Inversión en seguridad de la información: Volver a los principios

Recientemente se ha publicado un estudio del Instituto Ponemon sobre el estado de la seguridad en las aplicaciones web, donde muestra con claridad que se avanza poco en esta área tan crítica para las organizaciones en la actualidad. Sin embargo, llama la atención el estudio de la inversión en seguridad de la información que se presenta como parte de este reporte, que nos recuerda un ejercicio similar realizado por Peter Kuper en 2005 y publicado por el IEEE Security & Privacy en el mismo año.

Si las coincidencias no existen, estos dos reportes parece se han puesto de acuerdo en sus resultados. La diferencia de 5 años en su publicación y sus diferentes autores, nos dicen que algo está ocurriendo con los temas relacionados con la inversión en seguridad de la información. Es posible que los costos asociados con la infraestructura de seguridad de la información se han venido incrementando y la tendencia se mantiene, ó no hemos cambiado el foco de atención en los últimos 5 años en las prioridades de la seguridad de la información.

Tomado de: KUPER 2005

Si revisamos los resultados del estudio de KUPER, según sus análisis en 2005, la inversión en seguridad de la información se concentraba en el perímetro, donde se encuentran las cajas “anti” de la seguridad: antispam, antyspyware, antivirus, las cuales hoy por hoy son parte natural de las infraestructuras de seguridad de las organizaciones. De igual forma, los temas de redes y aplicaciones se consideraban en menor cuantía, dejando relegada la inversión en los temas de los datos. Parece increíble que la razón de ser de la seguridad no tuviese la mayor prioridad en la inversión. Sin embargo, luego de consultar a varios especialistas en el tema se dice que “si se atiende el segmento perimetral, mucho se avanza en la protección de los datos”, de no ser así la situación fuese peor.

Considerando lo anterior y las reflexiones de los especialistas parece que la dinámica interna de las organizaciones no se encuentra en el radar de prioridades, pues el atacante interno, uno de los principales protagonistas hoy en las organizaciones, parece estar desatendido y muchas veces subestimado. Basta con revisar las estadísticas de fuga de información que se han presentado durante este año, para ver que este fenómeno sigue ganando fuerza y afectado la imagen de las organizaciones modernas. Así las cosas, las inversiones perimetrales, si bien son necesarias y requieren su afinamiento, no es posible descuidar la fuerza, ni la dinámica de los datos en los procesos y flujos de información en los negocios, donde las personas son los principales protagonistas.

Tomado de: PONEMON INSTITUTE 2010

En este sentido, cuando revisamos los resultados del Instituto Ponemon, vemos que la seguridad de los datos, si bien ha avanzado en las inversiones de seguridad, la infraestructura es la “reina” que continúa mandando en los presupuestos de las áreas de seguridad. Los datos y la información de las empresas son la materia prima que los negocios del siglo XXI demandan para hacer la diferencia. Si este insumo fundamental no cuenta con las características mínimas de integridad, confidencialidad y disponibilidad, habrá una ola masiva de desconfianza que no permitirá elaborar y concretar relaciones estratégicas de largo plazo que comuniquen el valor a la gerencia y sus grupos de interés.

La seguridad de la información no se trata de medios, sino de fines. Se trata de principios y no de medios tecnológicos; es una reflexión, que centrada en las personas, nos permite entender las relaciones de confianza que se deben crear alrededor de los procesos de negocio, en los cuales la información y datos correctos, se entregan a las personas correctas. Es una dinámica de formalidad en el uso de la tecnología como habilitador de la acción, sustentada en una cultura de seguridad de la información, que no es otra cosa que un hábito consecuente y reiterado, que le dice a persona lo valioso de la custodia de los datos y la consistencia en la generación de la información.

No podemos avanzar en un fortalecimiento de la seguridad de la información sino nos concentramos en los principios. La tecnología evoluciona, las personas de igual forma, pero los fundamentos permanecen. Así las cosas, que cuando volvamos a revisar nuevamente el avance de la inversión en seguridad de la información, prevalezca la esencia del aseguramiento de la información y no las modas y procesos evolutivos de la tecnología, que si bien son necesarios y claves para el desarrollo de las estrategias de protección, nunca reemplazarán al eslabón más débil de la cadena y fin último de la seguridad: La gente.

Referencias

KUPER, P. (2005) The state of Security. IEEE Security & Privacy. Septiembre/Octubre.

PONEMON INSTITUTE (2010) The state of Web Application Security. Disponible en: http://www.imperva.com/ld/ponemon_web_application_security.asp

Inseguridad de la información: Confusión de fines y perfección de medios

Recientemente revisando el libro de Chris Lowney, denominado “Vivir Heroicamente” se identifica una frase que claramente describe una estrategia para comprender la dinámica de la seguridad de la información en los últimos diez años: “Albert Einstein observaba que nuestra era podía describirse acertadamente como una en la que hay "perfección de medios" y una "confusión de fines”.

Durante esta primera década del siglo XXI los encargados de la seguridad de la información han confundido los fines de la seguridad con los medios para alcanzarla. Prueba de ello, es la preponderancia que ha tenido la tecnología sobre las personas y los procesos organizacionales. Si bien, se ha observado claramente iniciativas que privilegian la formación de individuos en los temas de seguridad de la información, la magia de las tecnologías de seguridad de la información ha ocupado a la industria, particularmente en el aseguramiento de los perímetros tecnológicos de las empresas, ahora más porosos que antes.

