Seguridad de la información: Tres conceptos distintos y un sólo responsable verdadero

Introducción

Revisando un documento de Gartner publicado en octubre de 2010, denominado “Security Governance and operations are not the same” se aclara una realidad estructural de la seguridad de la información que da cuenta de la vista tripartita que se desarrolla para darle sentido a la confianza que una organización requiere frente a la protección de su información.

Como quiera que por mucho tiempo, se ha mantenido una relación muy cercana de los temas de seguridad de la información con las temáticas técnicas, se hace necesario desarrollar una dogmática básica para comprender desde la óptica de la inseguridad, el gobierno, la administración y operación de la seguridad de la información, no como simples elementos conceptuales, sino como reales evidencias prácticas que nos permitan conectar la declaración formal de la información como un activo, así como las prácticas operacionales que definen la confiabilidad de la infraestructura tecnológica.

De acuerdo con el documento previamente citado, el gobierno de la seguridad de la información debe asegurar que la relación entre el negocio y la seguridad siga los principios de la segregación funcional, toda vez que este último, le permite a la organización asegurar un flujo de información declarado y sobre manera trazable, limitando en la medida de lo posible posibles conflictos de interés que se pudiesen manifestar desde la operación.

Sin perjuicio de que existan múltiples vistas para modelar una organización para la seguridad de la información, se requiere comprender la expectativas y entendimientos políticos que el aseguramiento de la información demanda en el contexto de las necesidades del negocio. En este sentido, a continuación detallamos, utilizando como soporte la publicación de Gartner, los tres elementos que deben traducir y transformar la lectura y comprensión de la alta gerencia frente a la protección de la información en su contexto del negocio.

Gobierno de la seguridad de la información

El gobierno de la seguridad de la información lo define Gartner como “los procesos que aseguran las acciones apropiadas y razonables que deben ser tomadas para proteger los recursos de información de la organización”. Si bien esta definición, es claramente una invitación para una comprensión funcional de la organización, debemos anotar que se queda corta frente al reto de transformación corporativo que la seguridad debe asumir más allá de los riesgos y controles.

La función de gobierno de la seguridad de la información demanda de su estratega, movilizarse en las tendencias propias del negocio donde opera, los movimientos y retos emergentes que enfrenta el modelo de generación de valor de la empresa y anticiparse frente a los riesgos y amenazas que pueden comprometer la vista estratégica corporativa y no sólo, asegurar los procesos.

Si bien no desechamos la propuesta de los consultores internacionales mencionados, si queremos ampliar el espectro de su comprensión para ir de una vista claramente funcional del ejecutivo de la seguridad de la información, hacia una más de “socio estratégico” que no sólo advierte las inadecuadas prácticas sobre la información en los procesos negocios, sino que revela un panorama de pronósticos y detalles que están enraizados en los “espacios en blanco” que visualiza la junta directiva de la organización. (CANO 2011)

En consecuencia el texto de Gartner establece como responsabilidades del gobierno de seguridad de la información:

• Actuar como un comité de coordinación para los proyectos más significativos

• Efectuar seguimiento al progreso de los planes de remediación de los riesgos (particularmente en de los informes de auditoría)

• Revisar el reporte de métricas, solicitar nuevas métricas, si es requerido.

• Monitorear el desempeño operacional de las tecnologías de seguridad

• Proveer un escenario para el CISO (Chief Information Security Officer) con el fin de focalizar los esfuerzos dentro las unidades de negocios, a través del comité de gobierno de seguridad de la información.

• Establecer y mantener líneas efectivas de responsabilidad, propiedad y autoridad frente a los activos de información.

• Actuar como un mediador o árbitro para conciliar los conflictos sobre los requerimientos de seguridad de la información entre los diferentes actores de la organización.

Consecuente con las precisiones desarrolladas alrededor de la definición inicial de gobierno, se echan de menos otros elementos claves que complementen la vista de procesos. En este sentido, se sugieren las siguientes responsabilidades complementarias que motivan una reflexión extendida del ejercicio de gobierno de la seguridad de la información:

• Identificar y analizar el modelo de generación de valor de la empresa

• Comprender y detallar los riesgos y amenazas que impactan el modelo de generación de valor de la empresa

• Proponer un escenario de análisis de impactos, que defina las posibles actuaciones corporativas para proteger el valor actual de la empresa y anticiparse frente a sus amenazas.

No obstante, el gobierno de la seguridad de la información, en nuestra definición complementaria, representa un ejercicio de alquimia entre la política corporativa, los intereses superiores de los accionistas y la realidad de la protección de la información, se requiere que dichos planteamientos encuentren un suelo abonado y fértil en la implementación del mismo en el contexto de los procesos empresariales. (COMMONWEALTH OF AUSTRALIA 2007)

Administración o gerencia de la seguridad informática

En este contexto, aparece el concepto de administración o gerencia de la seguridad tecnológica o seguridad informática. Este concepto reconoce en la realidad de la arquitectura de los procesos de la empresa, que dan sentido al modelo de generación de valor de la empresa, las actividades requeridas para incorporar la distinción de seguridad en la dinámica de las personas que participan en ellos. Para los investigadores del documento comentado, la gerencia o administración de la seguridad de la información, se traduce como la “implementación del programa de seguridad de la información presidido por el comité de gobierno de seguridad de la información”.

El documento no detalla en qué consiste un programa de seguridad de la información, ni detalla los alcances del mismo, pero si podemos advertir que dicho programa debe contemplar el plan de prácticas de seguridad de la información apalancado en los empleados de la empresa, los planes de tratamiento de riesgos de seguridad de la información, las tecnologías de seguridad requeridas para generar una operación confiable, donde la información previamente clasificada, fluya según sea requerido.

Gartner establece que el responsable de la gerencia o administración de la seguridad informática debe realizar al menos las siguientes actividades:

• Desarrollar e implementar una política de seguridad de la información

• Diseñar y administrar una arquitectura de seguridad tanto para las aplicaciones como empresarial.

• Diseñar y adelantar campañas de interiorización y concientización relativas a la seguridad de la información.

• Establecer y promover un ciclo de vida de los usuarios o lo que en términos modernos se conoce como gestión de identidades (incorporación, desincorporación y administración de roles de administración de usuarios)

• Establecer proyectos de nuevas propuestas de tecnologías de seguridad informática.

• Proveer orientación y direccionamiento sobre riesgos y controles para proyectos no relacionados con seguridad de la información.

• Monitorear la operación de las tecnologías de seguridad informática configuradas y disponibles.

• Probar, validar y asegurar la infraestructura de seguridad informática.

Al revisar estas responsabilidades propuestas, claramente vemos el enfoque táctico de la seguridad que orientada por los riesgos y controles, requiere coordinar con diferentes equipos de trabajo la forma como se comportan la infraestructura de seguridad, de tal forma que pueda contar con las métricas requeridas por el gobierno de la seguridad de la información, para entregar la vista consolidada de la “confianza” que la organización puede desarrollar frente a la protección de sus activos de información.

Las personas que están ubicadas en el escenario de la gerencia de la seguridad de la información, deben comprender el negocio y sus necesidades frente al aseguramiento de la información. En este punto de la estructura de seguridad, la capacidad de negociación y habilidades de comunicación son habilidades claves y requeridas para lograr que las decisiones en la gerencia media sean consistentes con las distinciones estratégicas y definiciones corporativas frente a la vista del gobierno de la seguridad de la información.

Operación de la seguridad informática

Finalmente y no menos importante, el documento detalla lo relacionado con la operación de la seguridad informática. Amén de lo anterior, Gartner precisa este concepto operacional como “las actividades que se dan en el día a día que buscan mitigar los riesgos de seguridad informática en el nivel técnico.” Si bien esta declaración nos presenta efectivamente el concepto natural esperado, debemos anotar que, los que se encuentran en la operación son parte del eslabón clave, para capitalizar las lecciones aprendidas de la organización frente a la atención de los incidentes de seguridad.

Esto es, los profesionales que se encuentran en la realidad técnica y formal de la operación de los dispositivos técnicos, son testigos de primera fila de los impactos corporativos de las fallas parciales o totales propias de la materialización de la inseguridad de la información. En este sentido, son los llamados para alimentar la experiencia de la gerencia de la seguridad informática, para crear un círculo virtuoso entre lo táctico y lo operacional, que no desprecia ninguna de sus interacciones, sino que enriquece la vista táctica de la forma como la organización entiende y recompone la seguridad de la información de manera dinámica.

En consecuencia y sabiendo que existen múltiples actividades asociadas con la parte operacional de la seguridad informática, Gartner sugiere algunas de ellas:

• Aplicar y desplegar los parches de seguridad sobre los productos y herramientas.

• Monitoreo activo del ambiente frente a las amenazas y vulnerabilidades

• Proveer conocimiento y experiencia cierta para las políticas de seguridad de la información corporativas y del desarrollo de los procedimientos propios de la operación de la seguridad

• Desarrollar, mantener, monitorizar e implementar la arquitectura técnica de seguridad informática.

• Implementar los cambios de configuración en las plataformas corporativas de seguridad informática en concordancia con los procedimientos de administración de cambios.

• Monitorización – sobre consolas nativas, sistemas de correlación de eventos y otras herramientas de análisis para observar amenazas, vulnerabilidades y cambios en el ambiente que afecten el perfil de riesgo empresarial.

• Cumplir con los acuerdos de niveles de servicio de seguridad definidos.

• Planear y participar de manera activa en la respuesta a incidentes.

• Incorporar y desincorporar las identidades digitales y los permisos de acceso.

