Hablar sobre métricas en seguridad de la información, es actualizar una reflexión permanente que está en la agenda de los ejecutivos de seguridad. Las métricas, necesarias para evidenciar la gestión de los profesionales de seguridad frente a los temas de aseguramiento de infraestructura, pero no suficientes para dar respuesta al interrogante: ¿qué tanto hemos mejorado nuestra seguridad con respecto al año anterior?
El Dr. Hyden afirma en su libro que “medimos la seguridad para entender la seguridad”. Parece una afirmación algo simple, pero desafiante y exigente para llevarla a la práctica. En la medida que recolectamos datos sobre la seguridad, con un contexto, con un objetivo, sabiendo lo que queremos hacer con ellos, poco a poco se nos revelará aquello que queremos conocer y detallar. Podemos tener grandes reportes con datos y vulnerabilidades identificadas, los cuales carecerán de sentido si no sabemos qué es aquello que nos queremos responder y atender, para continuar nuestro viaje al corazón mismo de la inseguridad en las diferentes relaciones entre personas, tecnología y procesos.
Continúa comentando el académico mencionado previamente, que “el real beneficio de las métricas se revela cuando los datos que se representan llevan a actividades con sentido para la organización, acciones que soporta objetivos y apalancan retos en la empresa”. En este contexto, el valor de las métricas se percibe y se potencia, sólo cuando somos capaces de expresarlas en el lenguaje del negocio y la hacemos parte de la manera como la misma corporación genera valor en su entorno.
Así las cosas, las métricas en seguridad son valoraciones altamente riesgosas, pues al comprender mejor algo que previamente no se conocía, se genera un mayor conocimiento de la situación y su correspondiente responsabilidad y obligación para actuar en conformidad. En este escenario, recolectar información sobre las diferentes variables el programa de protección de la información es comprender por qué se recogen y las decisiones que se tomarán soportadas en ella.
Considerando lo anterior, el desarrollar un programa de métricas en seguridad exige declarar las limitaciones propias de este ejercicio y la comprensión de variables con cambios constantes, incertidumbre y riesgo, que en otras industrias como los seguros, la manufactura y los diseños se manifiestan con la misma intensidad. De acuerdo con lo que presenta el Prof. Hyden en su libro, se advierte al menos tres lecciones sobre las métricas de seguridad en estas industrias a saber: (HYDEN 2010, pág. 20, 21 y 22)
Lección No.1 Sus métricas de seguridad y las subsecuentes decisiones derivadas de la administración de riesgos, mejorarán su seguridad, tanto como su capacidad para recolectar, analizar y entender los datos relacionados con la operación de la seguridad. (Seguros)
Lección No.2 La seguridad es un proceso de negocio. Si usted no está midiendo ni controlando el proceso, usted no estará midiendo ni controlando la seguridad. (Manufactura)
Lección No.3 La seguridad es el resultado de una actividad humana. Un programa efectivo de métricas en seguridad tratará de entender las personas tanto como la tecnología. (Diseños)
Hyden define la medición como el acto de juicio o estimación de las calidades de algo, a través de la comparación con algo adicional. Mientras las métricas, como los estándares de medidas. En este sentido, no son las métricas las que son sensibles en sí mismas, pues responden a hecho concretos sobre aspectos de la seguridad de la información que requieren ser revisados, sino las mediciones que se derivan de ellas, es decir las valoraciones que se efectúan sobre las métricas las cuales son juicios de valor humanos frente a referentes que deberán ser los más adecuados con la realidad de la empresa y su entorno competitivo.
Considerando lo anterior, Jaquith (2007, pág.30) confirma que si bien se establece un sistema de métricas basado en estándares como el ISO 27001 es un reto interesante, no es lo más adecuado dado que las mediciones asociadas con éste, estarán focalizadas en aspectos que son auditables y requerimientos de control, más que en la incorporación de las prácticas mismas; estará muy sesgada por criterios subjetivos de valoración, dado que se requiere definir qués y cómos propios con la dinámica de la organización y sus estructuras de negocio, y finalmente, las métricas se enfrentarán al problema de la valoración, las cuales el mismo estándar no ofrece orientación al respecto.
De manera complementaria Brotby, establece en su publicación que “se mide para poder administrar”. Esto es, negociar un conjunto de recursos, acordar unos comportamientos requeridos y rendir cuentas. En consecuencia para determinar la información requerida para medir y monitorear un proceso de seguridad se requiere dar respuesta al menos a las siguientes preguntas: (BROTBY 2009, pág.73)
1. ¿Qué es lo que será administrado?