En este sentido, se observa un amplio perfeccionamiento de las tecnologías, haciéndose más sensibles y afinadas con los cambios dinámicos del ambiente y con mayores índices de efectividad frente a las nuevas amenazas y fallas. Sin embargo, el fin último del aseguramiento de la información nos se percibe, ni se avizora como se quisiera tanto en las organizaciones como en las personas.

Las empresas al transformar los medios (las tecnologías de seguridad) en los fines de la estrategia de seguridad de la información, confunden y desdibujan los esfuerzos sistémicos para comprender la inseguridad de la información en la dinámica de la empresa, privilegiando las fallas de seguridad de las máquinas, perdiendo el horizonte de experiencias y expectativas de las acciones y hábitos cotidianos de las personas.

Al privilegiar los medios sobre los fines, la inseguridad se apodera de la arrogancia del analista de seguridad para demostrarle que sus “fierros tecnológicos” sólo representan una parte de su ecuación y que tarde o temprano deberá reconocer que no ha visto el bosque y que los solos árboles no tienen la respuesta al desafío del aseguramiento de la información.

Cuando el analista de seguridad entiende que el fin último es el aseguramiento de la información en la realidad de la persona (como prácticas) y procesos de negocio de las empresas (sistemas de gestión y control), la inseguridad advierte la activación de la inteligencia estratégica que se inicia para desentrañarla de los diversos escondites, de sus diferentes máscaras y disfraces, que si bien no logrará conocerlos todos, si tendrá las bases o patrones para continuar avanzando en el reconocimiento de ésta.

Cuando los responsables de la seguridad de la información se concentran apasionadamente en los fines de la protección de la información, se activa la destrucción creativa que desequilibra a la inseguridad; se reinventan de manera continua la seguridad y se desvanece la “falsa sensación de confianza” que ocupa a los conformes y tradicionalistas de la seguridad, que entienden ésta como medio y no como fin.

Si queremos alcanzar un resultado evidente en la gestión de la inseguridad de la información, debemos entender la brecha entre nuestra realidad y la visión deseada, para construir de esta forma, una ruta de medios ajustados con la exigencia de la inevitabilidad de la falla y la pasión por un fin, que no es otra cosa que “sobreponernos a nosotros mismos, levantar a quienes nos rodean y potenciar nuestros talentos y dones” y así poder responder con oportunidad, cuando nuestra maestra “la inseguridad” nos presente una nueva lección.

Referencias
LOWNEY, C. (2010) Vivir heroicamente. Ed. Norma.

Signos y señales de la Inseguridad de la información: Pérdida y/o fuga de la información

Dice el Padre linero en su libro “Orando y Viviendo para pensar en la Cotidianidad” que DIOS habla a través de signos y que DIOS da señales de su voluntad. Los signos son demostraciones concretas que hacen evidente la manifestación de una realidad, mientras las señales son elementos que nos indican algo, te muestran un camino, te sugieren una posibilidad.

Las señales en sí mismas, no son DIOS, sino elementos que deben ser revisados en el contexto de lo que ocurre, para revelar aspectos del camino que se sigue en el contexto de la vida. Por lo tanto, pueden seguirte muchas señales particulares que pueden ser ignoradas o analizadas, y es tu deber dedicarte a revisarlas o ignorarlas según tu cosmovisión del mundo y acercamiento a tu Creador.

Considerando lo anterior como inspiración base para nuestras reflexión ante la pérdida y/o fuga de la información, se hace necesario monitorear y revisar de manera permanente los signos reportados de las fallas de seguridad, los comportamientos inadecuados con el uso de la información y las diferentes tendencias que la industria revela frente a las vulnerabilidades que se presentan con frecuencia tanto en procesos organizacionales como en las tecnologías de información disponibles.

Cuando las organizaciones no se encuentran atentas a los “signos de los tiempos”, las sorpresas se hacen evidentes, los riesgos se materializan y los pronósticos se comprometen. En este sentido, las empresas deben “sensar” y responder a su entorno, de tal manera que capitalicen los referentes que marcan las “señales del camino” con relación a la información, como esa nueva moneda que circula de manera restringida o libre, según se establezca por sus dueños o propietarios.

Así las cosas, este documento presenta una revisión básica sobre la fuga y/o pérdida de la información, la cual busca la restitución de la importancia de la clasificación de la información, no como una actividad del proceso de aseguramiento de la información, sino como una competencia básica que le dé la relevancia a la información como activo real y concreto de las personas y las empresas del siglo XXI.

Somos las personas, los primeros y más importantes custodios de la información y como tal, debemos advertir una serie de buenas prácticas que nos permitan mantener ésta asegurada según se requiera.

Para que esto sea real, la clasificación de la información, es una actividad y a la vez una competencia que cada uno de nosotros debe desarrollar. La información clasificada define el nivel de importancia y protección que una persona debe darle a la misma, lo que en sí mismo, delinea aquello que no deberá circular y lo que deber fluir de manera restringida.

Frente a esta práctica y competencia nuestra en esta sociedad de la información y el conocimiento, existen signos concretos que muestran su necesidad. En el reciente informe elaborado por Forrester por encargo de RSA y Microsoft, liberado en marzo de 2010, denominado The value of corporate data, se advierte que el 57% de las fugas de información de las empresas están asociados con accidentes de los empleados como son: pérdida del teléfono móvil (smartphones), pérdida de computador portátil con información sensible de la empresa y publicación o envío de información sensible de la empresa a través de medios masivos de información o vía correo electrónico respectivamente.