Si bien esta enumeración no pretende agotar las actividades propias de la operación de la seguridad informática, si resulta indicativa de la misma y el nivel de aseguramiento que se requiere para que ésta funcione de manera estándar y repetible, con el fin de generar confiabilidad y menor incertidumbre sobre qué ocurre con los activos de información en los procesos de negocio de la empresa.

Al correr el velo de los tres conceptos previamente presentados que, claramente articulados, definen una estrategia para “gobernar, gerenciar y operar” la seguridad de la información, se establece la imperiosa necesidad de complementar dicha propuesta con una formulación alterna que interrogue y asista al ejecutivo de la seguridad de la información, para conquistar la tentación de la falsa sensación de seguridad.

Una propuesta complementaria

La propuesta establece mantener un escenario de análisis basado en posibilidades, más que en probabilidades en cada uno de los conceptos. Esto es, para la vista del gobierno, el detalle de escenarios posibles que afecten el valor de la empresa, que permitan establecer el tono ejecutivo de la seguridad requerido y la vista preventiva que prepare a la organización cuando el 0,01% de probabilidad del riesgo se materialice.

Para la vista de la gerencia de la seguridad de la información, se busca configurar y detallar un mapa de riesgos posibles, de acuerdo con los flujos de información en los procesos, los cambios normativos o ajustes en las estrategias corporativas, que demanden una renovación del panorama de aplicación de los procesos. Esto es, trabajar de manera coordinada con los negocios para tener una matriz de riesgos extendidos, basado en eventos probables en los flujos de información frente a sus relaciones e integraciones corporativas, para tratar de ver asimetrías y comportamientos inesperados que puedan configurar situaciones no conocidas, para sí desarrollar respuestas oportunas para eventos no previstos.

En la operación, dado que cualquier eventos inesperado se presenta con relativas periodicidad, siempre y cuando no exista una forma clara de operar y atender una situación que califique como fuera de la “normalidad”, la invitación a desarrollar ejercicio de pruebas de vulnerabilidades internas y externas informadas o ciegas, que mantengan un “mínimo de paranoia bien administrado”, para que la sangre caliente de las infraestructura, no se debilite y mantenga el vigor permanente frente a la inevitabilidad de la falla.

Reflexiones finales

Así las cosas y como quiera que esta revisión base de tres conceptos para enfrentar la inseguridad de la información, es una excusa conceptual y académica para enfrentar el reto de la práctica empresarial de la seguridad, se hace necesario entender que la seguridad de la información, como concepto emergente de un sistema y particular para una organización y sus relaciones de sujeción específica, es una manifestación empresarial que al igual que algunas realidades teológicas, establecen tres personas con naturaleza distinta, que definen un solo responsable verdadero.

No podemos avanzar en la construcción de una práctica real de confianza de la organización en el contexto de los activos estratégicos de información, sin reconocer que la verdad o revelación se esconde en el “grial” del modelo de negocio empresarial, que permanentemente busca alcanzar “espacios en blanco” con un escenario en movimiento.

Referencias

McMILLAN, R. y SCHOLTZ, T. (2010) Security Governance and Operations are not the same. 8 de octubre de 2010. Gartner Research. Disponible en: http://www.gartner.com/id=1448116 (Requiere suscripción)

COMMONWEALTH OF AUSTRALIA (2007) Leading practices and guidelines for enterprise security governance. Disponible en: http://www.dbcde.gov.au/__data/assets/pdf_file/0016/41308/Leading_practices_and_guidelines_for_enterprise_security_governance_revision_1.pdf (Consultado: 10-03-2012)

CANO, J. (2011) Gerencia de la seguridad de la información. Evolución y retos. ISACA Journal Online. No.5. Disponible en: http://www.isaca.org/Journal/Past-Issues/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx (Requiere suscripción)

Inseguridad de la información: Retos de “espacios en blanco” y lecciones de “cisnes negros”

Según muchos analistas se viene desarrollando un movimiento en medio de las tensiones mundiales, que advierte nuevos cambios trascendentales en la manera como se mantiene el orden mundial. Un orden generalmente dominado por el poder económico, político y capacidad militar bélica, que posiblemente pronto va a cambiar. Este pronóstico, tiene su base en los eventos que hemos podido verificar en los últimos años, como son ataques informáticos focalizados efectuados por países como China a los Estados Unidos (SEGAL, A. 2012), buscando particularmente activos valiosos de propiedad intelectual y secretos militares estratégicos.

Esta tendencia, que cada vez toma más relevancia y atención por parte de los gobiernos, claramente es una sorpresa predecible, es decir aquellas situaciones que “… cuando se advierten amenazas emergentes, las cuales están sustentadas en información procesada y analizada, basada en los objetivos y tendencias verificadas, y éstas no corresponden al modelo de creencias y valores del que toma decisiones, sencillamente son ignoradas.” (CANO, J. 2008).

En este sentido, mientras los analistas más se esfuerzan por entender el fenómeno en el contexto digital y de las redes sociales, menos capacidad tendrán de advertir condiciones críticas de eventos aún más sofisticados y menos tangibles que generen un escenario diferente de análisis que permita un margen de anticipación de las naciones o empresas frente a aquello que es inesperado. Esto es, como afirma Taleb (pág.107), “… una serie de hechos corroborativos no constituye necesariamente una prueba. …”. Por tanto, cuando de advertir eventos o situaciones que aún no ocurren, los pronósticos de los analistas, poco podrán ayudarnos, dado que si bien cuentan con información suficiente, sus modelos no podrán incluir las condiciones borde que están presentes cuando de entender los flujos de información en internet se trata.

Como consecuencia de lo anterior, hablar de una ciber guerra o que estamos en la primera ciberguerra del segundo milenio, no es necesariamente una predicción o afirmación innovadora, toda vez que muchos estados han incluido esta posibilidad dentro de sus modelos de escenarios de crisis probables, los cuales responden al análisis de información cierta y verificable que les permite anticipar una condición como la mencionada. (LIBICKI, M. 2009) Sin embargo, fuera de este contexto, existen otras múltiples variables que en este momento pueden estar aisladas o no monitoreadas y que cuando menos lo esperemos, tendremos una nueva visión del mundo que conocemos y que puede no necesariamente estar articulada con tecnología.

Mientras estos eventos ocurren, nuestra visión de la seguridad de la información deberá mantenerse en las “aguas profundas de la incertidumbre”, concentrados en la inevitabilidad de la falla, allí donde no importan las probabilidades, sino las posibilidades, el escenario ideal para el analista del seguridad, que renunciando a la zona de confort que le imponen los reportes conocidos, persevera para renovar sus lentes con los cuales “entiende su realidad”.

Así las cosas, como pregunta Taleb, “… ¿cómo podemos conocer el futuro teniendo en cuenta nuestro conocimiento del pasado: o de forma más general, cómo podemos entender las propiedades de lo desconocido (infinito) basándonos en lo conocido (finito)? …” Para encontrar respuesta a este interrogante, el concepto de seguridad de la información no nos permite ahondar con profundidad en la respuesta, pues su capacidad para generar variedad y entender el sistema, es tan limitado como lo que hasta hoy conocemos de la misma. Mientras, pensando por su dual, es decir la inseguridad de la información, podemos encontrar un mundo de posibilidades tan infinito como lo desconocido, pues en últimas, los dos conceptos comparten la sabiduría de la incertidumbre y la inteligencia de lo inesperado.

En razón con lo anterior, hablar de una vocación para ver los nuevos retos de la seguridad de la información, es recabar en propuestas novedosas y provocadoras que nos invitan a escribir en el margen de las hojas, en los “espacios en blanco” de la dinámica de las empresas y descubrir que la realidad es una expresión permanente de eventos no lineales. Así las cosas, Johnson y Taleb nos presentan conceptos alternos para enfrentar la inercia de la realidad y superar nuestras propias reflexiones.

Mientras los “espacios en blanco”, según Mark Johnson, autor del libro Seizing the White space. Business model innovation for growth and renewal, son “el rango de posible actividades que no están definidas o dirigidas por el modelo de negocio actual de la empresa, es decir, las oportunidades fuera de su función de negocio y más allá de sus capacidades actuales, que requieren un modelo de negocio diferente para capitalizarlas”, los “cisnes negros” anota Nassim Nicholas Taleb, en su libro “El Cisne Negro”, es “un suceso que se caracteriza por tener tres atributos: primero es una rareza, pues habita fuera del reino de las expectativas normales, segundo, produce un impacto tremendo y tercero, pese a su condición de rareza, la naturaleza humana hace que inventemos explicaciones de su existencia después del hecho, con lo que se hace explicable y predecible.”

Revisando ambos conceptos, cada autor nos invita a mantenernos atentos a los cambios que ocurren a nuestro alrededor. Nuestro conocimiento del mundo, no puede ser estático y sometido a las reglas de la gravedad de lo aprendido, sino despertar nuestros instintos y sentido del olfato, para poder descubrir aquello que se escribe con letras torcidas, en medio de la cotidianidad con letra imprenta. Mientras la gravedad de la seguridad nos empuja a niveles de certeza conocido, el impulso de la inseguridad nos revela en la sabiduría del error, nuevas formas de aprendizaje.

Si tratáramos de encontrar una vista unificada de los “cisnes negros” y los “espacios en blanco”, podríamos decir, parafraseando a Taleb, que es una búsqueda permanente de no sobreestimar lo que sabemos ni infravalorar la incertidumbre, lo que nos permite mantener una variedad de estados inciertos, movilizando nuestro pensamiento hace el espacio de lo desconocido. Declaración que leída en clave de inseguridad de la información, es una invitación a pensar en los efectos de borde, en las condiciones extremas y en la inevitabilidad de la falla, para encontrar a diario nuevas formas de cuestionar los supuestos de la seguridad y confianza en las organizaciones.