2. ¿Cuáles son sus objetivos?
3. ¿Qué decisiones se deben tomar?
4. ¿Qué información es requerida para tomar dichas decisiones?
5. ¿Qué procesos pueden proveer la información requerida?
Los tres autores coinciden en que las métricas en seguridad de la información son acuerdos propios de las organizaciones en los cuales las buenas prácticas y/o estándares nos permiten comprender la brecha que tenemos frente a los ideales y no representan un ejercicio mandatorio o imprescindible para alcanzar modelos certificables frente a nuestra gestión de riesgos relacionados con la información.
El contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas, nos permite generar mayor visibilidad del programa de protección de activos de información, que el uso mismo de un estándar per se.
No queremos con esta reflexión insinuar o desvirtuar las grandes bondades de las prácticas de seguridad de la información disponibles a la fecha, sino más bien darles su debido lugar dentro de la exigente y constante manifestación de la inseguridad en cada uno de nuestros procesos organizacionales, como esos libros abiertos de sabiduría y consejo, que siempre están disponibles para continuar afinando nuestras acciones de tratamiento del riesgo y afinando nuestro olfato para enfrentar a la inseguridad de la información, haciendo de las mediciones una consecuencia de nuestro mejor entendimiento de esta realidad.
Referencias
HYDEN, L. (2010) IT Security metrics. A practical framework for measuring security & protecting data. McGraw Hill.
BROTBY, K. (2009) Information security management metrics. A definitive guide to effective security monitoring and measurement. CRC Press.
JAQUITH, A. (2007) Security metrics. Replacing fear, uncertainty, and doubt. Addison Wesley
domingo, 11 de julio de 2010
lunes, 5 de julio de 2010
Innovación, Cambio y Estrategia: Tres elementos claves para potenciar la función de seguridad de la información
Durante estos días de múltiples noticias sobre balances de mitad de año, de revelación de indicadores de gestión, surgen muchas inquietudes sobre qué deben hacer las organizaciones para lograr lo que se han propuesto para este periodo de 365 días. En este sentido, luego de revisar tres libros, uno sobre innovación, otro sobre el cambio y un tercero sobre estrategia, se advierte con claridad que son estas tres palabras las que deben marcar el paso de todos aquellos que se atreven a hacer sus sueños realidad y que han decidido dejar una huella profunda en el mundo.
En este contexto, los responsables de la seguridad deberán hacer lo propio, pues la magia de la inseguridad de la información, como maestra de aquellos, nos recuerda a cada instante que debemos caminar por la ruta del desaprender, como requisito de la estrategia, la base para el cambio y la fuente de la innovación. Cada vez que nos enfrentemos al reto de la inseguridad, son los tres elementos antes mencionados los que deben animar nuestra reflexión para avanzar y desafiar los movimientos de nuestra maestra.
La innovación en seguridad de la información supone una mente creativa, que constantemente se pregunta el porqué de las cosas, nunca está satisfecha con las explicaciones de los proveedores y demanda de ellos, formas diferentes de enfrentar los retos de la inseguridad. De igual forma, busca de manera constante combinar dominios y fuentes de análisis, como la incorporación de prácticas de otras disciplinas como el derecho, la seguridad física, las matemáticas, las ciencias sociales, entre otras, pues sabe que allí encontrará elementos que le permitirán ver mejor o replantear el reto mismo de las fallas de seguridad. (Adaptado de: PONTI 2010, pág. 72 y 73)
Cuando somos capaces de innovar, de retirar nuestras propias autorestricciones y lanzarnos a experimentar las consecuencias de este acto, es posible liberar la energía potencial de ideas y acciones que la seguridad requiere para enfrentar a la inseguridad. Esta connotación, exige de los diseños organizacionales de la función de seguridad espacios seguros para pensar diferente y traducir en la práctica, empoderamiento de los profesionales del área y sobre manera mucha alineación con los objetivos de negocio, para que el impacto de lo que se proponga maximice su competitividad y la fuerza de la función de seguridad.
De otro lado, el innovar supone un cambio. Un cambio que debe estar apalancado en una movilización de esfuerzos alrededor de una visión compartida, que permita a la creatividad, encontrar terreno fértil para que sus semillas germinen. Mientras el responsable de la seguridad no sea el abono natural para pensar de manera diferente la seguridad de la información, ésta no estará en la zona de impacto que la organización necesita para ser diferente y hacer de sus procesos de negocio una zona confiable para gerencia y sus grupos de interés.