Así las cosas, cuando no se cuenta con una adecuada clasificación de la información que articule la práctica misma con las tecnologías disponibles, las fallas o accidentes que se presenten generarán mayores activos tóxicos, como los menciona el informe de Forrester, en términos de titulares de prensa, multas, sanciones legales y quejas de los clientes, que generan pérdida de valor de la empresa y daños importantes en la imagen y competitividad de la empresa en su entorno de negocio.

Considerando lo anterior, la clasificación de la información o mejor de activos de información, se vuelve una práctica requerida y general para cualquier organización, como la base para adelantar las actividades requeridas en sus relaciones de negocio. No tener asegurada esta práctica, expone a la organización a una pérdida de posicionamiento global e importantes impactos económicos, que debilitan, no solo los informes de pérdidas y ganancias, sino también la moral interna de la organización, pues cada persona recibe un mensaje encontrado que no sabe cómo interpretar frente a una de las actividades centrales de la compañía: generar valor con la información.

Esta realidad de la clasificación de la información, asociada con los elementos de cumplimiento normativo se enfrentan a las necesidades de agilidad de los procesos de negocio y la información secreta, donde reside el 70% de la información clave de las empresas para su posicionamiento local y global, según anota el reporte de Forrester. Para tratar de encontrar un balance entre estas necesidades y realidades organizacionales el informe The Value of Corporate Data establece los siguientes elementos para revisar:

1. Identifique los más importantes activos de información en su portafolio de negocio. Esto es clasifique la información secreta y restringida de la firma que le permita tener por área de negocio aquellos datos que no deben circular y deben ser custodiados por responsables específicos con medidas de control concretas; y los flujos de información de los procesos críticos de negocio, con aquella información que sólo le interesa a dicho proceso y que requieren medidas de control adecuadas para evitar su filtración, fuga o pérdida. En este último escenario, estos activos de información se volverán tóxicos en la medida que el proceso de gestión de incidentes no se encuentre probado o sea ejecutado de manera improvisada.

2. Funde el registro de riesgos de seguridad de los datos. Esto es, divida los registros de dos formas: los registros asociados con el cumplimiento normativo y el mal uso de la información secreta. Sabrá que mientras más riesgos materializados por incumplimiento normativo, mayores posibilidades de un mal uso de la información secreta se puede advertir. Así mismo, al materializarse un uso no adecuado de la información secreta, analice en el contexto del área y los individuos que tienen acceso a esta información, para documentar las lecciones aprendidas y fortalecer los esquemas de segregación de funciones y control de acceso requeridos para este tipo de información.

3. Balancee el programa de seguridad de la información frente a las exigencias de cumplimiento y protección de la información secreta de la empresa. Esto implica comprender las necesidades y expectativas de la gerencia frente al manejo de la información y la “toxicidad” de sus activos, de tal forma que los responsables de la seguridad de la información, puedan avanzar en el fortalecimiento de la cultura de protección de los activos de información, desarrollo de métricas de efectividad del programa de seguridad y generación de confianza en la gestión de la información de la empresas tanto a su interior como con sus asociados y clientes.

Cuando observamos los análisis detallados en este documento, advertimos que se vienen dando signos evidentes que nos sugieren cambios estructurales en la manera como estamos manejando la información tanto a nivel personal como corporativo, lo que exige de los ejecutivos de riesgos empresariales y de seguridad de la información, alinear esfuerzos para incorporar en el desarrollo mismos del diseño de los procesos, las medidas de aseguramiento requeridas para disminuir la fuga y/o pérdida de la información.

Por otro lado, en diferentes industrias se presentan señales que sugieren comportamientos generalizados que materializan riesgos que afectan activos de información claves para las empresas, los cuales muchas veces no son vistos con la relevancia requerida por los altos niveles ejecutivos de las organizaciones, que pueden llevar a caminos peligrosos para la salud financiera y pérdida de imagen en su sector de negocio, afectando su posición y competitividad en el mediano y largo plazo.

En consecuencia, si bien esta reflexión no pretende ser una señal más sobre los signos evidentes que a diario se presentan sobre la inseguridad de la información, quiere proponer algunos elementos de análisis que nos cuestionen sobre lo que a diario ocurre en nuestras organizaciones y no detenernos en nuestro proceso de aseguramiento permanente de los flujos de información en los procesos.

Seguir en la ruta del crecimiento y competitividad organizacional, ignorando las señales del camino propias de la clasificación de la información, las prácticas de gestión segura de la información y el afinamiento de las tecnologías de seguridad requeridas para ello, es asegurar una constante acción reactiva y costosa de las organizaciones, que no se han detenido a pensar la importancia de ese activo real y concreto, cuya fuga o pérdida es el enemigo invisible de su crecimiento, de su posicionamiento.

Cuando la información organizacional, adquiere el status y relevancia en los niveles de decisión de las organizaciones, se abre una alianza real entre la administración de riesgos empresariales y los de seguridad de la información, que requiere de la mediación de los responsables de de la seguridad de la información para poder comprender en el contexto de cada uno de los proceso de negocio, las implicaciones de una fuga y/o pérdida de información empresarial.