Si bien no podemos vivir o mantener un contexto de confiabilidad de las prácticas de seguridad de la información de una organización sin un mínimo de paranoia bien administrado, tampoco podemos confiar en los “antecedentes que siguen las mismas consecuencias” como afirma Taleb, pues al igual que la incertidumbre, la inseguridad sigue patrones asimétricos de comportamientos, que en el lugar menos esperado, en la relación aún menos indicada, es capaz de elevar nuestra capacidad de atención y proponernos una nueva lección, una condición natural que nos permite saber que no todos los cisnes son blancos.

Referencias

JOHNSON, M. (2010) Seizing the White space. Business model innovation for growth and renewal. Harvard Business School Press.

TALEB, N. N. (2011) El cisne negro. El impacto de lo altamente improbable. Editorial Paidos. 8 reimpresión.

LIBICKI, M. (2009) Cyberdeterrence and cyberwar. Rand Corporation. Disponible en: http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf

CANO, J. (2008) Cibercrimen y ciberterrorismo. Dos amenazas emergentes. ISACA Journal. Vol. 6. Disponible en: http://www.isaca.org/Journal/Past-Issues/2008/Volume-6/Pages/JOnline-Cibercrimen-y-Ciberterrorismo-Dos-Amenazas-Emergentes.aspx

SEGAL, A. (2012) Chinese computer games. Foreign affairs. Marzo/Abril. Disponible en: http://www.foreignaffairs.com/articles/137244/adam-segal/chinese-computer-games?page=show (requiere suscripción)

Inseguridad en redes sociales. La inevitabilidad de la falla en nuestros comportamientos y valores

Hace más de 10 años internet era un sitio donde algunos generaban los contenidos y decidían que se mantenía allí o no. Hoy luego de una impresionante evolución de la Web 2.0, son las personas las que desarrollamos y actualizamos los contenidos que se advierten en internet. Esto es, pasamos de un control de pocos a una participación de muchos empoderados y con capacidad para convocar y movilizar causas a través de las redes sociales y formas de manifestación en línea.

De acuerdo con FRIEDRICH, R., PETERSON, M., and KOSTER estamos en el surgimiento de la generación C, una generación caracterizada porque permanece conectada, comunicada, centrada en los contenidos, altamente digital y orientada hacia las comunidades. Esta nueva generación, capaz de modificar los comportamientos sociales, exigir respeto y atención frente a sus demandas, viene dotada de un primer dispositivo digital, generalmente inalámbrico, que le permite estar en línea y con información instantánea de lo que ocurre en su entorno.

Toda vez que esta generación será la que estará en las organizaciones en los próximos 10 años, se hace necesario iniciar desde este momento, el análisis requerido de los riesgos emergentes del uso de las medios sociales digitales en el contexto empresarial, como factor clave para reconocer comportamientos y acciones de los individuos frente a las exigencias de seguridad y control de las organizaciones, ahora mucho más expuestas a los contenidos que exponen sus propios empleados, competidores, clientes y demás grupos de interés en las redes sociales.

En este sentido, Bahadur, Inasi y de Carvalho en su libro “Securing the Clicks. Network security in the age of social media” de McGraw Hill, plantean un discurso metodológico práctico para evaluar los riesgos propios del uso de las redes sociales, de tal forma que las organizaciones, adviertan de manera concreta sus impactos y las prácticas requeridas que les permitan mitigar su exposición. Para ello detallan la matriz con el acrónimo en inglés H.U.M.O.R, que integra elementos como Human Resource, Utilization of resources, Monetary spending, Operations Management y Reputation Management.

Los autores siguiendo la matriz de análisis H.U.M.O.R, plantean una publicación con cinco partes: assessing social media security, assessing social media threats, operations, policies & process, monitoring & reporting y finalmente social media 3.0, sección donde plantea los retos futuro de los medios sociales digitales que necesariamente revelan el concepto de Peter Russell en su libro de 1982, denominado el Cerebro Global; la pérdida de control de aquello que publicamos, la erosión de la privacidad, las amenazas propias de la geolocalización, el internet de las cosas y las inconsistencias de las regulaciones.

Cada elemento de la matriz H.U.M.O.R establece requerimientos, tácticas, políticas y procesos de implementación necesarios para mover a las organizaciones hacia un proceso más confiable que no riña con la dinámica de las redes sociales actualmente vigente en las organizaciones.

De acuerdo con los autores, una vez implementada la política relacionada con medios sociales digitales y sus controles respectivos, se hace necesario adelantar una valoración de las buenas prácticas incorporadas y observar el nivel de adherencia de los individuos a la política, como fuente base de la interiorización de las personas frente a los riesgos propios de las redes sociales.

Dentro del plan de auditoría previsto para adelantar lo anterior a nivel interno se tiene: (Bahadur, Inasi y de Carvalho 2012, pág.200-201)

• Revisar los procedimientos para la integración de las redes sociales en el modelo de seguridad de TI.

• Revisar los procedimientos monitorización de las redes sociales públicas, donde los empleados hacen presencia.

• Revisar los reportes generados de la actividad identificada en las redes sociales.

• Revisar la actividad y procedimientos establecidos para atender incidentes de seguridad de la información en redes sociales.

• Revisar procedimientos para educar a los empleados en los riesgos de las redes sociales.

• Actualizar una vez al año de las políticas y prácticas relacionadas con las redes sociales.

• Valorar la seguridad de las aplicaciones frente a las vulnerabilidades que puedan permitir acceso no autorizado.

• Revisar y verificar todo el código de las aplicaciones hecha a la medida para propósitos de apoyo a las redes sociales.

• Analizar y reportar todos los cambios de las aplicaciones de terceras partes que son utilizadas por el negocio, particularmente en lo relacionado con redes sociales.

• Evaluar y analizar todas las herramientas de software y sitios utilizados como soporte a la estrategia de redes sociales.

Si bien este listado de revisión no agota el tema de la seguridad en las redes sociales a nivel interno en una organización, si establece una base de debido cuidado y deber de aseguramiento que las empresas deben advertir frente al manejo de su imagen corporativa y a la protección de la información en el contexto de una sociedad más abierta, expuesta a la sobrecarga de la información y a la erosión de la privacidad.

Por tanto, si se presenta una crisis o incidente de seguridad ocasionado por la materialización de un riesgo a través de las redes sociales, mantenga en mente las siguiente consideraciones: (idem, pág.216)

• Establezca una presencia activa en las redes sociales tan pronto como sea posible para construir una relación de confianza con sus consumidores en línea.

• Responda inmediatamente a la problemática identificada con el franco reconocimiento del hecho, donde la empresa es consciente de la situación y que le estará informado en breve los detalles de lo ocurrido.

• Mantenga la comunicación sobre la situación, no espere a tener la información completa, sino comente que está atendiendo lo acontecido, explique cómo lo está haciendo y tan pronto como tengo más detalles, entréguelos rápidamente a los interesados.

• Establezca canales de comunicación para las personas que necesiten contactar a la empresa de manera privada sobre reclamaciones, observaciones, preguntas o sugerencias, que se puedan derivar de la situación presentada.

• Los clientes individuales con reclamaciones legítimas deben ser atendidos, reconocidos y atendidos para responder a sus inquietudes de manera rápida y efectiva.

Cuando pensamos en la inseguridad de la información, no podemos menos que revelar la potencia de un concepto en una realidad asistida por tecnología, procesos y personas que se funde en las relaciones y propiedades emergentes que surgen de la relaciones entre ellas. En este sentido, las redes sociales, como fenómeno propio de la web 2.0, son fuente natural de amenazas y retos para los ejecutivos de la seguridad de la información en las organizaciones modernas, toda vez que la exposición de la empresa y su reputación, están ahora en las declaraciones de sus empleados en medios abiertos y de alcance global como los medios sociales digitales.

Por tanto, más allá de las bondades y vigor de las redes sociales en el contexto de los negocios de las empresas de este nuevo milenio ampliamente reconocido en la literatura actual, debemos ser conscientes que no muchos compartirán el éxito corporativo y ganancias reportadas, y por tanto, la sensibilidad y volubilidad de los seres humanos apalancada con tecnología, podrá desencadenar una serie de eventos desafortunados que activarán nuevamente la maquinaria de la inseguridad, ahora desde la realidad humana y la inevitabilidad de la falla en nuestro sistemas de comportamientos y valores.

Referencias

FRIEDRICH, R., PETERSON, M., and KOSTER, A. (2011) The Rise of Generation C. How to prepare for the Connected Generation’s transformation of the consumer and business landscape. Strategy+Business Magazine. Published by Booz & Company Inc. Issue 62. Spring. Available at: http://www.strategy-business.com/article/11110 (Last access: 18-02-2012)

BAHADUR, INASI y DE CARVALHO (2012) Securing the clicks. Network security in the age of social media. McGraw Hill.

El negocio de la seguridad de la información: ¿Qué vende la función de seguridad de la información?

Introducción

Generalmente cuando hablamos de un negocio, hablamos de producir algún tipo de bien o servicio que satisface una necesidad existente o creada, por lo cual cobramos y obtenemos algún beneficio bien sea tangible o intangible. Cuando interrogamos a los miembros de una organización cualquiera que esta sea, una pregunta básica que se nos ocurre es, ¿qué hace la compañía para la que trabajas? O dicho de otra forma, ¿qué vende la empresa para la cual prestas tus servicios? Respuesta que no se da de manera fluida o concreta y que generalmente no responde con claridad sobre el negocio que ésta desarrolla.