Cambiar, deja de ser un proceso de las organizaciones, para convertirse en una necesidad permanente de las mismas. El cambio generalmente se indica cuando se desarrolla una crisis, un momento de verdad. En seguridad de la información el cambio es una crisis permanente, gracias a que la inseguridad todo el tiempo está generando nuevas formas de hacernos ver que tenemos mucho que aprender. Así las cosas, el cambio en la función de seguridad de la información es una exigencia permanente que evita a toda costa la zona de confort para los profesionales del área y la tentación de “la falsa sensación de seguridad”.
Consolidar a la seguridad de la información como una ventaja competitiva de la organización, como un activo negocio que hace la diferencia, exige hacer de la práctica de seguridad un referente interno en la forma como comprendemos los riesgos de la información en los flujos de negocio, del conocimiento propio de nuestras limitaciones y de la habilidad para hablar el lenguaje de la dirección. Si esta consideración se inscribe en los planes de desarrollo de las áreas de seguridad de las empresas, otro será el futuro de los Chief Information Security Officers, pues no estarán buscando razones para justificar la importancia de la seguridad en los negocios, sino haciendo parte de la búsqueda de nuevos horizontes y escenarios de crecimiento de las corporaciones.
Pensar de manera estratégica, requiere tener una visión intuitiva e irreverente de lo que vemos y queremos de nuestro futuro. Bien se dice que planear, es lanzarnos a experimentar las corrientes inesperadas y propias de los vientos en las alturas como lo hacen las aves, pues de la misma forma en seguridad se exige que busquemos fuera del statu quo opciones y alternativas para disparar las rentabilidades de los negocios. La seguridad de la información más allá de un servicio, debe transformarse en una realidad de las expresiones y declaraciones de las juntas directivas, que vean en esta función un proceso de madurez organizacional, que crea estándares de industria que diferencia y posicionan a la organización más allá de sus propuestas de negocio.
Hablar de innovación, cambio y estrategia en seguridad de la información es declarar que estamos dispuestos a dar la batalla permanente y efectiva a la inseguridad de la información, que estamos atentos y alertas para conocer y confrontar las consecuencias de lecciones de las fallas, errores y vulnerabilidades de la tecnología y sobremanera, que nuestra decisión para alcanzar la madurez y evolución en el gobierno de la seguridad de la información, estará soportada en la visión estratégica, sistémica y de futuro que la organización quiere alcanzar.
Referencias
PONTI, F. (2010) Los siete movimientos de la innovación. Editorial Norma
HARVARD BUSINESS (2009) Surviving Change. A manager’s guide. Harvard Business Press.
HAX, A. (2010) The Delta model. Reinventing your business strategy. Springer Verlag
En este contexto, los responsables de la seguridad deberán hacer lo propio, pues la magia de la inseguridad de la información, como maestra de aquellos, nos recuerda a cada instante que debemos caminar por la ruta del desaprender, como requisito de la estrategia, la base para el cambio y la fuente de la innovación. Cada vez que nos enfrentemos al reto de la inseguridad, son los tres elementos antes mencionados los que deben animar nuestra reflexión para avanzar y desafiar los movimientos de nuestra maestra.
La innovación en seguridad de la información supone una mente creativa, que constantemente se pregunta el porqué de las cosas, nunca está satisfecha con las explicaciones de los proveedores y demanda de ellos, formas diferentes de enfrentar los retos de la inseguridad. De igual forma, busca de manera constante combinar dominios y fuentes de análisis, como la incorporación de prácticas de otras disciplinas como el derecho, la seguridad física, las matemáticas, las ciencias sociales, entre otras, pues sabe que allí encontrará elementos que le permitirán ver mejor o replantear el reto mismo de las fallas de seguridad. (Adaptado de: PONTI 2010, pág. 72 y 73)
Cuando somos capaces de innovar, de retirar nuestras propias autorestricciones y lanzarnos a experimentar las consecuencias de este acto, es posible liberar la energía potencial de ideas y acciones que la seguridad requiere para enfrentar a la inseguridad. Esta connotación, exige de los diseños organizacionales de la función de seguridad espacios seguros para pensar diferente y traducir en la práctica, empoderamiento de los profesionales del área y sobre manera mucha alineación con los objetivos de negocio, para que el impacto de lo que se proponga maximice su competitividad y la fuerza de la función de seguridad.
