Inseguridad Tercerizada: Un reto de confianza, acuerdos y riesgos

Es claro que un mundo global, dominado por sistemas informáticos y acuerdos “on click”, las estrategias de tercerización para el área de tecnología de información se han convertido en una opción estratégica y financieramente atractiva, que permite ofrecer servicios altamente competitivos a costos aceptables impactando de manera positiva la ecuación de costos de las organizaciones en este nuevo milenio.

En este sentido, si bien esta realidad balancea de manera contundente las inversiones de las áreas de tecnología, también es claro que surgen nuevos interrogantes que continúan en la agenda de los ejecutivos de tecnología como son:

· ¿Será que los datos e información que compartimos con el prestador del servicio están tan asegurados como si los tuviésemos locamente en nuestras instalaciones?

· ¿Cómo obtengo un servicio tan bueno como el que podría ofrecer en mis instalaciones, sin perder el control de los datos e información?

· ¿Qué debemos entender y aplicar frente a las regulaciones de cumplimiento en TI, ahora en un contexto de tercerización?

Si revisamos estas tres preguntas críticas alrededor del tema de tercerización, todas ellas nos hablan de la seguridad de los datos y la información, de la forma como ellos se deben comportar y de cómo debemos asegurar las evidencias de un adecuado control de éstos.

Cuando compartimos información y datos con un tercero, surge la necesidad de establecer una serie de protocolos de intercambio y acuerdos sobre el manejo de aquellos. Para ello, se requiere no sólo conocer las bondades y buenas prácticas del tercero, sino adelantar una serie de cláusulas contractuales que obliguen al tercero a tener un conjunto de acciones que adviertan al contratista que la información y los datos de la empresa exigen un tratamiento especial, y que cualquier falla en el cumplimiento de los controles de seguridad previstos, implicará un perjuicio cuantificable y evidente que tendrá que resarcir frente a las regulaciones previstas en el país donde se encuentre y el acuerdo de voluntades firmado por las partes.

De otra parte, cuando ofrecemos servicios a través de terceros, los datos y la información implícitamente quedan bajo el control del contratista, debiendo la empresa contratante establecer estrategias que permitan verificar el “adecuado uso de la información y los datos” frente a las condiciones de sus clientes en el manejo de éstos. En este sentido, deberá adelantar el aseguramiento de sus funciones internas para evitar la ambigüedad inherente al ser un tercero de confianza en la administración y uso de los datos e información de una empresa: gobierno de los datos Vs. Usos de la información. Mientras a un tercero es posible delegarle la custodia de los datos en sí mismos, se hace necesario revisar en el contratante, hasta donde será la información parte de los activos entregados en dicha custodia.

Los escenarios anteriormente comentados, nos sitúan en una realidad emergente que es cómo comprender las regulaciones y normas de cumplimiento en tecnologías de información en una realidad donde un tercero hace parte de la custodia y operación de la infraestructura de tecnología, los datos e información de una empresa. Algunos manifiestan que todo esto se resuelve desde la perspectiva enunciada por temas contractuales, mientras otros dicen que no es suficiente y se hace necesario otro tipo de estrategias.

En este sentido, el cumplimiento exigido para el área de tecnología de información de una empresa, soportada en un contrato de tercerización con un contratista externo, se debe basar en la relación de confianza de las partes, en quién controla qué y cómo, y cuáles son las evaluaciones que son realizadas por terceros independientes sobre la conveniencia de los procesos y procedimientos que éste tiene que soporten la confianza entregada por el contratante.

Es claro, que al entregar tanto la información como los datos e información a un tercero con infraestructura y dinámica propia es prácticamente imposible asegurar un cumplimiento estricto de las prácticas de seguridad y control, hecho derivado de que no es posible ver de manera cercana y real la operación misma del contratista en sus instalaciones. Por tanto, el cumplimiento o normatividad exigida para el área de TI que tiene parte de sus servicios con terceros, será más probabilístico que determinístico.

Así las cosas y considerando las implicaciones de los costos previamente revisadas en esta nota, la seguridad de los datos e información en el contexto de una función de tecnología de información con terceros, se puede ver, como anota el Dr. Geer, bien como un impuesto o como una inversión.

Si se hace necesario tener múltiples niveles de protección, que por demás disminuyen la facilidad de la operación y no permiten un manejo fluido de los procesos de negocio, la seguridad será un impuesto, que claramente será objeto del balance de costos de la empresa, perdiendo la esencia misma del control y manejo de los riesgos de la empresa, que más tarde podría impactar la imagen de la compañía. En consecuencia, la lección aprendida en este escenario nos dice que la seguridad de la información no debe generar nuevos impuestos que impacten la dinámica empresarial, sino ofrecer una manera para que el negocio opere de manera confiable.