Por tanto, no estemos esperando hablar directamente con la alta gerencia para comprender el valor de la información, sino que en cada una de tus acciones y actividades tanto personales como de negocio, sepas interpretar las señales y advertir los signos de la inseguridad, para así poder proceder en consecuencia y conquistar nuestros propios temores.

Referencias
FORRESTER (2010) The value of Corporate Secrets. How Compliance And Collaboration Affect Enterprise Perceptions Of Risk. March. Disponible en: http://www.rsa.com/document.aspx?id=10844 (Consultado: 18-04-2010)
NIST (2010) Guide to protecting the confidentiality of Personally Identifiable Information. April. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf (Consultado: 18-04-2010)
LINERO, A. (2007) Orando y Viviendo para pensar en la cotidianidad. Corporación Centro Carismático Minuto de DIOS.
DATALOSSDB (2010) Tipos de brechas de seguridad. Disponible en: http://datalossdb.org/statistics (Consultado: 18-04-2010)

RSA Conference 2010 - La apuesta de los fabricantes

La conferencia fue una oportunidad para conocer de primera mano los avances y reflexiones que los diferentes proveedores de la industria de seguridad de la información están desarrollando y cuáles son las perspectivas futuras en las cuales se están preparando.

Los temas de computación en la nube, dispositivos móviles, ambientes virtualizados, consideraciones legales de la seguridad y el factor humano fueron temas destacados y ampliamente comentados durante las diferentes sesiones. No obstante lo anterior, los elementos de ciberseguridad y recientes ciberataques fueron igualmente presentados por las autoridades nortamericanas como son el DHS – Department of Homeland Security y el Coordinador de la estrategia de ciberseguridad, que le reporta directamente al Presidente de los Estados Unidos de América.


Cloud Computing: El reto de los proveedores
Según el CEO de RSA, Art Coviello, la computación en la nube es la madurez requerida del área de tecnología para dar cumplimiento a los exigentes y demandantes requerimientos del negocio en términos de agilidad, oportunidad y celeridad en el despliegue de las soluciones de TI. Una computación por demanda, ajustable y elástica con las necesidades de los clientes, así como una homogénea estrategia de ajuste y pago por exclusivamente aquello que se use, ofrece a las organizaciones modernas, economías de escala que amplían lo que ya se había alcanzado con las estrategias de outsourcing o tercerización.

En este contexto, desde el punto de vista del negocio de TI, ya no debería ser problema directo de TI las condiciones desgastadoras del servicio, relacionadas con aprovisionamiento de usuarios, disponibilidad de servidores y redes, configuración de equipos o puesta en marcha de lugares de trabajo, pues existe un tercero con reglas claras de servicio y alcance de su labor. Mientras más sencilla sean las condiciones de operación y disposición de las tecnologías de información, menos interpretaciones habrá y mayores beneficios se pueden obtener de la relación con el tercero.

Es claro, que esta estrategia tercerizada deberá contemplar un fino y delicado análisis de riesgos que implique no solamente la operación y administración de la infraestructura, sino un aspecto fundamental como lo son los flujos de información del negocio que utilizan dicha infraestructura. Los datos e información se convierten en la “oportunidad” para encontrar puntos de apoyo y aseguramiento de la infraestructura que permitan tanto a cliente como a proveedor estar tranquilos por “cómo se manejan estos activos” y “cómo deben funcionar la operación para darle cumplimiento a las expectativas de cliente”.

Los resultados del análisis de la estrategia de tercerización deberán articular riesgos operativos, conocidos y administrados como parte de la función de tecnología de información interna de una compañía, como son entre otros: administración de la disponibilidad, control de acceso, control de cambios, administración de vulnerabilidad, administración de parches, administración de incidentes, monitoreo y seguimiento de uso, seguridad física, cumplimiento regulatorio, así como los derivados del nuevo alcance propuesto por la nube: multi-tenencia (datos de muchos clientes, en espacios físicos concurrentes), flujo de información corporativa en las redes, privacidad, transparencia y oportunidad en el aseguramiento y cumplimiento de auditorías de seguridad y control.

Esta realidad en la nube pone de precedente una nueva forma de hacer las cosas y de repensarlas de manera diferente, pues se hace necesario abrir el potencial del área de TI con el negocio, para que finalmente llegue más rápido a cumplir las expectativas de los cliente y se aseguren los flujos de información que circularán en la infraestructura del tercero. Esto sólo será posible si logramos poner en una vista holística lo que requiere el proveedor, lo que exige el cliente y cómo aseguramos un gobierno de esta relación que vincule las responsabilidades de la organización, en cuanto a definir con claridad que se espera del tercero y cómo el tercero, mantienen altos niveles de aseguramiento y control que confirme la confianza necesaria entre las partes para tener una relación exitosa.


Los móviles: El reto de un nuevo perímetro extendido
Los dispositivos móviles son, en complemento con lo anterior, el reto de mantener comunicados y conectados los negocios y las personas. Las comunicaciones móviles son la forma natural en el siglo XXI de estar en sintonía con la realidad del mercado y las personas. En este sentido, mucho se revisión en la conferencia frente al uso, aseguramiento y control de esta tendencia, que a continuación se detallan algunas de ellas

Twitter, facebook, la mensajería instantánea en general ofrece un lenguaje concreto y real para las organizaciones modernas. No se puede concebir, al menos en los Estados Unidos de América, una persona que no se encuentre conectada. Esto es, existe una nueva generación que basa su productividad en mantener “al día” “en conexión”, con información todo el tiempo. En este orden de ideas, desde la mirada de la seguridad de la información, se desvanece la figura de perímetro de seguridad como lo conocíamos y se despierta la distinción de una desperimetralización o mejor perímetros porosos y en manos de las personas.

