El debido cuidado en seguridad de la información. Un ejercicio de virtudes para la función de seguridad de la información

Siguiendo los elementos conceptuales y formales establecidos en la tesis de maestría en Derecho de ETSEBETH (2009) detallar un estándar de debido cuidado para el gobierno de la seguridad de la información en una organización debe pasar al menos por los siguientes elementos:

* La obligación legal de las organizaciones de proteger la información

* Las responsabilidades frente a la materialización de las fallas de seguridad de la información

* El desarrollo efectivo de un programa de seguridad de la información

* Un modelo de seguimiento y control de la efectividad del gobierno de la seguridad de la información

Obligación legal de proteger a la información

La obligación legal de las organizaciones de proteger la información no solamente se encuentra articulada por las normatividades nacionales e internacionales que obligan a las empresas para establecer medidas de salvaguarda de la misma, sino en el entendimiento y aseguramiento de: (ETSEBETH 2009, Sección Resumen Ejecutivo)

* La forma en la cual la información es creada, procesada, almacenada, transmitida, usada y comunicada.

* ¿Quién tiene acceso a la información?

* ¿Qué pueden hacer las personas con la información?

* ¿Cuánto tiempo éstas tendrán acceso?

* ¿Quién tiene la autoridad para cambiar el acceso y cómo?

Responsabilidades frente a las fallas de seguridad de la información

Teniendo claras las respuestas y acciones requeridas para enfrentar la obligación legal, se hace necesario revisar y comprender las responsabilidades que se tienen cuando la inseguridad de la información se materializa en el contexto organizacional. Las responsabilidades se articulan a nivel corporativo en diferentes niveles frente a los diferentes grupos de interés.

En este sentido, el primer responsable frente a la materialización de una falla de seguridad es la alta gerencia, quien al declarar a la información como un activo a proteger es el primer patrocinador del aseguramiento de la misma en los diferentes frentes de la organización. Si bien dicha responsabilidad, se materializa en el responsable corporativo de la seguridad de la información, es deber de los cuerpos de gobierno corporativo, establecer las respuestas concretas y efectivas para los interesados (mayoritarios y moniritarios) sobre lo ocurrido, sus impactos y las posibles disminuciones de valor que han tenido sus intereses en la empresa.

En un segundo nivel, se encuentra el director o responsable empresarial de la seguridad de la información o en inglés Chief Information Security Officer, quien deberá rendir cuentas de la efectividad del programa de seguridad de la información, la administración de los riesgos de seguridad y la efectividad de las medidas de seguridad tecnológicas que se tienen implantadas. Este reporte, deberá estar articulado con las promesas de valor que la organización tiene para sus grupos de interés de tal manera que se haga evidente como la inversión en la protección de los activos de información, se hace concreta en el nivel de confianza esperado por la organización y el nivel de riesgo aceptado por ésta frente a las amenazas identificados.

En un tercer nivel, se encuentran los analistas de seguridad de la información, especialistas en riesgos y controles de seguridad, así como los profesionales de seguridad informática que aseguran la infraestructura tecnológica: administradores de red, de servidores, de firewalls, antivirus, entre otros, que deberán rendir cuentas sobre las medidas de mitigación y control frente a las amenazas identificadas, así como el conocimiento del nivel de riesgo propio de cada uno de los mecanismo de protección. Este reporte, debe mostrar el seguimiento y alineación de acciones frente al programa de seguridad que tiene la empresa y cómo las fallas de seguridad deben ser atendidas en el modelo de atención de incidentes, con el fin de comprender mejor a la efectividad de las medidas tecnológicas implementadas y su permanente actualización frente a la dinámica del entorno empresarial y de la inseguridad de la información.

Diseño y desarrollo el programa de seguridad de la información

Como se puede ver, las responsabilidades frente a las falla de seguridad, exigen del responsable de la seguridad de la información, el diseño y desarrollo de un programa de seguridad de la información efectivo, entendiendo este como un conjunto de estrategias y actividades que articulen los mecanismos de integración organizacional, las estructuras de coordinación y las competencias técnicas requeridas que muestren claramente la integración de la seguridad con la estrategia empresarial (CANO 2010).

En este contexto, la implementación del programa de seguridad debe informar y comunicar a la alta gerencia sus alcances, retos y riesgos, con el fin de advertir con claridad y precisión qué hace parte de las acciones para mitigar las posibles fallas de seguridad y cuáles los riesgos residuales que acepta la empresa frente a las amenazas identificadas en los flujos de información en sus procesos de negocio.