De otro lado, cuando la reflexión de la seguridad de la información se desarrolla en el terreno de los riesgos y los flujos de información de los negocios, esta distinción se hace parte del lenguaje de los negocios; no se habla de controles o estrategias de protección, sino de características requeridas por los dueños de los procesos, para asegurar el flujo de la información, como una realidad inherente al proceso e inmersa dentro del lenguaje natural de la operación. Vista así, la seguridad es una inversión que nace en las mismas necesidades del negocio y que los encargados de la seguridad deben hacer realidad y asegurar que se dé según se tiene previsto.

Finalmente, cuando nos enfrentamos a la realidad de una función de tecnología de información tercerizada, debemos saber que no tenemos un control evidente y concreto sobre los datos e información, que confiamos en el buen juicio y prácticas del tercero, aunque podemos contratar una evaluación externa e independiente que nos pueda dar un concepto sobre cómo opera y sus impactos. Cuando tenemos un contrato de operación con terceros, la seguridad de la información tendrá siempre dos costos y dos realidades: los costos anticipados propios de las acciones de tratamiento resultado del análisis de riesgo (la realidad de las probabilidades) y los costos de las fallas o incidentes y de la retención de los datos requeridos para efectos probatorios, que finalmente determinan la efectividad de la gestión de seguridad y control (la realidad de las posibilidades). (GEER 2009)

Referencias utilizadas:

GEER, D. (2009) Economics & Strategies of Data Security. Verdasys Thougth Leadership Series.

La seguridad de la información: Una estrategia de aprendizaje

Russell Ackoff y Daniel Greenberg en su libro “Turning learning right side up” publicado por Wharton School Publishing en 2008 hacen una serie de reflexiones alrededor de la educación tradicional que bien se pueden aplicar al desarrollo de la función de seguridad de la información en una organización.

1. La educación tradicional se concentra en la enseñanza y no en el aprendizaje.
2. El objetivo de la educación es el aprendizaje y no la enseñanza.
3. La inteligencia es la habilidad para aprender, no es una medida de cuánto has aprendido.

La función de seguridad de la información tradicional se concentra en la información y cómo esta deber ser protegida. Es decir, estudia los detalles de ésta y sus medios de difusión o almacenamiento para establecer las medidas tecnológicas (en su amplio sentido de la palabra y no solamente elementos computarizados) requeridas que permitan un acceso confiable y controlado. En este sentido, la seguridad hace énfasis en la forma como deben hacerse las cosas para obtener el comportamiento deseado y evitar sorpresas en el futuro que impacten el nivel de confianza del usuario en el acceso a los medios donde se encuentre registrada o almacenada la información.

En consecuencia con lo anterior, una función de seguridad de la información planteada de esta forma, trata de encontrar e impartir una manera de entender la protección de los activos de información orientada claramente por los controles conocidos y aplicados. En este sentido, las personas reconocerán la seguridad de la información como la atención a las medidas de restricción que le permiten conocer el nivel de confiabilidad del acceso y uso de los datos y su procesamiento, haciendo de éstas una rutina básica y propia que cada persona debe memorizar y aplicar.

Entender la función de seguridad de esta manera, es cerrarle la posibilidad a la organización para descubrir en su función de negocio, nuevas formas de construir confianza en el acceso y uso de la información; es negarle la posibilidad de reconocer nuevos valores y comportamientos que se pueden desarrollar para confirmar una estrategia de protección basada en las personas; es perder el potencial de acción y conocimiento de cada individuo en los procesos de negocio, para revelar las intenciones de los atacantes.

Si el objetivo de la educación es el aprendizaje, el de la seguridad son los riesgos y no los controles. Parece una herejía lo que se plantea en esta reflexión, pero no lo es; es realmente el resultado de comprender que la seguridad es una propiedad emergente de un sistema, que no imparte clases sobre cómo fluye y se asegura la información, sino más bien busca constantemente respuestas en los inesperados comportamientos que él mismo presenta, fruto de la interacción de éste y sus componentes.

Si no existieran los riesgos o pudiésemos tener situaciones sin riesgos, la seguridad sobraría, no sería elemento sensible a considerar. Pero como no existe tal condición y la constante es que estamos expuestos a los riesgos, se hace necesario aprender de la incertidumbre y de las “fallas de control” para comprender que en la sabiduría del error esta la fuente del aseguramiento permanente de la información de las empresas.