Tener claridad sobre el modelo de negocio que se desarrolla en una organización es encontrar la fuente de la sabiduría empresarial; es decir, establecer alternativas desequilibrantes y únicas que permiten a la compañía destacarse en su entorno y tomar ventaja de las condiciones que su contexto le marca, buscando anticiparse todo el tiempo para estar un paso delante de sus competidores.

Un modelo de negocio requiere antes que una estructura formal o conceptual probada, una visión, una pasión, un gusto y una forma diferente de ver el mundo, que le permita a su creador una manera para darle forma a una idea o pensamiento, un camino para desarrollar su intelecto y una oportunidad para armar un rompecabezas de retos que su propio sueño le impone. Un creador de negocios sabe que tendrá muchas cosas a su favor y otras tantas en contra, que deberá tener buen criterio para recibir las consideraciones de sus contradictores y, buen olfato para tomar riesgos calculados y así obtener lo que quiere.

En este contexto, los responsables y ejecutivos de la seguridad de la información en las empresas modernas, deberían asistir a la revelación del modelo de negocio que se esconde detrás de la función de seguridad de la información. ¿Qué es lo que vende el área de seguridad de la información? Para responder esta pregunta, en el entendido que somos dueño de un negocio y que debemos obtener utilidades, vamos a revisar las reflexiones de un reciente artículo publicado en el Sloan Management Review de la Escuela Sloan de Administración de Negocios del MIT, que establece una plantilla base para hacer evidentes los modelos de negocio.

¿Qué es un modelo de negocio?

Los académicos SINFIELD, CALDER, McCONNELL y COLSON (2012) del MIT establecen un conjunto base de preguntas para revelar la fuente misma del negocio, como insumo base para repensarlo y hacerlo evolucionar hacia nuevas fuentes de utilidad y desequilibrio requerido para posicionar a una empresa en su mercado. Las preguntas sugeridas son:

• ¿Quién es nuestro cliente objetivo?
• ¿Cuál es la necesidad que debemos satisfacer?
• ¿Qué debemos ofrecerle para satisfacer su necesidad?
• ¿Cómo nuestro cliente tendrá acceso a nuestra oferta?
• ¿Dónde debemos operar en la cadena?
• ¿Cómo obtendremos las ganancias?

Si miramos cada una de las preguntas, todas ellas buscan determinar con claridad aquello que debe movilizar los esfuerzos de los dueños de los negocios. Todo dueño está interesado en que su forma de hacer negocios tenga los resultados esperados y por tanto, estará atento en potenciar los recursos que tiene a su alcance para satisfacer los retos que su entorno le propone y cumplir con los requerimientos más exigentes de sus clientes. Así las cosas, detallamos a continuación algunas reflexiones que nos permitan tratar de responder la pregunta ¿qué vende la función de seguridad de la información - fsi?

Entendiendo el modelo de negocio de la seguridad de la información

En primer lugar, los clientes de la fsi son claros en cualquier organización: la alta gerencia, la gerencia media, los empleados de la empresa y sus grupos de interés. Cada uno de ellos tiene necesidades particulares y relacionadas entre sí, que deben ser analizadas y detalladas para entender cómo sacar las mejores ganancias en la aplicación del modelo de negocio de la seguridad de la información.

Como quiera que la fsi, considerando su nivel de madurez corporativa, puede estar articulada en el más alto nivel o asociada con una vista eminentemente tecnológica, tema que está fuera del alcance de este documento, se hace necesario conocer en profundidad qué moviliza el tema en cada una de las audiencias identificadas, su entendimiento a nivel empresarial y el discurso práctico que hace eco en las actividades cotidianas de cada uno de ellos.

Etimológicamente hablando la palabra necesidad establece dos ideas: la falta de algo indispensable para la vida o el motivo irresistible de alguna acción. (Tomado de: http://etimologias.dechile.net/?necesidad) En este sentido, intentemos encontrar esa “falta de algo o motivo irresistible” que hace que las diferentes audiencias encuentren en la seguridad de la información esa materia de conocimiento relevante para el negocio.

Para responder este reto, consideremos una reflexión por el complemento, ¿qué sucede cuando se materializa la inseguridad, cuando los riesgos se materializan? Generalmente ocurre la pérdida de confianza, de serenidad, se incrementa la incertidumbre natural del entorno y por tanto, se requiere tener mayor información de lo sucedido para comprender con detalles aquello que “no debió ser” pero que naturalmente ocurre: la inevitabilidad de la falla. No hay ninguna condición en el mundo que no esté sujeta a riesgos o a la inseguridad, por tanto, todo aquello que nos permite establecer y reconocer estados conocidos, será una forma de validar una sensación de control requerida frente a una situación.

En consecuencia, la alta gerencia de una empresa, en su empeño por mantener a flote el negocio, debe establecer un conjunto de variables y condiciones que le permitan un ambiente estable y tranquilidad relativa, es decir una posición vigilante, para avanzar en medio de sus retos corporativos. En este escenario, la información es una razón suficiente para tener motivos de incertidumbre, un motivo irresistible que enmarca el corazón de la toma de decisiones y las posiciones estratégicas de la empresa. Si esto es así, la fsi debe comprender las raíces de estos motivos y confrontar los dilemas de control que se manifiestan, bien por exposición a terceros, regulaciones e implicaciones económicas, como por impactos en la moral y comportamientos de sus empleados.

La confianza es entonces, un motivador fundamental de los ejecutivos de más alto nivel, que en procura de mantener en curso las estrategias de negocio, para materializar su modelo asociado, requieren que la información se mantenga dentro de los parámetros de confiabilidad propios del entorno de competencia y así mantener controlados los riesgos emergentes de sus relaciones con sus grupos de interés.

Por tanto, como bien dicen la sabiduría popular y la experiencia propia, la confianza tarda mucho en construirse y poco para perderla. En consecuencia, la seguridad de la información es una apuesta para edificar una respuesta a una condición de inseguridad permanente, con el fin de instaurar una esperanza de un comportamiento repetitivo que limita la materialización de una condición indeseada. Ahora bien, si ésta última se materializa, deberá haber una reacción coherente y decisiva que trate de controlar efectivamente los impactos sobre los “bonos” de confianza construidos.

Elementos base de la confianza en seguridad de la información

La competencia y la credibilidad son los elementos más destacados en la construcción de confianza. Estas condiciones, propias de la dinámica de los negocios, particularmente de la seguridad, son requisitos fundamentales de la operación de la función de seguridad de la información. La competencia habla de las habilidades y conocimiento específico aplicado, que se traduce en acciones prácticas visibles y evidenciables, que muestra en el profesional de seguridad de la información, la claridad conceptual y prudencia de sus acciones. La credibilidad es esa propiedad emergente que está fundada en el carácter de la persona, en la forma coherente y real en que toma decisiones basado en sus valores y principios.

En la seguridad de la información, los ejecutivos responsables de ella, deberán acrecentar su credibilidad con resultados concretos y percepciones positivas sobre el manejo de los activos de información, sobre la sabiduría para asegurar la operación de la empresa y la forma en que deben actuar cuando la inevitabilidad de la falla se presenta. La confianza antes, durante y después de la materialización de una falla parcial o total, define mucho el carácter de este ejecutivo, mide su nivel de preparación y valida su capacidad de toma de decisiones frente a situaciones críticas.

Es claro que no es necesario este tipo de situaciones reales para confrontar y validar los niveles de experiencia y capacidad de reacción de los ejecutivos de la seguridad, sino el nivel de preparación e interiorización que la cultura organizacional tiene frente a los incidentes, sus lecciones aprendidas y el refuerzo permanente de sus prácticas frente al tratamiento de la información.

De acuerdo con lo anterior, los altos ejecutivos de la empresa requieren métricas, estudios comparativos, auditorías independientes que permitan comprender cómo la organización se prepara para asumir el reto de los riesgos de seguridad de la información, buscando reducir la incertidumbre propia de un ambiente hostil, dinámico e impredecible que tienen los negocios actuales.

El negocio de la seguridad de la información está cercado por “depredadores” de confianza que buscan en cada momento doblegar sus fuerzas y desdibujar sus victorias previas, para infundir temores y preocupaciones en el colectivo que se quiere posicionar. Por tanto, la promesa de valor y el despliegue de la misma en las organizaciones, no puede ser otra cosa que una vista activa, propositiva y anticipatoria que busca adelantarse a los riesgos y situaciones propias de las operaciones para vivir con el “mínimo de paranoia bien administrado” que destruya la “falsa sensación de seguridad”.

La información: elemento fundamental del negocio de la seguridad de la información

Si entendemos que “una corporación no puede darle forma o controlar información (expuesta en las redes sociales, publicidad, ponderaciones de calidad o consideraciones regulatorias), sólo puede usarla; y debe integrarla con el fin de darle sentido (…)” (CORTADA 2011, pág 76), el negocio de la seguridad de la información encuentra en esta frase, la forma de darle respuesta a otra de las preguntas sugeridas por los teóricos del MIT, ¿dónde debemos operar en la cadena?