Esta nueva realidad, les dice a los encargados de la seguridad de la información, que deberán educar y avanzar en la transformación de comportamientos de las personas, frente al manejo de la información y hacer de ella, un elemento valioso como el dinero, las joyas, el auto o su vida. Así las cosas, los comportamientos seguros, las guías de aseguramiento de dispositivos móviles y las prácticas de seguridad de la información deberán estar en la primera línea del programa de seguridad de las organizaciones, no como algo que seguridad de la información tiene que hacer, sino como aquello sin lo cual continuar la operación de negocio sería muy riesgoso en el mediano y largo plazo.

Los dispositivos móviles son el nuevo reto de la seguridad de la información frente a amenazas como la fuga de información, el código malicioso y la ingeniería social, pues la ingenuidad humana, la confianza excesiva en los dispositivos inalámbricos y una inadecuada higiene informática son aquellas cosas que implican abrir la caja negra del comportamiento humano y su relación frente a un entorno agreste e inseguro como el actual.

La virtualización: La nueva base de gestión de la infraestructura
De otra parte tenemos la virtualización, como la estrategia para “hacer rendir” los recursos computacionales de las empresas. Esta estrategia hace que la infraestructura tenga flexibilidad para recibir o configurar diferentes sistemas operacionales en máquinas virtuales distintas, en un mismo servidor. La estrategia de virtualización es exitosa cuando: (VELTE, A., VELTE, T. y ELSENPETER, R. 2010, pág.10):
• Se comparten sistemas computacionales entre múltiples usuarios
• Se aíslan usuarios de otros y de programas de control
• Se emula hardware en otras máquinas

La virtualización es la base conceptual sobre la cual se desarrolla la estrategia de computación en la nube. En este sentido, el balance entre seguridad y flexibilidad se vuelve sensible, cuando ésta (la virtualización) se hace a gran escala tanto dentro como fuera de la organización. En este mundo virtualizado la seguridad propia de los elementos que hacen posible la virtualización, como son entre otros, el Hypervisor, la máquina virtual y las guías de aseguramiento propias de estos programas, no se han detallado lo suficiente, generando incertidumbre en las bases de la estrategia misma, que podría verse comprometida con ataques sofisticados que puedan impactar la infraestructura de las empresas.

La diligencia en seguridad de la información: Una cuestión de riesgos
De otro lado, escuchar hablar a los abogados sobre seguridad de la información y el uso de los estándares de seguridad a la fecha y demás regulaciones emergentes que exigen aseguramiento de la información, se puede entender claramente que una es la responsabilidad legal propia de las funciones de negocio de una empresa y otra la aplicación de la buena práctica en seguridad de la información.

Es posible tener una buena práctica de seguridad de la información y no cumplir con la responsabilidad legal exigida por la organización. La idea para mantener alineada estas dos distinciones es reconocer claramente los riesgos propios de los flujos de información del negocio, donde se advierte claramente las posibles brechas e impactos en la seguridad de la información y las prácticas requeridas para mitigar tales riesgos. En este sentido, es posible que no se necesite la certificación de un estándar de seguridad, sino el aseguramiento sistemático de prácticas, alineadas con la buena práctica que permitan conjurar los niveles de exposición de los riesgos de la información en rangos aceptables por los dueños de los procesos.

En este contexto, la debida diligencia (due care) en seguridad de la información, es claramente un balance de los riesgos identificados por la organización en sus flujos de negocio, cómo las áreas mitigan esos riesgos y cómo el área de seguridad asegura el cumplimiento de las prácticas de seguridad y control diseñadas para tan fin. Estos resultados revelan finalmente, que si bien lo que legalmente es suficiente para probar una debida diligencia, no es necesariamente equivalente a lo que exigen las buenas prácticas internacionales.

El factor humano: el reto de una seguridad usable
No podemos concluir este reporte sin reconocer con claridad la necesidad imperiosa de trabajar con el elemento más importante de la seguridad, la persona humana. Ella es la fuente de las diferentes manifestaciones de la inseguridad, luego de las fallas propias de la tecnología o el software diseñado para protección de la información. Los ponentes establecen la necesidad de estudiar la psicología de la seguridad, cómo un elemento clave para el diseño y uso de la seguridad misma. Esto es, no es posible usar o entender la seguridad, sin comprender el lenguaje, percepción y entendimiento de la seguridad en los individuos.

Anotan los investigadores, que muchas veces los controles se superan (se sobrepasan) pues no están diseñados para ser usados y entendidos por las personas, sino para ser confrontados y cuestionados, dado que no son instalados en el contexto de su realidad y percepción. Sin embargo, es importante anotar que los panelistas reconocen que puede existir resistencia inicial sobre el tema, pero se puede suavizar en la medida que los participantes comprendan y reconozcan los riesgos y sus implicaciones en el contexto de sus negocios.