Si el secreto de la educación es el aprendizaje, entonces la inteligencia de la función de la seguridad estará en su capacidad de aprender de la dinámica de los flujos de la información en los negocios, comprender las condiciones inseguras a las cuales está expuesta la información, detallar y moderar las expectativas de los responsables de la información, con el fin de actuar como asociado y consultor interno, que permita acompañarlos en la valoración permanente del nivel de seguridad requerido; no para hacer invulnerable el tratamiento de la información, sino para encontrar nuevas formas para responder ante la inevitabilidad de la falla.

En este sentido, el encargado o responsable de la seguridad, en inglés el Chief Information Security Officer – CISO deberá entender su función como una estrategia de aprendizaje permanente y no de enseñanza, que le permita descubrir y afinar en la práctica que no se trata de transmitir, instruir, enseñar o usar la seguridad, sino más bien construir una comprensión conjunta, tangible y concreta de los riesgos de la información desde la dinámica del negocio que de manera natural sugiera sus estrategias de aseguramiento.

Inseguridad de la información en 2010

Cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y disímil, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

Considerando lo anterior y con la alta probabilidad de andar por sendas poco conocidas, trataremos de hacer una visión hacia adelante sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales de los eventos que se han manifestado hasta el momento y prometen seguir en el 2010.

A continuación cinco predicciones de lo que puede pasar durante 2010 en temas de inseguridad de la información.

1. Tormentas en la nube

Nuestra huella digital (datos que nosotros mismos generamos en sitios web, redes sociales, blogs, entre otros) (IDC REPORT 2008) cada vez es más amplia y visible. Ahora en un contexto de computación en la nube, donde tenemos una visión distribuida y de multiservidores virtualizados, es posible tener una sombra digital (información sobre nosotros) cada vez más extendida, difusa y muchas veces distorsionada, que impacte directamente los temas de seguridad y privacidad tanto de los datos como de la información.

Ante esta realidad, que de acuerdo con un estudio reciente de IDC, se espera que la inversión en este tipo de servicios crezca un 27% para 2012, es decir una inversión de 42 billones de dólares, (MATHER, T., KUMARASWANY, S. y LATIF, S. 2009, pág.10) es evidente que iniciativas como la de la Cloud Security Alliance animen las reflexiones y discusiones de las diferentes implicaciones de este tipo de tendencias que pone de manifiesto una computación basada en servicios de infraestructura, plataforma y aplicaciones.

2. Inseguridad móvil: equipos, datos e información

La realidad de los dispositivos móviles es contundente. Las cifras manejadas por Canalys (2009) sobre el mercado de teléfonos inteligentes donde se muestra un crecimiento de 4% año con año de estos dispositivos, llegando a una cifra de 41.4 millones de unidades en el tercer cuarto de 2009, así como el despacho de estas unidades con servicios integrados como GPS y WI-FI, nos muestran que habrá mayores elementos que analizar y proteger en la computación móvil.

Esta tendencia sumada al hecho que no se cuentan con adecuadas medidas de aseguramiento y control en este tipo de dispositivos (MAISTO 2009), nos abre un panorama bastante inestable y exigente para mantener el nuevo perímetro extendido de las organizaciones. Adicionalmente, la tendencia creciente del uso de memorias o dispositivos USB (más de 860 millones de unidades despachadas en 2007, considerando un crecimiento de 15% para 2010 según estudio reciente de Gartner – JUNGO 2009), se mantiene y extiende la alerta de fuga y pérdida de información en las organizaciones, lo que implica un ejercicio estratégico de los responsables de la seguridad de la información por incorporar prácticas de aseguramiento de información adecuadas con los flujos de información de negocio.

3. Cultura de la inseguridad: Desobediencia del factor humano

Considerando las reflexiones efectuadas por Furnell y Thomson (2009) en su documento de febrero de 2009 sobre la desobediencia de los usuarios para aceptar las medidas de seguridad de la información, es claro que las estrategias de sensibilización e interiorización de la seguridad, sigue siendo un reto importante para las áreas de seguridad de la información.

Mientras la seguridad de la información siga siendo un elemento externo la cultura de la organización, que no se contemple como parte fundamental de los procesos de negocio, basado en los flujos de información articulados en las soluciones de tecnología y adicionalmente, se advierta como “algo” que hay que cumplir por regulación o mandato normativo, las iniciativas de seguridad de la información serán objeto de apatía, desobediencia y resistencia. En este contexto, se genera un campo abonado para que la inseguridad riegue con serenidad sus nuevas semillas, esperando sin mayores contratiempos que nuevas manifestaciones hagan su aparición tanto en la tecnología, como en los procesos y las personas.