Seguidamente, incorporar dentro del hacer natural de las actividades de negocio, el análisis de los riesgos de seguridad de la información, como parte inherente del actuar de las personas en sus actividades diarias. Esto es, reconocer que la información no es algo que está en los procesos, sino que es parte del negocio, pues basado en las prácticas de aseguramiento y protección, es que podemos comprender la efectividad y valor de la misma cuando el negocio mismo genera valor para los grupos de interés.

Roles y responsabilidades frente al tratamiento de la información

Fruto de lo anterior, se presenta de manera natural los roles y responsabilidades que los participantes de los procesos tienen frente a la información. Los dueños o propietarios de la información, como aquellos que crean la información y establecen las condiciones de uso y custodia del mismo, dado que reconocen y entienden sus riesgos, en el contexto de los flujos de información del proceso en el que participan.

Seguidamente, se establecen los usuarios, quienes atendiendo las condiciones y característica de uso establecidas por sus propietarios, sacan el mejor provecho de la misma en un ambiente controlado, sabiendo que cualquier uso no autorizado, promueve la materialización de un incidente de seguridad de la información con impacto corporativo importante.

Finalmente, se tienen los custodios, quienes observando las características establecidas por los propietarios y las necesidades de uso de los usuarios, definen los medios y mecanismos para mantener la disponibilidad de la información y la trazabilidad de los accesos requeridos, asegurando en tiempo, medio y formato que la organización minimizará los riesgo asociados con obsolescencia tecnológica, compatibilidad de formatos de datos e integridad de los medios de almacenamiento.

Seguimiento y control del gobierno de la seguridad de la información

Necesariamente lo anterior, debe responder no solamente a una apropiación de recursos técnicos, financieros y talentos humanos, sino toda una estrategia de concientización e interiorización de la distinción de seguridad, que apalancada desde la distinción de riesgos, es capaz de cuestionar el colectivo organizacional de supuestos frente a la protección de la información, para construir una nueva forma de comprender y valorar la información desde la esfera personal, hacia la realidad corporativa.

Como toda iniciativa, el programa de seguridad de la información, deberá mantener un seguimiento y mantenimiento por parte de la función de seguridad y su cuerpo directivo, de tal manera que asegure que el nivel de riesgo aceptado se mantiene o disminuye. Esto significa, que el reporte de avance del programa no se medirá exclusivamente en la materialización o no de incidentes de seguridad de la información, que se tengan en la organización, sino en los niveles de prevención y ahorro que situaciones infortunadas que se pudieron materializar y no se dieron.

Medir la efectividad de la seguridad la información es un reto permanente de los ejecutivos de la seguridad de la información, que lo que busca en últimas es “contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas (…)” (CANO 2010b)

Reflexiones finales
En consecuencia, para hacer realidad la propuesta planteada para materializar el debido cuidado en seguridad de la información se hace necesaria una evolución acelerada de la función de seguridad hacia los temas de gobierno, riesgo y cumplimiento, que le permita estar en la agenda los miembros de la junta directiva a través de un comité ejecutivo de primer nivel, donde se rindan cuentas de la evolución del programa de seguridad, apalancado en los riesgos estratégicos de negocio y las regulaciones y acciones legales que implican la materialización de una falla de seguridad. (ETSEBETH 2009, capítulo 8)

Por tanto, la próxima vez que sea interrogado sobre el debido cuidado en seguridad de la información, recuerde éste es un ejercicio equivalente al desarrollo de virtudes humanas, donde cada persona da lo mejor de sí para alcanzar el justo medio, aún cuando en el camino sea tentado y sorprendido por situaciones inesperadas que ponen a prueba su propio entrenamiento y experiencia frente al siempre nuevo y dinámico arte de la inseguridad de la información.

Referencias

ETSEBETH, V. (2009) Legal implications of information security governance. Master of Law Thesis. Unpublished Document. Law Faculty. University of Johannesburg. Disponible en: http://ujdigispace.uj.ac.za:8080/dspace/handle/10210/1837. (Consultado: 3-10-2010)

CANO, J. (2010) Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad. Disponible en: http://insecurityit.blogspot.com/2010/09/integrando-la-seguridad-de-la.html (Consultado: 3-10-2010)

CANO, J. (2010b) Métricas en seguridad de la información. Un reto permanente. Disponible en: http://insecurityit.blogspot.com/2010/07/metricas-en-seguridad-de-la-informacion.html (Consultado: 3-10-2010)

Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad

Son muchas las estrategias que hoy por hoy los responsables de la seguridad de la información intentan para persuadir a la alta gerencia con su discurso de protección de activos, las cuales van desde cuantificación de la materialización de las vulnerabilidades, análisis de impactos por pérdidas de imagen e implicaciones económicas de alguna sanción por algún incumplimiento normativo. (BAYUK 2010, pág.4) En este contexto, los ejecutivos de la seguridad de la información, buscan de alguna manera integrar sus planes en la agenda estratégica de la compañía para hacerse visible, no sólo por las consabidas brechas de seguridad que tarde o temprano se presentarán en la empresa, sino como elemento crítico para apalancar las ventajas competitivas de la corporación.