El negocio de la seguridad de la información debe operar en diseño de la estrategia corporativa y en la articulación de los planes tácticos, de tal forma que entendiendo la forma como se configura la generación del valor del negocio y cómo se despliega en cada uno de las áreas de negocio, entender esa “falta de algo” que se manifiesta en el tratamiento de la información dentro y fuera de la organización. En este sentido, cuando la seguridad de la información, articula y moviliza el valor de las estrategias corporativas, es capaz de capitalizar las más altas utilidades de su modelo (el de su negocio).

Por tanto, debemos pasar de una vista eminentemente tecnológica y de implementación (que es clave y relevante para hacer del modelo de negocio una realidad) a una asistida por servicios que renueven el entendimiento del mercado en el cual opera la organización, revelen patrones de comportamientos y condiciones regulatorias que impacten la empresa y por qué no, desarrollen ideas diferenciadoras desde la confianza con los terceros y grupos de interés, para crear un desequilibrio estratégico en su mercado creando condiciones que permitan negocios flexibles basados en una aproximación de riesgos calculados.

Amén de lo anterior, si en la información encontramos los movilizadores que articulan el modelo de negocio de la seguridad de información, todas aquellas actividades que verifiquen la confianza de los ejecutivos de las empresas serán un posible nicho de generación y articulación del valor propio del modelo de seguridad de la información. En este sentido, aspectos como el cumplimiento normativo, cifras confiables, operaciones confiables, comportamientos adecuados frente a la información y sistemas de información confiables son temas que deberán ser objeto de análisis y reflexiones para plantear la estrategia del negocio de la seguridad, buscando generar las utilidades requeridas para mantener la viabilidad de dicho negocio, en la función de seguridad de la información de una empresa.

“Si la habilidad para cambiar es ahora más importante, que la habilidad para crear e innovar (…)” (MULHOLLAND, A., PYKE, J. y FINGAR, P. 2010, pág.182) es natural que las organizaciones encuentren en las prácticas de seguridad y control, elementos fundamentales que les permitan avanzar con celeridad y claridad de un estadio a otro, pues si bien allí, existen estrategias formales y estrictas para asegurar una transición adecuada de un estado a otro, también están las condiciones particulares de cada organización, que reconociendo su nivel de riesgo y exigencias normativas, son capaces de adaptar las mismas y lograr los balances requeridos entre confiabilidad y agilidad empresarial para tener una posición estratégica privilegiada.

Reflexiones finales

Estamos en un contexto empresarial dinámico asistido por tendencias tecnológicas que retan los planes estratégicos organizacionales. La computación en la nube, las tecnologías móviles y las redes sociales establecen nuevas oportunidades y amenazas para las organizaciones, y por tanto, la seguridad de la información deben ser el aliado estratégico de la gerencia, para sacar el mayor provecho a las potencialidades de las mismas.

No podemos alcanzar mayores niveles de confiabilidad empresarial, entendida esta desde la perspectiva de la seguridad y calidad de la información, sino somos capaces de generar la suficiente confianza en cada uno de aquellos elementos que son de interés por parte de la alta gerencia. La sensación de confianza que podamos construir, el tratamiento adecuado de la información cada uno de los procesos de negocio de la empresa y el reconocimiento tanto interno como externo de dicha condición, deberá se parte de la agenda del ejecutivo a cargo de la seguridad de la información.

El negocio de la seguridad de la información tendrá sus mayores utilidades y dividendos, cuando sea capaz de reinventarse a sí mismo en cada proceso de negocio, cuando logre incorporar de manera consistente y evidente comportamientos confiables en el manejo de la información en los empleados de las empresas, cuando fortalece su posición vigilante y proactiva frente a los incidentes que se le materialicen, cuando el capital de confianza que ha construido se verifique y consolide con victorias tempranas y pronósticos confiables, que le permitan a su dueño, cumplir la promesa de valor a sus clientes y hacer de sus actividades, conversaciones de las juntas directivas.

Entender la seguridad de la información como un negocio, es vender un intangible que encuentra su referente en la experiencia, historia y práctica de los individuos, en las exigencias normativas y en el nivel de percepción de los riesgos, en pocas palabras, en una esfera social y psicológica que apenas iniciamos a descubrir y que requiere entender la complejidad, es decir la variedad de condiciones y estados de las personas, procesos y tecnologías, para revelar y consolidar el lenguaje político y estratégico que requiere dicho negocio para ser un actor fundamental en la construcción del futuro de las empresas.

Referencias

SINFIELD, J., CALDER, E., McCONNELL, B. y COLSON, S. (2012) How to identify business models. Sloan Management Review. Vol.53, No.2. Winter.

CORTADA, J. (2011) Information and the modern corporation. MIT Press.

MULHOLLAND, A., PYKE, J. y FINGAR, P. (2010) Enterprise cloud computing. A strategy guide for business and technology leaders. Meghan-Kiffer Press.

Descubrimiento electrónico: la evidencia digital y sus retos empresariales

Introducción

Procesar conductas punibles en un mundo digital establece un reto técnico, administrativo y legal para la gobernabilidad de cualquier nación o empresa. Por tanto, conocer con claridad la estructura técnica de los elementos materiales probatorios en medios tecnológicos, sus medidas de aseguramiento y estrategia de presentación se convierte en una prioridad para todos los operadores de la administración de justicia y los profesionales del derecho en un país o corporación.

En este contexto, toma especial importancia, establecer y desarrollar protocolos que permitan identificar, recoger y custodiar los rastros electrónicos propios de cada escena del crimen digital o situación corporativa particular, de tal forma que al presentarse en audiencia no se encuentren reparos o anotaciones que puedan llegar a desvirtuar la misma, privilegiando el espacio de la duda razonable que actúa a favor de los posibles involucrados.

En este sentido, es fundamental establecer una base conceptual técnica de buenas prácticas y estrategias que, desde el punto de vista técnico y con miras al soporte jurídico posterior, puedan brindar a la entidades del estado y a la sociedad en general, una confianza razonable de los procedimientos aplicados para asegurar elementos materiales probatorios digitales a los que pueda tener acceso tanto los particulares como los servidores públicos en el ejercicio de sus funciones.

En consecuencia, los temas relacionados con la computación forense y el descubrimiento electrónico se advierten como dos elementos fundamentales tanto en la administración de justicia como en el ámbito corporativo respectivamente, para comprender con mismo nivel de certidumbre cómo ocurrió un incidente informático, sus móviles y posibles participantes, así como establecer y ubicar la información electrónicamente almacenada relevante para preparar a una organización frente a demandas o litigios donde este tipo de datos digitales son claves para plantear los argumentos requeridos para reclamar o reconocer los derechos de las personas naturales o jurídicas. (CANO 2010, cap. 7)

Entendiendo el descubrimiento electrónico

Hablamos entonces de una disciplina cercana a la computación forense que denominamos “descubrimiento electrónico” o en inglés “electronic discovery”, e-discovery. Una breve definición de qué es e-discovery sería: procedimiento legal donde se le ordena a una de las partes involucradas la producción de pruebas electrónicas. Generalmente el resultado de este procedimiento implica el análisis de un amplio número de dispositivos electrónicos o medios de almacenamiento, para recabar la evidencia electrónica requerida. (ISF 2008, pág 2)

En este contexto, se revela el deber que tienen las organizaciones de preservar información relevante, para anticiparse a un posible litigio jurídico. Por tanto, las empresas deben establecer políticas de retención de información electrónica para eventos como: injurias (preservación de datos de empleados o clientes ante injurias, especialmente aquellas donde la empresa pueda aparecer como negligente), despidos (registros de pagos, préstamos, liquidaciones salariales, prestaciones) e incidentes donde estén involucrados ejecutivos de la empresa (políticas conservación electrónica de las actuaciones de los ejecutivos, particularmente cuando ya no están en la empresa). (CIO EXECUTIVE BOARD 2011b, pág. 10)

Ciclo de vida del descubrimiento electrónico en la empresa

En línea con lo anterior, el abogado especializado en temas de información electrónicamente almanacenada (IEA), Michael R. Arkfeld, en su libro “Electronic discovery and evidence. 2011 -2012 Edition”, publicado por LawPartner publishing, LLC., establece un ciclo de vida para desarrollar el concepto de descubrimiento electrónico en una empresa, siguiendo cinco pasos fundamentales basado en el modelo de e-discovery de FULBRIGHT y JAWORSKI, para balancear la administración del riesgo corporativo y la estimación y contención de los costos, propios del tratamiento de la información electrónica en una organización. Los pasos son: (ARKFELD 2011, cap.3)

Paso 1: Identificar, preservar y recolectar

Identificar, se adelanta de manera paralela con la acción de “preservar”, se entiende como el tipo, fuente y localización de toda la IEA que debe ser preservada. Es importante anotar, que basado en la naturaleza del caso que se lleve se define el tipo y las fuentes de IEA requeridas, considerando todo el tiempo los costos de localizar y convertir la IEA en formatos legibles y usables que permitan una presentación adecuada frente a los terceros y autoridades involucradas.

