer alguno de los
principios básicos de la seguridad de la información.
Así las cosas, comprender el
modelo de generación de valor de los atacantes y capitalizar su olfato para
identificar los activos de información de mayor relevancia, nos debe ofrecer un
marco de análisis para establecer el valor del programa de seguridad de la
información, que no deberá estará articulado necesariamente desde la vista de
riesgos y controles, sino desde las lecciones aprendidas, la identificación y
valoración de los activos de información y, el cumplimiento de las expectativas
tanto de los dueños, como de los usuarios y custodios de la misma.
Si lo anterior es cierto, un
programa de seguridad de la información estará en las prioridades ejecutivas
cuando sea capaz de sintonizarse con los procesos que generan los ingresos de
la empresa, potenciando las capacidades corporativas para operar en ambientes agrestes
y desconocidos, aprendiendo de su entorno, anticipando los riesgos, haciendo de
la inseguridad de la información la base del caso de negocio que revela la
inmaterialidad de un activo aún desconocido en las organizaciones: la
información.
Referencias
LEMOS, R. (2012) U.S. Creates System To Look For "Future
Crimes" http://www.darkreading.com/security-monitoring/167901086/security/news/240144496/u-s-creates-system-to-look-for-future-crimes.html (Consultado:
16-12-2012)
BASIN, D. y SRDJAN, C. (2012) The research value of publishing attacks. Communications of the ACM. Vol.55.
No.11. November.
GREENGARD, S. (2012) On the digital trail. Communications of the ACM. Vol.55. No.11. November.
FERRARA, E. (2012) Determine the business value of an effective security
program. Information security economics 101. Forrester Research. October.
WEIL, P. y ROSS, J. (2009) IT
Savvy. What top executives must know to go from pain to gain. Harvard Business
Press.
No hay comentarios:
Publicar un comentario