De otro lado, el innovar supone un cambio. Un cambio que debe estar apalancado en una movilización de esfuerzos alrededor de una visión compartida, que permita a la creatividad, encontrar terreno fértil para que sus semillas germinen. Mientras el responsable de la seguridad no sea el abono natural para pensar de manera diferente la seguridad de la información, ésta no estará en la zona de impacto que la organización necesita para ser diferente y hacer de sus procesos de negocio una zona confiable para gerencia y sus grupos de interés.
Cambiar, deja de ser un proceso de las organizaciones, para convertirse en una necesidad permanente de las mismas. El cambio generalmente se indica cuando se desarrolla una crisis, un momento de verdad. En seguridad de la información el cambio es una crisis permanente, gracias a que la inseguridad todo el tiempo está generando nuevas formas de hacernos ver que tenemos mucho que aprender. Así las cosas, el cambio en la función de seguridad de la información es una exigencia permanente que evita a toda costa la zona de confort para los profesionales del área y la tentación de “la falsa sensación de seguridad”.
Consolidar a la seguridad de la información como una ventaja competitiva de la organización, como un activo negocio que hace la diferencia, exige hacer de la práctica de seguridad un referente interno en la forma como comprendemos los riesgos de la información en los flujos de negocio, del conocimiento propio de nuestras limitaciones y de la habilidad para hablar el lenguaje de la dirección. Si esta consideración se inscribe en los planes de desarrollo de las áreas de seguridad de las empresas, otro será el futuro de los Chief Information Security Officers, pues no estarán buscando razones para justificar la importancia de la seguridad en los negocios, sino haciendo parte de la búsqueda de nuevos horizontes y escenarios de crecimiento de las corporaciones.
Pensar de manera estratégica, requiere tener una visión intuitiva e irreverente de lo que vemos y queremos de nuestro futuro. Bien se dice que planear, es lanzarnos a experimentar las corrientes inesperadas y propias de los vientos en las alturas como lo hacen las aves, pues de la misma forma en seguridad se exige que busquemos fuera del statu quo opciones y alternativas para disparar las rentabilidades de los negocios. La seguridad de la información más allá de un servicio, debe transformarse en una realidad de las expresiones y declaraciones de las juntas directivas, que vean en esta función un proceso de madurez organizacional, que crea estándares de industria que diferencia y posicionan a la organización más allá de sus propuestas de negocio.
Hablar de innovación, cambio y estrategia en seguridad de la información es declarar que estamos dispuestos a dar la batalla permanente y efectiva a la inseguridad de la información, que estamos atentos y alertas para conocer y confrontar las consecuencias de lecciones de las fallas, errores y vulnerabilidades de la tecnología y sobremanera, que nuestra decisión para alcanzar la madurez y evolución en el gobierno de la seguridad de la información, estará soportada en la visión estratégica, sistémica y de futuro que la organización quiere alcanzar.
Referencias
PONTI, F. (2010) Los siete movimientos de la innovación. Editorial Norma
HARVARD BUSINESS (2009) Surviving Change. A manager’s guide. Harvard Business Press.
HAX, A. (2010) The Delta model. Reinventing your business strategy. Springer Verlag
lunes, 21 de junio de 2010
ISACA international Conference 2010 - El lenguaje de los riesgos de TI
La Information System Audit and Control Association – ISACA es una organización sin ánimo de lucro que es decana de las asociaciones en lo referente a los temas de seguridad y control en tecnologías de información. Dentro de sus múltiples actividades, anualmente organiza un evento de alcance global para reconocer los temas emergentes y retos que los profesionales en tecnologías de información, auditores y entes de aseguramiento y control, así como todos aquellos interesados en los desarrollos tecnológicos, deben advertir de cara a los cambios y tendencias que se presentan en el hacer organizacional y en los avances de la ciencia y la tecnología.
En el 2010 la conferencia internacional desarrollada en Cancún, México, deja ver claramente que las tendencias asociadas con la computación en la nube, la administración de riesgos de tecnologías de información, la generación de valor con tecnologías de información y los temas de continuidad de negocio son los elementos que marcan y marcarán la práctica de las organizaciones que asumen el reto de caminar en la nueva década del nuevo milenio.