Preservar, la obligación de preservar puede provenir de diferentes fuentes: leyes, estatutos, regulaciones u órdenes de cortes. Dependiendo del tipo de regulaciones o exigencias legales, el deber para preservar las pruebas o evidencia se establece cuando el litigio es: razonablemente anticipado, razonablemente predecible, inminente o pendiente. En este sentido, para minimizar el riesgo de la destrucción de la evidencia y evitar sanciones, la evidencia digital debe ser preservada tan pronto como se notifique por la parte sobre las potenciales reclamaciones que se pueden presentar. (ARKFELD 2011b, sección 7.9)

Recolectar, es el proceso de reunir potenciales datos relevantes para ser procesados y revisados. En este sentido, considerando la gran cantidad de IEA almacenada en múltiples ubicaciones, con variedad de formatos, se debe asegurar que el procedimiento que se establezca para ello, sea comprensivo y legalmente defendible. Es importante anotar que dado el incremento de datos informáticos almacenados fuera del control directo de la empresa, generalmente en dispositivos personales o en la nube, se cuenta con un reto adicional en este proceso de recolección. (CIO EXECUTIVE BOARD 2011b, pág. 11)

Paso 2: Filtrar y convertir a Información electrónicamente almacenada (IEA)

Filtrar significa reducir y asegurar la precisión de la IEA. Esto es, aplicar una serie de criterios que permitan afinar lo requerido según el caso, efectuar revisiones más focalizadas y mantener controlados los costos de producción de la evidencia. En este sentido, las consideraciones claves que se sugieren para adelantar este paso son:

Negociación del cumplimiento

La premisa en este punto es reunirse y acordar con el abogado de la contraparte los alcances de la preservación de la IEA con el fin de limitar los costos de producción y mantenimiento de la misma. En este sentido, se sugiere que durante la negociación esté presente el personal del área de tecnología de información, o si la negociación se torna tensa o difícil, asistirse de una tercera parte neutral.

Considerar las protecciones legales

Existen declaraciones y disposiciones legales que dan forma y moderan las peticiones de IEA, evitando la extralimitación en su solicitud, incluso considerando el hecho que no esté razonablemente accesible. Los tribunales revisan con detalle las peticiones de protección efectuadas por la parte, para establecer si ésta es una carga, no es excesivamente amplia o pertinente, o no está razonablemente accesible, y así establecer si se autoriza o no dicha solicitud.

Filtrado de la IEA

Este proceso reduce el tamaño de la población de IEA disponible. El proceso de filtrado responde a una “valoración temprana del caso” o su revisión “analítica”. Se estima que aproximadamente entre el 75 y 95 por ciento de los datos inicialmente recolectados en respuesta a una solicitud de descubrimiento electrónico, será eliminada pues no responde a lo requerido y podrá ser filtrada para su no revisión posterior.

Siguiendo lo establecido en Judges’ Guide to Cost-Effective E-discovery (http://www.ediscoveryinstitute.org/JudgesGuide/ (Consultado: 11-01-2012), detallamos algunos de los métodos técnicos conocidos para efectuar filtrado de IEA:

• Limitar la búsqueda de términos (palabra clave, expresiones booleanas y sistemas de búsqueda conocidos) a nombre específicos, fechas y código predictivo.

• Limitar hacia archivos específicos (Word, Excel, PDF, etc) filtrado por extensión (.pdf, .docx, .pst, etc)

• Reducir la duplicación de archivos.

• Remover los archivos conocidos del sistema, de las aplicaciones y software base utilizando para ello la lista general de estos archivos provista por el NIST – National Institute of Standard and Technology (para comparar sus respectivas firmas de HASH)

• Revisar cadenas de texto en correos electrónicos.

• Analizar los nombres de dominio

• Establecer una muestra de la IEA disponible para determinar la relevancia para el caso y el costo de su procesamiento.

Conversión de la IEA

La conversión es un proceso de extracción de los datos de usuario, texto o metadata de los archivos que representan la IEA. Durante la extracción se convierten en un formato para ser importados en otras aplicaciones; eventualmente los datos se convierten en imágenes o se imprimen en papel para revelarlos y presentarlos en una corte. Es importante anotar que durante este momento la IEA no se convierta a archivos PDF o TIFF, sin antes cursar la revisión inicial de la relevancia de la misma.

Paso 3: Revisar y analizar

Luego de filtrar la información no relevante, los profesionales del derecho deben revisar los datos seleccionados para determinar los subconjuntos necesarios, que no sean de acceso privilegiado, para responder a lo solicitado. El costo real del descubrimiento electrónico no es la solicitud o la adquisición de datos, sino el costo del profesional que asiste la revisión de la información para almacenar o localizar información confidencial o reservada antes de su revelación.

En este sentido, generalmente este paso se apoya en herramientas informáticas como los sistemas automatizados para soporte de litigios (Automated litigation support systems – ALS), los cuales cuentan con capacidades de búsqueda y acceso a documentos, reorganización de hechos, registro de análisis previos, puntos de vista entre otros, que permiten colaborar con el equipo de apoyo al proceso jurídico.

Paso 4: Revelar y “Formularios o formas”

Para adelantar este paso es importante establecer la forma para recibir o divulgar la IEA. En este contexto, se detallan a continuación algunos criterios relevantes:

• ¿La IEA es susceptible para hacer búsquedas? Los archivos en formato nativo, bases de datos, texto plano, etc. son susceptibles de búsquedas, pero es probable que deban ser convertidos a un formato conveniente para efectuar las mismas.

• ¿La metadata de la IEA está incluida en el formato? Existen algunos formatos de archivo que no contienen metadata.

• ¿Es posible identificar o resaltar la información privilegiada o confidencial? En los archivos con formato nativo, no es posible identificar esta información sin cambiar el archivo. Es viable con algún código o funcionalidad indicar que la información confidencial se ha retirado electrónicamente.

• ¿Es posible sellar los documentos a ser divulgados? Se recomienda utilizar firma digitales o algoritmos de hash para asegurar la autenticidad de los documentos requeridos para presentarse.

Es importante anotar que si la contraparte en su requerimiento no especifica la forma o formularios para producir la IEA, la otra debe producir o entregarla en la forma o con los formularios con los cuales ordinariamente administrada o razonablemente utilizada. Por tanto, la otra parte no debe producir o entregar la misma IEA en más de una forma.

Paso 5: Presentar

Este es el paso final, que incluye la planeación de la presentación de la evidencia siguiendo el procedimiento legal establecido. Para ello, debe considerar los equipos de apoyo disponibles en recinto de las audiencias, asegurando que se cuenta con el software y hardware requerido para ilustrar con detalle lo requerido durante el despliegue de la presentación.

En razón con lo anterior, resulta conveniente desarrollar al interior de las organizaciones una política o lineamiento corporativo relacionado con la información electrónicamente almacenada de tal forma que se identifique sus periodos de retención, los procedimientos asociados y la persona encargada de la IEA, que permitan recuperar su información para reconstruir los eventos relacionados con reclamaciones o solicitudes que impliquen algún tipo de proceso en el contexto jurídico o empresarial.

Retos emergentes para el descubrimiento electrónico

Avanzar en una estrategia corporativa de descubrimiento electrónico, define un reto en sí misma dado que se hace necesario vincular al menos tres vistas que permitan sintonizar los esfuerzos para beneficio de la organización: el negocio, la tecnología de información y los referentes de conservación y archivo. Cada uno de ellos, establece connotaciones particulares que articuladas en el proceso de sustentación de pruebas informáticas, fortalece y asegura la posición de la organización frente al ciclo de vida del descubrimiento electrónico.

En razón con lo anterior, se presentan tres retos claves (CORPORATE EXECUTIVE BOARD 2011) para considerar a nivel organizacional con el fin de visualizar los aspectos sensibles que deben mantenerse en la agenda de los responsables organizacionales de asegurar una posición apropiada de la empresa frente a litigios con información electrónicamente almacenada.

1. Mapa de datos e información de la organización

Este es un elemento crítico frente al descubrimiento electrónico. Contar con un inventario o mapa de información de una empresa, exige de ésta un alto nivel de madurez en conservación y archivo, así como la declaración de la información como un activo de la corporación. Mientras esto no sea la constante, las organizaciones mantendrán un espíritu reactivo frente a requerimientos legales con registros electrónicos.

2. Información almacenada o residente dentro de dispositivos móviles o en equipos propios de terceros que prestan servicios

Con la alta penetración de dispositivos electrónicos móviles como teléfonos inteligentes y tabletas, las organizaciones cambian su forma de movilizarse frente a la IEA. Ahora la información no permanece en los equipos de cómputo personal, sino que viajan en los medios móviles, generalmente sin un control definido y bajo la responsabilidad del usuario del dispositivo tecnológico. Sin una adecuada orientación y guía en la empresa en este tema, muchas serán las brechas sobre fuga y/o pérdida de información que se reportarán en las empresas.

3. Información generada y distribuida a través de redes sociales

La expresión natural de los seres humanos, ahora a través de la web 2.0, es una característica nativa de los ciudadanos en la red. Por tanto, es claro que los empleados de una organización mantengan estrecha relación con sus comentarios y apreciaciones publicadas a través de sus blogs y redes sociales. En razón con lo anterior, controlar o asegurar este tipo de información, o mantener su trazabilidad, se convierte en un reto de confianza, ética y procedimientos empresariales, que los trabajadores deben asumir con toda la formalidad del caso, para limitar posibles acciones o declaraciones que puedan atentar contra el buen nombre o imagen de la corporación.

Reflexiones finales

Cuando hablamos de evidencia digital en el contexto empresarial generalmente la podemos asociar con aquella requerida para sustentar o probar algún evento, acción o situación organizacional que permita tener la certeza de que algo ha ocurrido, para lo cual el artefacto tecnológico que la produce, cuenta con las estrategias de seguridad y control requeridas para conocer de primera mano el usuario, sus perfiles, los procedimientos asociados y los mecanismos de monitoreo que acompañan el uso del mismo.