4. Nuevos retos, nuevas habilidades: Ciberseguridad, forensia y administración de riesgos

Ante una realidad de tecnologías de información y comunicaciones basadas en temas como computación en la nube, tecnologías convergentes, movilidad, perímetros porosos y plagas informáticas extendidas (redes sociales y teléfonos inteligentes), se requiere que los profesionales de la seguridad de la información desarrollen nuevas habilidades (GUPTA 2009, FIELD 2009) que permitan enfrentar esta realidad y apalancar las mismas en una cultura de seguridad de la información que genere una “barrera” importante para los atacantes y sus pretensiones.

La administración de riesgos, ya no es un ejercicio corporativo o específico efectuado para validar un contexto específico de un tema, tecnología o proceso, sino una competencia organizacional de cada uno de los individuos, que permita mantener un nivel de riesgos conocido, basado en prácticas confiables de administración de activos de información. De manera complementaria, dichas prácticas confiables, deberán estar como valores en uso (en todos los individuos de la organización) que muestren una relación adecuada con los servicios expuestos en internet y la información que se comparten allí.

Finalmente y no menos importante, cuando se materializa una falla de seguridad o peor aún, se hace evidente un fraude, se requiere que este profesional cuente con las habilidades requeridas para identificar, recoger, analizar y presentar los elementos materiales probatorios que sustenten las pruebas requeridas ante procesos jurídicos que se deriven de la atención de incidentes o actos ilegales. (CANO 2009) Esto no es otra cosa, que se cuente con destrezas propias de la computación forense que permitan avanzar rápidamente en la contención y análisis de lo ocurrido.

5. Las bases de datos: “la joyas de la corona en jaque”

El almacenamiento de los datos e información siempre es materia de análisis y revisiones en las organizaciones del siglo XXI. Un reciente estudio de ESG Research (ESG RESEARCH 2009), sobre las bases de datos, nos muestra que un alto porcentaje de ellas dependen de procesos manuales y que no cuentan con apropiadas medidas de seguridad, de acuerdo con la información, generalmente catalogada como confidencial, que permanece en ellas.

Así las cosas, la fuente principal, el insumo básico para el funcionamiento de las organizaciones y sus procesos de toma de decisiones, se encuentra en una ruta de malas prácticas y procesos poco automáticos que hacen encender las alarmas de los responsables de la seguridad de la información, para iniciar un proceso de aseguramiento que permita ajustar un paso más en su estrategia metodológica de defensa en profundidad.

Si bien esta tendencia en las bases de datos no es nueva, a lo que si apunta esta predicción, es a advertir que no es posible seguir aplazando este proceso de aseguramiento, de integración con las características de seguridad de las aplicaciones y por qué, no parte inherente y fundamental de la arquitectura de tecnología de información y comunicaciones de las compañías.

Referencias

CANALYS (2009) Smart phone market shows modest growth in Q3. Disponible en: http://www.canalys.com/pr/2009/r2009112.htm (Consultado: 13-Dic-2009)

ESG RESEARCH (2009) Frightening database security realities. Disponible en: http://www.guardium.com/assets/PDF/Databases_at_Risk_An_ESG_Research_Brief_Compliments_of_Guardium_2009-_09.pdf (Consultado: 12-Dic-2009)

GUPTA, U. (2009) The future of Information Security Profession. Disponible en: http://www.bankinfosecurity.com/articles.php?art_id=1997&opg=1 (Consultado: 13-Dic-2009)

FIELD, T. (2009) Core security skills: What’s required in 2010? Disponible en: http://www.bankinfosecurity.com/articles.php?art_id=1976&opg=1 (Consultado: 13-Dic-2009)

JUNGO (2009) USB Market Overview. Disponible en: http://www.jungo.com/st/usb_market.html (Consultado: 13-Dic-2009)

MAISTO, M. (2009) Enterprise cell phone security is lacking, say report. Disponible en: http://www.eweek.com/c/a/Mobile-and-Wireless/Enterprise-Cell-Phone-Security-Is-Lacking-Says-Report-757731/ (Consultado: 13-Dic-2009)

IDC REPORT (2008) The diverse and exploding digital universe. Disponible en: http://www.emc.com/collateral/analyst-reports/diverse-exploding-digital-universe.pdf (Consultado: 13-Dic-2009)

Sin autor. (2009) Horóscopo 2010 para la seguridad informática. Disponible en: http://www.redusers.com/horoscopo-2010-para-la-seguridad-informatica (Consultado: 12-Dic-2009)

FURNELL, S. y THOMSON (2009) From culture to disobedience: Recognising the varying user acceptance of IT Security. Computer Fraud & Security. February.