La computación en la nube, ya no es más una tendencia, sino una realidad que empieza a desarrollarse en las empresas. Muchas de las presentaciones, incluso se estableció una pista completa para tratar el tema, se mostraron como aplicaciones prácticas del concepto, ilustrando con ejemplos y casos, la forma como se viene desplegando el concepto en países como Australia y Estados Unidos, donde se encuentran muchos de los proveedores de este servicio.
Así mismo, esta realidad hace evidente un riesgo sistémico de falla, dado que en un ecosistema interrelacionado de empresas que proveen servicios en la nube, existe una interdependencia que hace que una falla en una parte de la malla de proveedores, repercuta en el servicio de una u otra empresa. Así las cosas, esta advertencia, hacen más elaborada las reflexiones que sobre el particular se vienen haciendo para darle vida con seguridad y control al reto de los servicios en la nube.
Por otro lado la administración de los riesgos en tecnología de información, asociado con el marco general de Risk IT, establece una serie de elementos de consideración, que permiten al profesional de TI, advertir las amenazas relevantes a la generación de valor de las TIC’s en la organización, no sólo desde la perspectiva tecnológica, sino desde la visión integral de personas, tecnología y procesos. Risk IT es una herramienta estratégica y táctica que permite un gobierno eficiente y efectivo de los riesgos de tecnología en las organizaciones, para lo cual establece tres dominios de conocimiento fundamentales: gobierno de los riesgos, evaluación de los riesgos y respuesta a los riesgos.
Tomado de: ISACA. http://www.isaca.org/Knowledge-Center/PublishingImages/Risk-IT-VAL-IT-Full.jpg
La administración de los riesgos de TI, establece una práctica fundamental en los objetivos de negocio, dada la alta dependencia de la tecnología de las organizaciones modernas. Así las cosas, un marco de referencia como Risk IT, define una ruta a seguir, una forma estructural de identificar el valor y la comunicación del mismo, integrada al portafolio de iniciativas del área de tecnología, como una forma de identificar y valorar el apetito y tolerancia al riesgo de la organización sobre los temas de TI.
De igual forma, los nuevos avances en el tema de Cobit 5.0, que integra los diferentes esfuerzos de buenas prácticas que viene desarrollando ISACA tanto en el tema de riesgos, como en el de seguridad la información (Business Information Security Model), así como en el tema regulatorio y de cumplimiento, hacen parte de un giro estratégico que la asociación y su práctica internacional materializada en sus más de 40000 miembros, ha identificado. La información se convierte en el centro de la gestión misma del área de tecnología. Mientras las tecnologías de información detallan los medios para el uso de la información, la información en sí misma es la razón de ser del área de tecnología.
El valor que percibe la organización del área de TI, se refleja más en el uso mismo de la información. Es decir, en los comportamientos y valores que los individuos identifican y practican frente al procesamiento de los datos, más que en el despliegue de herramientas tecnológicas. En este contexto, el Cobit 5.0 presenta el Information Reference Model, que centra la atención de cada uno de los profesionales de TI en la riqueza misma de la información y sus diferentes relaciones de negocio y de éstos con sus clientes.
Finalmente y no menos importante, los se detallaron aspectos asociados con la continuidad del negocio donde la tecnología funge como el apalancador táctico y estratégico para que las consideraciones de las buenas prácticas revisadas se hagan realidad. De nada sirve contar con un reconocimiento del valor estratégico de la información en la organización, si el soporte de las herramientas mismas, no hace parte de la visión general del gobierno de las tecnologías de información. En este escenario, la continuidad del negocio no puede ser confundida como un seguro técnico que se compra e implementa en la infraestructura técnica de la organización, sino como un proceso estratégico y táctico que incorpora en el marco general de riesgos de TI, la manera real y práctica como la organización responde a una falla parcial o total de los equipos de computación que soportan la operación.
Las charlas asociadas con continuidad de negocio, muestran con claridad mitos y realidades que muchas veces se ignoran frente a este reto organizacional, donde la tecnología, al igual que otros elementos como las evacuaciones, pandemias, emergencias, entre otros, hacen parte de la sintonía requerida por la organización para sobrevivir a un evento bien sea fortuito, intencional o no.
Si bien el evento revisa múltiples perspectivas en los temas previamente desarrollados, es importante anotar que en la vista conjunta tanto de latinoamericanos como europeos, así como de asiáticos y americanos, el lenguaje de los riesgos hace confluir las miradas y los análisis, lo cual genera una dinámica generosa y particular que permite asistir a una conversación internacional sobre una realidad local y propia de cada empresa.