Ciberdefensa: un reto de país
Finalmente y no menos importante, se hizo énfasis en la necesidad de una estrategia conjunta entre el gobierno y el sector privado para construir una estrategia de ciberdefensa nacional que implica, aseguramiento y protección de la infraestructura crítica del país, así como una gran ofensiva y despliegue de buenas práctica de seguridad y control en los ciudadanos de la nación, pues reconocen que sin estas dos aproximaciones, habrá mayor espacio para materializar ataques mayores y con peores efectos, a los ya mundialmente conocidos adelantados en contra de Google y de 196 países, donde se encontraba involucrada una gran Botnet internacional.


Referencia:
VELTE, A., VELTE, T. y ELSENPETER, R. (2010) Cloud computing. A practical approach. McGraw Hill.

Inseguridad Informática: Lecciones aprendidas y Exploración del futuro

Revisar la historia reciente (últimos 10 años) de la seguridad de la información es enfrentarse a un mundo interesante de inesperados cambios y giros no previstos, materializados en la inevitabilidad de la falla, en actuaciones temerarias y situaciones límite de los usuarios.

La creatividad de los atacantes, las singularidades de los usuarios y la materialización de malas prácticas, establecen un caldo de cultivo lo suficientemente atractivo para que la semilla de los incidentes germine rápidamente y con frutos inesperados. Durante los últimos 10 años, las fallas propias relacionadas con las aplicaciones, el estudio detallado de funciones de los lenguajes de programación, los casos de mal uso y abuso del software, así como el creciente uso de las comunicaciones han marcado la historia de la seguridad de la información.

Desde el año 2000 en adelante los ataques de denegación de servicio han sido uno de los retos más importantes para los investigadores e infraestructuras de las organizaciones, así como las frecuentes fallas o vulnerabilidades propias de las aplicaciones en el web y la mutación permanente del código malicioso disponible en muchos sitios web y redes sociales.

Las enseñanzas de la inseguridad de los últimos 10 años podríamos resumirlas en una exigente necesidad de interconexión permanente, acceso a la información de forma ágil e instantánea y sobremanera, interacción permanente y sin restricciones. En este contexto, la vida en internet se ha volcado en un continuo compartir de unos con otros, en una apertura total y completa por encontrarse en un espacio común y descubrir nuevas posibilidades para construir negocios y relaciones de corto y largo plazo.

Así las cosas, nosotros los navegantes en internet hemos privilegiado las funcionalidades y posibilidades de la red, ignorando los riesgos y advertencias sobre el manejo, uso y transmisión tanto de nuestros datos como de la información. Hemos vivido un espejismo de confianza creado por la interacción y facilidad de las conexiones, olvidando la recomendación básica de mamá como es “no hables con extraños”.

Durante estos primeros diez años del nuevo milenio, las lecciones aprendidas en la protección de la información nos dicen, que si bien no hemos ganado la guerra, si hemos librado batallas que nos enseñan cómo se mueve nuestro enemigo, de qué se aprovecha con frecuencia y cómo se mimetiza en los procesos empresariales. Conocer la inseguridad de la información, debe ser una forma para avanzar en el aseguramiento de las soluciones de información, una forma de cuestionar nuestros diseños y una exigencia para definir estrategias de sensibilización e interiorización ajustadas a la realidad empresarial.

En este sentido y considerando lo anterior, la pregunta natural es ¿qué pasará en los próximos 10 años? ¿a qué nos enfrentaremos? ¿Qué nuevas variantes y sorpresas nos traerá la inseguridad? Para tratar de responder estas inquietudes muchos estudios han delineado horizontes de temas específicos que podrían generar importantes efectos en la dinámica de los negocios en el futuro. Dentro de las tendencias identificadas tenemos las siguientes:

1. Computación en la nube
2. Computación ubicua y móvil
3. Computación verde
4. Seguridad de 360 grados
5. Redes sociales y second life
6. Tercerización de la infraestructura
7. Monitoreo activo de la seguridad
8. Perímetros porosos y extendidos
9. Desobediencia del factor humano
10. Ciberguerra

Esta lista de temas nos debe poner a pensar en las diversas manifestaciones que están por venir, frente a la protección de la información en un escenario como el precedente; donde nada parece ser lo que es, las personas estarán aún con mayores posibilidades de acción y reacción, los terceros tendrán mayores responsabilidades frente a la información y la seguridad querrá estar en todas partes y en cada momento, lo que en últimas plantea el reto de la privacidad frente a la necesidad de aseguramiento.

Los recientes aires de guerra en internet, ciberataques confirmados por naciones y una creciente de demanda de servicios de almacenamiento de contenidos como videos, audio y datos, nos hacen pensar que una nueva ola de inseguridad está por venir, que si bien no es una llamado a un estado de paranoia en la red, si es una llamado a la vigilancia y aseguramiento de nuestra información: un mínimo de paranoia bien administrada.

Muchos piensan que Google es el “gran hermano”, que nuestros movimientos están siendo monitoreados y registrados, que nuestra vida se traducen en accesos e información disponible en la red y puede que eso sea verdad en algún momento, pero lo que no podemos dejar de advertir, es cómo elevar nuestro espíritu creativo para hacer de nuestras prácticas de seguridad, la mejor línea de defensa frente a los desafíos de la inseguridad.