CANO, J. (2009) Computación forense. Descubriendo los rastros informáticos. Editorial AlfaOmega.

MATHER, T., KUMARASWANY, S. y LATIF, S. (2009) Cloud security and privacy. An enterprise perspective on risks and compliance. O’Really.

Fraude y Fuga de Información: Inseguridad en dos sectores críticos

Luego de revisar múltiples documentos relacionados con riesgos en el área de tecnología, considerar los conceptos relacionados con las “sorpresas predecibles” y verificar en la práctica la pertinencia de los mismos en la gerencia moderna de las tecnologías de información y las comunicaciones – TICS, no es aventurado considerar que la administración de riesgos es una competencia que todo aquel que desee diferenciarse en la práctica de su profesión en el siglo XXI, debe desarrollar y afianzar.

En este contexto, revisando la práctica de la administración de riesgos en dos industrias, como la financiera o bancaria, así como en la industria de la energía (particularmente la del petróleo), se advierten riesgos propios y claves donde la tecnología juega un papel fundamental en el entendimiento de cada uno de éstos sectores.

Mientras en la banca, el riesgo o motivador fundamental de la administración de riesgos es el fraude, es decir, “esa conducta que busca engañar a un tercero, buscando un beneficio propio”, en la industria del petróleo es la fuga de información, esa “acción deliberada y consciente para liberar información de carácter estratégico o sensible, que debilita la posición estratégica de una organización”. Los dos riesgos enumerados, demuestran ampliamente que cada sector requiere estrategias diferentes para hacer que sus negocios funcionen de la mejor forma y generen valor para sus accionistas.

En este escenario, la TICS juegan un papel fundamental, bien para apalancar una estrategia de seguridad y control que limite la materialización de un fraude o la fuga de la información, o bien para ser herramienta facilitadora de los mismos. Sin embargo, es de anotar, que para el tratamiento de cualquiera de los dos riesgos identificados, las solas TICS no son suficientes, por lo cual se requiere una visión holística que permita integrar las múltiples variables que permitan comprender las interrelaciones de las personas, la tecnología y los procesos, para así visualizar acciones que permitan confrontar dichos riesgos.

Las TICS como facilitadores del fraude establecen y advierten una serie de características que, de una u otra forma, son prácticas inadecuadas que potencian que dicho riesgo se haga realidad. Cuando contamos con una plataforma tecnológica que desconoce la segregación funcional, el principio del menor privilegio, la aceptación psicológica del control, la defensa en profundidad, un diseño abierto, una postura de falla segura y la sencillez en la implementación, estamos abonando el terreno para que la inseguridad de la información se haga presente y tenga múltiples espacios para sorprendernos y así, dejar en evidencia, que nos falta comprender mejor las TICS y sus relaciones, así como los flujos de información en los procesos de negocio.

Cuando de caracterizar la fuga de información a través de tecnologías de información y comunicaciones, la situación no mejora; se hace evidente que la información, si bien, es un activo fundamental para la organización, ésta afirmación no se hace efectiva en las prácticas de seguridad en cada uno de sus procesos de negocio. La información como activo base de la movilización y decisiones de la organización es una realidad que enfrenta múltiples enemigos que buscan hacerla presa de la incertidumbre, la imprecisión, la no disponibilidad, la pérdida de sus principios: confidencialidad, integridad y disponibilidad, que en últimas demuestran los exigentes comportamientos que tanto tecnología, como procesos y personas deben asumir para mitigar, transferir y asumir frente dichos enemigos.

Tanto el fraude como la fuga de información, son realidades que están apalancadas en aplicación sistemática de malas prácticas, que llevan indefectiblemente a las organizaciones al escenario de los incidentes, los cuales deben ser identificados, clasificados, valorados e investigados (cuando la situación lo amerite y valoración lo establezca) de cara a reconocer que debemos continuar aprendiendo de lo que ocurre y claro está, evitar que la misma conducta o condición se haga evidente.

Por tanto, cuando reconozcamos que la inseguridad de la información debe ser nuestra maestra y compañera, cuando hagamos evidente en nuestras valoraciones de riesgo, que el riesgo residual siempre estará latente y deberá ser monitoreado, sólo hasta ese momento podremos tener una postura vigilante y un mínimo de paranoia administrada, que sea la base de nuestra estrategia de defensa, que no es más que el mejor ataque contra la ágil, despierta y siempre activa inseguridad.

Otras fuentes de información:
http://www.acsac.org/secshelf/papers/protection_information.pdf
http://newsroom.cisco.com/dlls/2008/prod_111208.html
http://www.acfe.com/documents/managing-business-risk.pdf