Sin embargo, esta realidad solamente se hace evidente cuando un hecho desafortunado ocurre, particularmente asociado con un incidente de seguridad de la información que manifiesta alguna vulnerabilidad, falla o error en algún momento o accionar de los sistemas de información disponibles en la organización. En este sentido, las investigaciones informáticas se convierten en las primeras solicitantes de información para esclarecer los hechos acontecidos y es allí, cuando la computación forense toma la mayor relevancia como esa disciplina especializada que revisa y analiza sistemas informáticos y dispositivos electrónicos que generan, procesan y almacenan evidencia electrónica para determinar la ocurrencia del hecho y dar la explicaciones científico-técnicas de lo que ha ocurrido.

De otra parte y tan relevante como encontrar a los atacantes, sus rastros y acciones realizadas, se tiene el descubrimiento electrónico como la estrategia legal informática de la organización, que permite proteger los intereses de ésta, frente a litigios o reclamaciones, donde los soportes documentales solicitados se encuentran en formato electrónico y se hace necesario aportarlos siguiendo las formalidades de ley requeridas y mantener la vista del proceso en los hechos y no en las evidencias electrónicas que se aportan al mismo.

En consecuencia, no solamente se requiere una vista criminalística sobre la evidencia digital en las organizaciones, sino una vista legal informática que, recabando en los riesgos propios de las empresas en sus diferentes relaciones de negocio, corporativas y con terceros, pueda establecer los elementos documentales electrónicos que soportan las mismas y prepararse para enfrentar un eventual proceso jurídico donde la información electrónicamente almacenada es factor determinante para lograr un fallo a favor o en contra de ésta.

Finalmente, el descubrimiento electrónico como disciplina emergente que busca una comprensión más sistémica de la evidencia digital, más allá de los procesos propios de la justicia criminal, requiere mayor investigación y relevancia para que pasando de una vista focalizada en los aspectos civiles del derecho, se incorpore al ordenamiento jurídico general de las naciones, como factor clave de éxito en la formulación de modelos de administración de evidencia digital tanto en el sector público como privado.

Referencias

ARKFELD, M. (2011) Electronic discovery and evidence. 2011-2012 Edition. LawPartner Publishing, LLC.

ARKFELD, M. (2011b) Guide for legal hold. LawPartner Publishing, LLC.

CANO, J. (Autor y Coordinador) (2010) La evidencia digital y el peritaje informático en Colombia. Editorial Temis – Uniandes.

CORPORATE EXECUTIVE BOARD (2011) E-discovery tools. IREC Executive cheat sheet series. Disponible en: http://www.irec.executiveboard.com (requiere suscripción)

CORPORATE EXECUTIVE BOARD (2011b) The IT Manager’s guide to E-Discovery. Information Risk Executive Board Council. Disponible en: http://www.irec.executiveboard.com (requiere suscripción)

FULBRIGHT y JAWORSKI (?) eDIG: E-Discovery and Litigation Readiness. Disponible en:

http://www.fulbright.com/index.cfm?fuseaction=description.subdescription&site_id=1197&id=1195 (Consultado 15-10-2012)

INFORMATION SECURITY FORUM - ISF (2008) ISF Briefing: Electronic Evidence. Documento interno Disponible en: https://www.securityforum.org/whatwedo/publicresearch/ (Requiere suscripción)

Pronósticos de seguridad de la información para 2012

Cada año los múltiples eventos y fenónemos propios de la seguridad de la información nos revelan aspectos nuevos y creativos de las diferentes formas en las cuales la inevitabilidad de la falla se hace presente. Durante el 2011 esta situación no ha sido diferente, hemos experimentado diferentes vistas de errores, vulnerabilidades y fallas que nos muestran cada vez más que somos tan seguros como el eslabón más débil de la cadena.

Por tanto, cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y asimétrico, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

Considerando lo anterior y con la alta probabilidad de andar por caminos insospechados, trataremos de hacer una visión propositiva sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales reportadas hasta el momento y que prometen seguir o variar en el 2012.

A continuación cinco pronósticos de lo que puede pasar durante 2012 frente a las tendencias y manifestaciones de la inseguridad de la información.

1. Formalización de la certificación en seguridad de la información de terceras partes

Con el paso de los años la función de tecnología de información ha venido evolucionando dando paso a una fuerte tendencia hacia la administración de los recursos de tecnología con terceros. En este sentido, la operación, el aseguramiento y control de los servidores, enrutadores, aplicaciones, servicios de seguridad y control de acceso se ha venido entregando a proveedores especializados que, considerando su labor crítica frente a la estrategias de los negocios, desarrollan sus actividades para movilizar de manera confiable y continua los procesos que soportan la generación de valor de la empresa.

En este contexto, durante los siguientes años se verá una importante tendencia en la certificación formal de la operación de los terceros frente a los temas de seguridad de la información, que si bien se ha venido adelantando utilizando otros referentes o buenas prácticas, se prevé el uso de una nueva norma de la serie ISO 27000, denominada ISO/IEC 27036 — Guidelines for security of outsourcing, la cual establece una serie de requisitos particulares que los terceros deben asegurar para certificar una adecuada prestación de servicios con estándares de seguridad de la información debidamente aplicados y probados. (CHICKOWSKI 2011)

2. El hacktivismo como estrategia moderna para reclamar atención de los estados y las empresas

Durante los últimos años hemos venido observando una serie de comportamientos y manifestaciones en la red, donde las redes sociales y nuevas expresiones digitales se convierten en la forma natural a través de la cual los individuos expresan su opiniones y levantan su voz para llamar la atención sobre aspectos de la vida cotidiana. En este sentido, eventos como los ocurridos en Egipto, España y diversos países de latinoamérica nos muestran la capacidad de convocatoria y sinergia que se puede desarrollar a través de la red para poner en alerta a ciudades, gobiernos y naciones, frente a situaciones de la realidad nacional que merecen atención por parte de las autoridades respectivas. (CIO UPDATE 2011)

Las manifestaciones asistidas desde lo que podríamos llamar un hacktivismo digital incorrecto (LIZAMA 2005), donde una parte de la población insatisfecha con algunos hechos de su realidad (privilegiando los contexto políticos y sociales, más que los tecnológicos), se asesora de especialistas en el manejo de temas tecnológicos, para efectuar acciones perturbadoras que afectan activos digitales claves de las naciones, es una clara tendencia que los ciudadanos digitales, han encontrado para manifestar su inconformidad sobre aquello que no les parece adecuado o injusto frente a la comunidad o población afectada.

Anonymous, Lulzsec y nuevas expresiones de este tipo de hacktivismo será una tendencia clara en los próximos años, pues los nacidos digitales han entendido que la red es una forma de expresión que alcanza todos los niveles sociales y se visualiza en las altas jerarquías del estado y de las organizaciones. (CANO 2011) La tecnología de información es un medio para revelar la inconformidad y mantener atención sobre aquellas cosas importantes para la ciudadanía y las personas que no tienen voz.

3. Ecosistema tecnológico: necesidad competitiva o nuevo vector de ataque.

La computación en la nube, las redes sociales y la computación móvil advierten una realidad concreta, un escenario real donde los gobiernos, las organizaciones y las personas estarán conviviendo y compartiendo riesgos frente a una creciente demanda de servicios, información instantánea y procesamiento de grandes volúmenes de datos. (RAYWOOD 2011)

En este escenario, se plantea un elemento emergente que se denomina un ecosistema tecnológico, un lugar donde tenemos la participación de terceros que administran y movilizan la información y los datos, según las consideraciones de los servicios contratados con cada uno de ellos. Si bien, son múltiples las ventajas de este tipo de ambientes, también se hace necesario desarrollar nuevas propuestas de aseguramiento tanto en aplicaciones, datos e infraestructura, que permitan aumentar el nivel de confianza que este nuevo modelo requiere.

Forrester (WANG 2011) y otras empresas han venido revisando conceptos asociados con los modelos base de seguridad como Bell-LaPadula, para repensar la seguridad de la información en un ecosistema tecnológico, como es el concepto de etiquetas de alta seguridad (high-water mark principle – Mayor información en: WEISSMANN 1969 ) que exigen al tercero con el que se interactúa se sintonice con las exigencias de seguridad y control requeridas para la transacción (la idea es concentrarse en la transacción, los datos y su movilidad, más que en el dispositivo como tal). Sin embargo, aún estamos en las primeras etapas de reconocimiento y análisis de estas nuevas propuestas, que poco a poco deben madurar para reconocer en el ecosistema tecnológico una forma pensar la seguridad en un ambiente dinámico, poroso y móvil.

4. Nuevos retos jurídicos frente a nuevas realidades de las tecnologías de información

Conforme avanzamos en esta nueva década del segundo milenio, los alcances de la tecnología de información exigen nuevos y mejores entendimientos de sus usos en el contexto social. En este sentido, los retos jurídicos naturales como los derechos humanos en internet, la privacidad, el derecho a la información, los activos digitales personales, los derechos de autor, el manejo de la imagen y las marcas, la democracia digital y la participación ciudadana de los individuos entre otros, han venido tomando matices inesperados, que exigen de los nuevos y experimientados juristas respuestas novedosas para entablar nuevos debates y propuestas que den cabida a una realidad social, digital y sin fronteras. (LEVINSON 2011)

En este contexto, durante los siguientes años los estados y las escuelas de leyes tendrán el reto de conciliar los derechos constitucionales de las personas en las múltiples manifestaciones de las tecnologías de información y las decisiones nacionales que demanden un balance general del estado para mantener el orden y el control de la sociedad y el país en general. Esto es, encontrar y descifrar esa zona gris donde los individuos deben mantener buenas prácticas para respetar las libertades e individualidades de los ciudadanos y las regulaciones necesarias para proteger los bienes jurídicamente tutelables y las acciones requeridas que las autoridades necesitan para mantener el equilibrio en el estado social de derecho, ahora en un sociedad de la información y el conocimiento.