Referencias consultadas:
2010 IT Skills Hot list – http://www.footepartners.com/2010%20Predictions_FootePartners_121009.pdf
IT spending on services 2010 - http://www.cioupdate.com/budgets/article.php/3848481/IT-Spending-for-Services-a-Mixed-Bag-in-2010.htm
2010 State of the CIO Survey - http://www.cio.com/article/511240/2010_State_of_the_CIO_Today_s_Focus_for_IT_Departments_Business_Opportunities_
IDC Predictions 2010: Recovery and transformation – http://cdn.idc.com/research/predictions10/downloads/Top10Predictions.pdf
Top 10 Strategic Technologies for 2010 - http://www.pcworld.com/businesscenter/article/182801/top_10_strategic_technologies_for_2010.html
Top 10 Hot Technology Trends for 2010 - http://vartips.com/carriers/verizon-business/top-10-hot-technology-trends-for-2010-760.html

Inseguridad Tercerizada: Un reto de confianza, acuerdos y riesgos

Es claro que un mundo global, dominado por sistemas informáticos y acuerdos “on click”, las estrategias de tercerización para el área de tecnología de información se han convertido en una opción estratégica y financieramente atractiva, que permite ofrecer servicios altamente competitivos a costos aceptables impactando de manera positiva la ecuación de costos de las organizaciones en este nuevo milenio.

En este sentido, si bien esta realidad balancea de manera contundente las inversiones de las áreas de tecnología, también es claro que surgen nuevos interrogantes que continúan en la agenda de los ejecutivos de tecnología como son:

· ¿Será que los datos e información que compartimos con el prestador del servicio están tan asegurados como si los tuviésemos locamente en nuestras instalaciones?

· ¿Cómo obtengo un servicio tan bueno como el que podría ofrecer en mis instalaciones, sin perder el control de los datos e información?

· ¿Qué debemos entender y aplicar frente a las regulaciones de cumplimiento en TI, ahora en un contexto de tercerización?

Si revisamos estas tres preguntas críticas alrededor del tema de tercerización, todas ellas nos hablan de la seguridad de los datos y la información, de la forma como ellos se deben comportar y de cómo debemos asegurar las evidencias de un adecuado control de éstos.

Cuando compartimos información y datos con un tercero, surge la necesidad de establecer una serie de protocolos de intercambio y acuerdos sobre el manejo de aquellos. Para ello, se requiere no sólo conocer las bondades y buenas prácticas del tercero, sino adelantar una serie de cláusulas contractuales que obliguen al tercero a tener un conjunto de acciones que adviertan al contratista que la información y los datos de la empresa exigen un tratamiento especial, y que cualquier falla en el cumplimiento de los controles de seguridad previstos, implicará un perjuicio cuantificable y evidente que tendrá que resarcir frente a las regulaciones previstas en el país donde se encuentre y el acuerdo de voluntades firmado por las partes.

De otra parte, cuando ofrecemos servicios a través de terceros, los datos y la información implícitamente quedan bajo el control del contratista, debiendo la empresa contratante establecer estrategias que permitan verificar el “adecuado uso de la información y los datos” frente a las condiciones de sus clientes en el manejo de éstos. En este sentido, deberá adelantar el aseguramiento de sus funciones internas para evitar la ambigüedad inherente al ser un tercero de confianza en la administración y uso de los datos e información de una empresa: gobierno de los datos Vs. Usos de la información. Mientras a un tercero es posible delegarle la custodia de los datos en sí mismos, se hace necesario revisar en el contratante, hasta donde será la información parte de los activos entregados en dicha custodia.

Los escenarios anteriormente comentados, nos sitúan en una realidad emergente que es cómo comprender las regulaciones y normas de cumplimiento en tecnologías de información en una realidad donde un tercero hace parte de la custodia y operación de la infraestructura de tecnología, los datos e información de una empresa. Algunos manifiestan que todo esto se resuelve desde la perspectiva enunciada por temas contractuales, mientras otros dicen que no es suficiente y se hace necesario otro tipo de estrategias.

En este sentido, el cumplimiento exigido para el área de tecnología de información de una empresa, soportada en un contrato de tercerización con un contratista externo, se debe basar en la relación de confianza de las partes, en quién controla qué y cómo, y cuáles son las evaluaciones que son realizadas por terceros independientes sobre la conveniencia de los procesos y procedimientos que éste tiene que soporten la confianza entregada por el contratante.

Es claro, que al entregar tanto la información como los datos e información a un tercero con infraestructura y dinámica propia es prácticamente imposible asegurar un cumplimiento estricto de las prácticas de seguridad y control, hecho derivado de que no es posible ver de manera cercana y real la operación misma del contratista en sus instalaciones. Por tanto, el cumplimiento o normatividad exigida para el área de TI que tiene parte de sus servicios con terceros, será más probabilístico que determinístico.

Así las cosas y considerando las implicaciones de los costos previamente revisadas en esta nota, la seguridad de los datos e información en el contexto de una función de tecnología de información con terceros, se puede ver, como anota el Dr. Geer, bien como un impuesto o como una inversión.

Si se hace necesario tener múltiples niveles de protección, que por demás disminuyen la facilidad de la operación y no permiten un manejo fluido de los procesos de negocio, la seguridad será un impuesto, que claramente será objeto del balance de costos de la empresa, perdiendo la esencia misma del control y manejo de los riesgos de la empresa, que más tarde podría impactar la imagen de la compañía. En consecuencia, la lección aprendida en este escenario nos dice que la seguridad de la información no debe generar nuevos impuestos que impacten la dinámica empresarial, sino ofrecer una manera para que el negocio opere de manera confiable.