En este sentido, se advierten en la realidad de los programas de seguridad de la información elementos como incorporación de mejores prácticas, análisis beneficio-costo, historias o anécdotas en otras empresas del sector o estudios de referenciación que revisan la función de seguridad de la información en el contexto de los costos organizacionales y el personal requerido para dar cumplimiento al desarrollo de los habilitadores de riesgo y cumplimiento normativo, que no es otra cosa que apalancar las funciones de control interno o aseguramiento de los flujos de información de negocio de la empresa.

Así las cosas, los responsables de seguridad de la información saben que su integración con la estrategia corporativa, no depende exclusivamente de cómo los mecanismos tecnológicos de seguridad se comportan en las diferentes unidades de negocio (valga la pena aclarar, que deben funcionar de acuerdo con lo previsto y acordado con las áreas), sino de cómo alinear sus esfuerzos para hacerse una distinción transversal en la compañía, embebida en la cultura de los negocios, articulado con los sistemas de gestión organizacional y reconocidos por los terceros o grupos de interés en su relación comercial y estratégica.

Sobre este particular un reciente estudio realizado por KAYWORTH, T. y WHITTEN, D. (2010) advierte: “(…) la falta de integración entre el grupo de seguridad de la información y los negocios resulta en una política de seguridad y presupuestos que no reflejan las reales necesidades de la organización. En este contexto, la seguridad de la información tiende a ser reactiva, las decisiones de inversión se mueven por prioridades de corto plazo más que estratégicas o de largo plazo, recibiendo muy poca atención por parte de los ejecutivos de la empresa.(…)”.

Este resultado no nos sorprende, pues lo que hace es ratificar lo que de múltiples formas ha venido ocurriendo hace algunos años, donde la seguridad de la información se confunde con implementación de tecnologías de seguridad, haciendo de esta última distinción, una marca que generalmente tiene alta gerencia de lo que es esta función. Adicionalmente podemos agregar que esta percepción técnica generalizada de la seguridad, es también de nuestra propia práctica, que orientada por los nuevos desarrollos tecnológicos, nos dejamos tentar sin considerar, en algunos casos, los impactos de éstas en los negocios de la empresa. Podríamos decir que los altos ejecutivos de la empresa ven al área de tecnologías de la información y por ende, a la de seguridad de la información, como la sección de la inversión en “juguetes novedosos y costosos” que buscan generar un poco de más confianza en las operaciones de la empresa, pero no mayor valor para el negocio.

En consecuencia, la transformación y renovación de esta percepción de la alta gerencia en los seguridad de la información debe pasar no solamente por una estrategia tecnológica, sino social y cultural que implique una distinción complementaria de los riesgos en los activos de información de la empresa. Es decir, desarrollar un liderazgo de alto nivel sobre la protección de los activos, como parte de la práctica gerencial de la empresa, una visibilidad ejecutiva de la seguridad en los comités directivos y una cultura de seguridad de la información anclada en los supuesto propios de la empresa, que no solamente la perciba como algo que existe en el exterior, sino que se construye y vive en su interior.

Para lograr, lo propuesto en el párrafo anterior, no se requiere amplios esfuerzos en estrategias de gestión del cambio, sino articular tres elementos fundamentales detallados en el estudio de KAYWORTH, T. y WHITTEN, D. (2010) que son:

• Balancear el aseguramiento de los activos de información con la necesidad de apalancar el negocio
• Mantener el cumplimiento
• Asegurar la alineación cultural

En este sentido, dicen los autores que se podrá desarrollar una estrategia efectiva de seguridad de la información que permita a los ejecutivos de la empresa salir de las “historias de horror y miedo” (concepto acuñado por BAYUK 2010) de la seguridad (como son los incidentes de seguridad), para entrar en la etapa del reconocimiento estratégico del valor de la seguridad de la información, como una forma de comunicarse con sus grupos de interés y los mismos procesos de negocio, y asegurar que la información que fluye entre las diferentes áreas, está disponible, controlada, gobernada y ágilmente procesada para que las metas de la organización se transformen en realidades evidentes y visibles tanto para los accionistas como para sus empleados.