ISACA Internacional Conference 2010, es una experiencia que motiva la imaginación y el entendimiento de una realidad heterogénea y muchas veces ambigua, que sólo en una construcción colectiva de saberes es posible avizorar un modelo parcial de la realidad de la seguridad y el control en el uso de las tecnologías de información a nivel global
En el 2010 la conferencia internacional desarrollada en Cancún, México, deja ver claramente que las tendencias asociadas con la computación en la nube, la administración de riesgos de tecnologías de información, la generación de valor con tecnologías de información y los temas de continuidad de negocio son los elementos que marcan y marcarán la práctica de las organizaciones que asumen el reto de caminar en la nueva década del nuevo milenio.
La computación en la nube, ya no es más una tendencia, sino una realidad que empieza a desarrollarse en las empresas. Muchas de las presentaciones, incluso se estableció una pista completa para tratar el tema, se mostraron como aplicaciones prácticas del concepto, ilustrando con ejemplos y casos, la forma como se viene desplegando el concepto en países como Australia y Estados Unidos, donde se encuentran muchos de los proveedores de este servicio.
Así mismo, esta realidad hace evidente un riesgo sistémico de falla, dado que en un ecosistema interrelacionado de empresas que proveen servicios en la nube, existe una interdependencia que hace que una falla en una parte de la malla de proveedores, repercuta en el servicio de una u otra empresa. Así las cosas, esta advertencia, hacen más elaborada las reflexiones que sobre el particular se vienen haciendo para darle vida con seguridad y control al reto de los servicios en la nube.
Por otro lado la administración de los riesgos en tecnología de información, asociado con el marco general de Risk IT, establece una serie de elementos de consideración, que permiten al profesional de TI, advertir las amenazas relevantes a la generación de valor de las TIC’s en la organización, no sólo desde la perspectiva tecnológica, sino desde la visión integral de personas, tecnología y procesos. Risk IT es una herramienta estratégica y táctica que permite un gobierno eficiente y efectivo de los riesgos de tecnología en las organizaciones, para lo cual establece tres dominios de conocimiento fundamentales: gobierno de los riesgos, evaluación de los riesgos y respuesta a los riesgos.
Tomado de: ISACA. http://www.isaca.org/Knowledge-Center/PublishingImages/Risk-IT-VAL-IT-Full.jpg
La administración de los riesgos de TI, establece una práctica fundamental en los objetivos de negocio, dada la alta dependencia de la tecnología de las organizaciones modernas. Así las cosas, un marco de referencia como Risk IT, define una ruta a seguir, una forma estructural de identificar el valor y la comunicación del mismo, integrada al portafolio de iniciativas del área de tecnología, como una forma de identificar y valorar el apetito y tolerancia al riesgo de la organización sobre los temas de TI.
De igual forma, los nuevos avances en el tema de Cobit 5.0, que integra los diferentes esfuerzos de buenas prácticas que viene desarrollando ISACA tanto en el tema de riesgos, como en el de seguridad la información (Business Information Security Model), así como en el tema regulatorio y de cumplimiento, hacen parte de un giro estratégico que la asociación y su práctica internacional materializada en sus más de 40000 miembros, ha identificado. La información se convierte en el centro de la gestión misma del área de tecnología. Mientras las tecnologías de información detallan los medios para el uso de la información, la información en sí misma es la razón de ser del área de tecnología.
El valor que percibe la organización del área de TI, se refleja más en el uso mismo de la información. Es decir, en los comportamientos y valores que los individuos identifican y practican frente al procesamiento de los datos, más que en el despliegue de herramientas tecnológicas. En este contexto, el Cobit 5.0 presenta el Information Reference Model, que centra la atención de cada uno de los profesionales de TI en la riqueza misma de la información y sus diferentes relaciones de negocio y de éstos con sus clientes.
Finalmente y no menos importante, los se detallaron aspectos asociados con la continuidad del negocio donde la tecnología funge como el apalancador táctico y estratégico para que las consideraciones de las buenas prácticas revisadas se hagan realidad. De nada sirve contar con un reconocimiento del valor estratégico de la información en la organización, si el soporte de las herramientas mismas, no hace parte de la visión general del gobierno de las tecnologías de información. En este escenario, la continuidad del negocio no puede ser confundida como un seguro técnico que se compra e implementa en la infraestructura técnica de la organización, sino como un proceso estratégico y táctico que incorpora en el marco general de riesgos de TI, la manera real y práctica como la organización responde a una falla parcial o total de los equipos de computación que soportan la operación.