5. Mayor visibilidad de los sistemas de control, mayor responsabilidad en su aseguramiento

Durante muchos tiempo los sistemas de control industrial fueron elementos claves propios de instalaciones con operaciones especializadas cuyo funcionamiento cerrado, específico y poco conocido, se asociaba con un mundo restringido a una comunidad técnica, con entrenamiento especial y lenguaje de máquina. Conforme ha venido avanzando la tecnología este tipo de sistemas ha venido integrándose a las redes corporativas como otros elemento más de la misma, con protocolos semejantes a los estándares y transmisiones cada vez más homogéneas.

Considerando lo anterior, la visibilidad de los sistemas de control ha aumentado, lo cual significa un mayor nivel de exposición que requiere la atención tanto de los especialistas en estos temas como de los de riesgos y seguridad de la información. Es importante anotar, que este llamado exige un trabajo conjunto entre los tres mundos: la seguridad, los riesgos y los sistemas de control, pues se hace necesario entender la realidad de la disponibilidad de éstos últimos y las operaciones que realizan, para que desde la vista de riesgos y la especialidad de los sistemas de control, se desarrolle y actualicen los modelos de seguridad y control que requieren las instalaciones y los diseños de los sistemas mencionados. (ENISA 2011)

Los eventos que se ha venido presentando en los últimos años, donde los protagonistas han sido sistemas de control avanzado, en facilidades con operaciones sensibles, nos indican que se debe avanzar en un reconocimiento de los vectores de ataque que se han indentificado y desarrollar estrategias de aseguramiento que anticipen posibles variantes de lo que ha ocurrido, así como respuestas planeadas que enfrenten situaciones inesperadas, para lo cual las prácticas de gestión de incidentes de seguridad de la información y de pérdida de continuidad pueden ser útiles para contener y mantener la confiabilidad de las operaciones.

Reflexiones finales

La seguridad de la información es un proceso exigente y dinámico que requiere la habilidad de sus responsables para mantener en movimiento su creatividad frente a la inseguridad, no sólo para crear la sensación de confiabilidad requerida por los usuarios frente al tratamiento de la información, sino para que vinculando, a estos últimos en la conquista de la asimetría de la inseguridad, se construya de manera conjunta una distinción concreta y evidente de un ambiente controlado y confiable, mas no seguro.

Sólo nos queda observar el desarrollo del 2012, para ver cómo la inseguridad de la información nos cuestiona y nos hace meditar nuevamente y así, pensar de manera distinta para abrirle la puerta a las posibilidades, esas que no son otra cosa que el insumo de la inevitabilidad de la falla, fuente que debe alimentar permanentemente el instinto y la mente del responsable de la seguridad de la información.

Referencias

LEVINSON, M. (2011) Why Law Enforcement Can't Stop Hackers. CIO Magazine. Diciembre Disponible en: http://www.cio.com/article/print/694071 (Consultado: 4-01-2012)

RAYWOOD, D. (2011) 2012: security predictions for the future of mobile, cloud, attacks, data loss and big data. SC Magazine UK. Diciembre Disponible en: http://www.scmagazineuk.com/2012-security-predictions-for-the-future-of-mobile-cloud-attacks-data-loss-and-big-data/article/220301/ (Consultado: 4-01-2012)

CHICKOWSKI, E. (2011) 2012 compliance checklist. Security professionals need to consider these best practices and new compliance requirements as they ring in a new year. Dark Reading Magazine. Diciembre. Disponible en: http://www.darkreading.com/taxonomy/index/printarticle/id/232200757 (Consultado: 4-01-2012)

ENISA (2011) Industrial control systems security. Recommendations for Europe and member state. Disponible en: http://www.enisa.europa.eu/media/press-releases/industrial-control-systems-security-recommendations-for-europe-member-states (Consultado: 4-01-2012)

CIO UPDATE (2011) Fortinet’s Top 8 security predictions for 2012. CIO Update. Diciembre. Disponible en: http://www.cioupdate.com/technology-trends/fortinets-top-8-security-predictions-for-2012.html (Consultado: 4-01-2012)

LIZAMA, J. (2005) Hackers en el contexto de la sociedad de la información. Facultad de Ciencias Políticas y Sociales. Tesis doctoral. Disponible en: http://descargas.segu-info.com.ar/tesis/hackers-sociedad.zip (Consultado: 4-01-2012)

CANO, J. (2011) Voces de la inseguridad de la información. Algunas reflexiones desde la academia. Computerworld Colombia. Agosto.

WANG, C. (2011) The extended enterprise: A security journey. Forrester Research. Disponible en: http://www.forrester.com/rb/Research/extended_enterprise_security_journey/q/id/60179/t/2 (Requiere suscripción)

WEISSMAN, C. (1969) Security controls in the ADEPT-50 time-sharing system. AFIPS Conference Proceedings Fall Joint Computer Conference. pp. 119—133. Disponible en: http://dl.acm.org/citation.cfm?id=1478574 (Requiere suscripción)

Función y propósito de la seguridad de la información

Revisando reflexiones elaboradas por R. Ackoff (en su libro: Differences that make a difference) alrededor de qué es una función y qué es un propósito, encontramos muchas reflexiones que pueden ser de utilidad para el responsable de la seguridad de la información. Mientras una función es el uso de algo que puede tener alguna cosa, tener un propósito implica hacer selecciones y tomar opciones para hacer que ese algo se movilice.

En este sentido, desarrollar una función de seguridad de la información en la empresa es establecer los mecanismos, estrategias y acciones que nos permiten hacer realidad las metas operativas de la seguridad de la información representadas en prevención de ataques, control del spam, revisión y control antivirus, aseguramiento de firewalls, entre otras temáticas, que lo que buscan es medir la efectividad y eficiencia de las implementaciones de hardware y software para proteger la infraestructura tecnológica de riesgos que atenten contra la confidencialidad, integridad y disponibilidad.

Todo lo anterior, se podría implementar sólo como una vista operativa y funcional, aún sin un propósito específico, y tendría efectos positivos en la exigente labor de administración de la seguridad de una organización. Sin embargo, esta postura, no respondería a la necesidad de anticipación requerida y demandada por la organización para movilizar la transformación de la empresa e incrementar el nivel de protección de la información requerido por el negocio ahora y en el futuro.

Cuando la seguridad de la información tiene un propósito, tiene un fundamento, un sueño que lograr y unas metas para cumplir, es capaz de movilizar elementos organizacionales como tiempo, personas y finanzas, para destruir lo que las personas “creen” y renovar lo que las personas “hacen”; haciendo visible un cambio de paradigma en el tratamiento de la información, es decir, pasar de “algo” que alguien hace por mí, a “algo que es parte inherente de mi”.

Materializar este tipo de paradigmas implica no solamente entender la función de seguridad de la información per se, sino encontrar un sentido práctico a la protección de los activos de información, como una manera de hacernos responsables reales en el tratamiento de la información, para tomar las opciones y selecciones conscientes que incrementen la percepción de tranquilidad y seguridad de los activos identificados, clasificados y puestos a disposición de una organización y sus metas grandes y ambiciosas.

Cuando hablamos de la función de seguridad de la información en una organización, sin tener en cuenta su propósito, es hablar de una serie de actividades y acciones que no tienen claramente un sentido o direccionamiento, a pesar de que éstas funcionen de la manera prevista. De igual forma, contar con el propósito motivador de la seguridad en una organización, pero no tener acceso a los recursos suficientes para movilizarlo, se convierte en un buen ejercicio académico que motiva a pocos y no convence a muchos. En este sentido, cada vez que nos hacemos “de mayor edad”, y más pausados en nuestras reflexiones, debemos renovar nuestro niño interior, ese que está libre de autorestricciones y se dejar sorprender con las nuevas lecciones de la inseguridad de la información.

Adicionalmente, si agregamos un símil sobre lo que venimos reflexionando y para ello utilizamos el concepto de una “caja de herramientas”, podemos notar que la función de aquella, entre otras que le podemos asignar, es poder custodiar y mantener funcional los elementos disponibles allí. Si esto es cierto, el poder de la "caja de herramientas" (en este caso de la seguridad de la información) no está en su diseño, ni funcionalidad; está en el propósito que alguien le ha asignado, en las decisiones y opciones que se han tomado para continuar entendiendo las acciones de la inseguridad de la información, teniendo como referente base las declaraciones y protocolos legales propios que las brechas de seguridad de la información imponen a la empresa.

Tener propósitos en la vida y vivirlos con intensidad cada día, es encontrar la fuente de la disciplina, la energía para hacer que las cosas pasen y el libro de la sabiduría para tomar las opciones requeridas y necesarias que permitan elevar nuestro potencial. Si lo anterior es cierto, el responsable de la seguridad de la información, entendiendo el valor propio de las implementaciones tecnológicas y la realidad de las mediciones, podrá responder de manera ágil y contundente a las preguntas políticas que exigen los ejecutivos de la empresa, preguntas que no son otra cosa, que una expresión de las necesidades y expectativas que ellos tienen para proyectarse en su mercado o sector de negocio.

Así las cosas y como quiera que aún debemos cruzar el umbral de las decisiones de presidencia y/o junta directiva, es importante recorrer el camino del propósito desde la realidad interna de la empresa, para formular estrategias operativas que, reconociendo el valor estratégico de la información, sean capaces de cautivar las metas de negocio y sus decisiones estratégicas, desde las prácticas diarias de protección de la información.