Comprender la función de seguridad de la información como una forma de apalancar la manera como la empresa genera valor y lo comunica a sus clientes y demás interesados, debe llevar a los responsables de la seguridad de la información a cuestionarse sobre el enfoque de su estrategia de seguridad de la información más allá del aseguramiento de los perímetros porosos, de las acciones proactivas de identificación y manejo de vulnerabilidades, de los programas de sensibilización e interiorización de la seguridad y de la misma estrategia de cumplimiento legal y normativo, para reenfocar las conversaciones sobre la seguridad de la información más en términos de logros y servicios de apoyo a las estrategias de negocio, que en los componentes de tecnología que los hicieron posibles.

De otra parte, los responsables de la seguridad de la información, sabiendo que es fundamental mantener la segregación funcional con sus pares de la seguridad informática, deben comprender que su trabajo no termina cuando una tecnología de seguridad se instala y asegura lo que ha prometido, sino que allí debe iniciar la construcción de la nueva distinción de seguridad de la información, más allá de la técnica puesta en operación, sino en la percepción de la confianza y aseguramiento de los activos de información que entregue y comunique el valor mismo de la estrategia de la compañía en el proceso de negocio, que haga evidente una experiencia útil y estratégica tanto para los clientes como para el proceso.

Dicho lo anterior, los profesionales de la seguridad de la información no deben hacer cumplir de manera inflexible las reglas y estándares propios de los sistemas de gestión de la seguridad de la información, sin comunicar en el lenguaje del negocio, el porqué estas existen y cómo se articulan con el hacer mismo de los procesos de la empresa. Por tanto, la comunicación del valor de la seguridad de la información en un contexto estratégico y táctico, se centra en las personas, sus habilidades, actitudes y las manera como ellas interactúan con el resto de las áreas y sus procesos, y cómo las prácticas de protección de los activos de información son parte de su manera de actuar y hacer.

Si bien las consideraciones técnicas de la seguridad de la información se deben asegurar y funcionar conforme lo que se tiene previsto para hacer realidad, una percepción de la seguridad de la información requerida en los procesos de negocio, el lenguaje que se utilice para insertarla en la comunicación del valor para los negocio, deberá ser el más adecuado y ajustado con las prácticas de los negocios y las metas corporativas. El área de seguridad no debería hablar de sus “clientes”, como sino fuese parte del negocio mismo; más bien, debe ser alguien que acompaña y se hace parte del proceso como colega o par que aprende junto con aquello que genera valor, para hacerlo diferente y novedoso, comunicando y cumpliendo su promesa de valor de apalancar los resultados de la empresa de manera confiable.

Los responsables de la seguridad de la información que quieran avanzar en una estrategia efectiva de seguridad de la información, no deberán descuidar los diferentes elementos mencionados en esta reflexión, sabiendo que en un entendimiento sistémico de la realidad de la organización podemos mejorar día a día el entendimiento de la inseguridad de la información en los procesos de negocio y descubrir, en la puesta en práctica del programa de seguridad de la información, que la seguridad perfecta no existe y que caminamos “en medio de la noche” con una luz encendida: un monitoreo proactivo.

A continuación el detalle de los tres mecanismos de administración de riesgos para una efectiva estrategia de seguridad de la información sugerida por KAYWORTH, T. y WHITTEN, D. (2010):

Mecanismos de integración organizacional
• Estructuras organizacionales formales

• Unidades organizacionales responsables de la seguridad de la información
• Existencia de un ejecutivo responsable de la seguridad de la información
• Función de auditoría interna

• Estructuras de coordinación

• Comité directivo de seguridad de la información
• Enlaces de seguridad de la información (oficiales de seguridad de la Inf.)
• Separación entre seguridad de la información y seguridad informática

• Coordinación de procesos

• Enfoque de seguridad de la información Top-Down
• Seguridad de la información embebida en los procesos críticos de la organización
• Aplicación flexible de estándares uniformes

Mecanismos de alineación social
• Culturales

• Programas de sensibilización e interiorización en seguridad de la información
• Desarrollo de redes informales de aliados estratégicos de la seguridad de la información
• Desarrollo mentoría y asesoría en seguridad de la información para las áreas de la empresa

• Liderazgo

• Compromiso ejecutivo basado en el reconocimiento de la información como un activo clave de la organización.

Competencia Técnica (El detalle propuesto en este tema es aporte del autor del blog y no hace parte del artículo original mencionado previamente)

• Continuidad de Tecnológica
• Control de acceso
• Integridad de la información
• Cumplimiento legal y normativo
• Gobierno de la seguridad de la información

Referencias
KAYWORTH, T. y WHITTEN, D. (2010) Effective information security requires a balance of social and technology factors. MIS Quarterly Executive. Vol.9, No.3. September.
BAYUK, J. (2010) Enterprise security for the executive. Setting the tone from de top. Praeger.