De otro lado, cuando la reflexión de la seguridad de la información se desarrolla en el terreno de los riesgos y los flujos de información de los negocios, esta distinción se hace parte del lenguaje de los negocios; no se habla de controles o estrategias de protección, sino de características requeridas por los dueños de los procesos, para asegurar el flujo de la información, como una realidad inherente al proceso e inmersa dentro del lenguaje natural de la operación. Vista así, la seguridad es una inversión que nace en las mismas necesidades del negocio y que los encargados de la seguridad deben hacer realidad y asegurar que se dé según se tiene previsto.

Finalmente, cuando nos enfrentamos a la realidad de una función de tecnología de información tercerizada, debemos saber que no tenemos un control evidente y concreto sobre los datos e información, que confiamos en el buen juicio y prácticas del tercero, aunque podemos contratar una evaluación externa e independiente que nos pueda dar un concepto sobre cómo opera y sus impactos. Cuando tenemos un contrato de operación con terceros, la seguridad de la información tendrá siempre dos costos y dos realidades: los costos anticipados propios de las acciones de tratamiento resultado del análisis de riesgo (la realidad de las probabilidades) y los costos de las fallas o incidentes y de la retención de los datos requeridos para efectos probatorios, que finalmente determinan la efectividad de la gestión de seguridad y control (la realidad de las posibilidades). (GEER 2009)

Referencias utilizadas:

GEER, D. (2009) Economics & Strategies of Data Security. Verdasys Thougth Leadership Series.

La seguridad de la información: Una estrategia de aprendizaje

Russell Ackoff y Daniel Greenberg en su libro “Turning learning right side up” publicado por Wharton School Publishing en 2008 hacen una serie de reflexiones alrededor de la educación tradicional que bien se pueden aplicar al desarrollo de la función de seguridad de la información en una organización.

1. La educación tradicional se concentra en la enseñanza y no en el aprendizaje.
2. El objetivo de la educación es el aprendizaje y no la enseñanza.
3. La inteligencia es la habilidad para aprender, no es una medida de cuánto has aprendido.

La función de seguridad de la información tradicional se concentra en la información y cómo esta deber ser protegida. Es decir, estudia los detalles de ésta y sus medios de difusión o almacenamiento para establecer las medidas tecnológicas (en su amplio sentido de la palabra y no solamente elementos computarizados) requeridas que permitan un acceso confiable y controlado. En este sentido, la seguridad hace énfasis en la forma como deben hacerse las cosas para obtener el comportamiento deseado y evitar sorpresas en el futuro que impacten el nivel de confianza del usuario en el acceso a los medios donde se encuentre registrada o almacenada la información.

En consecuencia con lo anterior, una función de seguridad de la información planteada de esta forma, trata de encontrar e impartir una manera de entender la protección de los activos de información orientada claramente por los controles conocidos y aplicados. En este sentido, las personas reconocerán la seguridad de la información como la atención a las medidas de restricción que le permiten conocer el nivel de confiabilidad del acceso y uso de los datos y su procesamiento, haciendo de éstas una rutina básica y propia que cada persona debe memorizar y aplicar.

Entender la función de seguridad de esta manera, es cerrarle la posibilidad a la organización para descubrir en su función de negocio, nuevas formas de construir confianza en el acceso y uso de la información; es negarle la posibilidad de reconocer nuevos valores y comportamientos que se pueden desarrollar para confirmar una estrategia de protección basada en las personas; es perder el potencial de acción y conocimiento de cada individuo en los procesos de negocio, para revelar las intenciones de los atacantes.

Si el objetivo de la educación es el aprendizaje, el de la seguridad son los riesgos y no los controles. Parece una herejía lo que se plantea en esta reflexión, pero no lo es; es realmente el resultado de comprender que la seguridad es una propiedad emergente de un sistema, que no imparte clases sobre cómo fluye y se asegura la información, sino más bien busca constantemente respuestas en los inesperados comportamientos que él mismo presenta, fruto de la interacción de éste y sus componentes.

Si no existieran los riesgos o pudiésemos tener situaciones sin riesgos, la seguridad sobraría, no sería elemento sensible a considerar. Pero como no existe tal condición y la constante es que estamos expuestos a los riesgos, se hace necesario aprender de la incertidumbre y de las “fallas de control” para comprender que en la sabiduría del error esta la fuente del aseguramiento permanente de la información de las empresas.

Si el secreto de la educación es el aprendizaje, entonces la inteligencia de la función de la seguridad estará en su capacidad de aprender de la dinámica de los flujos de la información en los negocios, comprender las condiciones inseguras a las cuales está expuesta la información, detallar y moderar las expectativas de los responsables de la información, con el fin de actuar como asociado y consultor interno, que permita acompañarlos en la valoración permanente del nivel de seguridad requerido; no para hacer invulnerable el tratamiento de la información, sino para encontrar nuevas formas para responder ante la inevitabilidad de la falla.

En este sentido, el encargado o responsable de la seguridad, en inglés el Chief Information Security Officer – CISO deberá entender su función como una estrategia de aprendizaje permanente y no de enseñanza, que le permita descubrir y afinar en la práctica que no se trata de transmitir, instruir, enseñar o usar la seguridad, sino más bien construir una comprensión conjunta, tangible y concreta de los riesgos de la información desde la dinámica del negocio que de manera natural sugiera sus estrategias de aseguramiento.