Las charlas asociadas con continuidad de negocio, muestran con claridad mitos y realidades que muchas veces se ignoran frente a este reto organizacional, donde la tecnología, al igual que otros elementos como las evacuaciones, pandemias, emergencias, entre otros, hacen parte de la sintonía requerida por la organización para sobrevivir a un evento bien sea fortuito, intencional o no.
Si bien el evento revisa múltiples perspectivas en los temas previamente desarrollados, es importante anotar que en la vista conjunta tanto de latinoamericanos como europeos, así como de asiáticos y americanos, el lenguaje de los riesgos hace confluir las miradas y los análisis, lo cual genera una dinámica generosa y particular que permite asistir a una conversación internacional sobre una realidad local y propia de cada empresa.
ISACA Internacional Conference 2010, es una experiencia que motiva la imaginación y el entendimiento de una realidad heterogénea y muchas veces ambigua, que sólo en una construcción colectiva de saberes es posible avizorar un modelo parcial de la realidad de la seguridad y el control en el uso de las tecnologías de información a nivel global
domingo, 23 de mayo de 2010
Inversión en seguridad de la información: Volver a los principios
Recientemente se ha publicado un estudio del Instituto Ponemon sobre el estado de la seguridad en las aplicaciones web, donde muestra con claridad que se avanza poco en esta área tan crítica para las organizaciones en la actualidad. Sin embargo, llama la atención el estudio de la inversión en seguridad de la información que se presenta como parte de este reporte, que nos recuerda un ejercicio similar realizado por Peter Kuper en 2005 y publicado por el IEEE Security & Privacy en el mismo año.
Si las coincidencias no existen, estos dos reportes parece se han puesto de acuerdo en sus resultados. La diferencia de 5 años en su publicación y sus diferentes autores, nos dicen que algo está ocurriendo con los temas relacionados con la inversión en seguridad de la información. Es posible que los costos asociados con la infraestructura de seguridad de la información se han venido incrementando y la tendencia se mantiene, ó no hemos cambiado el foco de atención en los últimos 5 años en las prioridades de la seguridad de la información.
Tomado de: KUPER 2005
Si revisamos los resultados del estudio de KUPER, según sus análisis en 2005, la inversión en seguridad de la información se concentraba en el perímetro, donde se encuentran las cajas “anti” de la seguridad: antispam, antyspyware, antivirus, las cuales hoy por hoy son parte natural de las infraestructuras de seguridad de las organizaciones. De igual forma, los temas de redes y aplicaciones se consideraban en menor cuantía, dejando relegada la inversión en los temas de los datos. Parece increíble que la razón de ser de la seguridad no tuviese la mayor prioridad en la inversión. Sin embargo, luego de consultar a varios especialistas en el tema se dice que “si se atiende el segmento perimetral, mucho se avanza en la protección de los datos”, de no ser así la situación fuese peor.
Considerando lo anterior y las reflexiones de los especialistas parece que la dinámica interna de las organizaciones no se encuentra en el radar de prioridades, pues el atacante interno, uno de los principales protagonistas hoy en las organizaciones, parece estar desatendido y muchas veces subestimado. Basta con revisar las estadísticas de fuga de información que se han presentado durante este año, para ver que este fenómeno sigue ganando fuerza y afectado la imagen de las organizaciones modernas. Así las cosas, las inversiones perimetrales, si bien son necesarias y requieren su afinamiento, no es posible descuidar la fuerza, ni la dinámica de los datos en los procesos y flujos de información en los negocios, donde las personas son los principales protagonistas.
Tomado de: PONEMON INSTITUTE 2010
En este sentido, cuando revisamos los resultados del Instituto Ponemon, vemos que la seguridad de los datos, si bien ha avanzado en las inversiones de seguridad, la infraestructura es la “reina” que continúa mandando en los presupuestos de las áreas de seguridad. Los datos y la información de las empresas son la materia prima que los negocios del siglo XXI demandan para hacer la diferencia. Si este insumo fundamental no cuenta con las características mínimas de integridad, confidencialidad y disponibilidad, habrá una ola masiva de desconfianza que no permitirá elaborar y concretar relaciones estratégicas de largo plazo que comuniquen el valor a la gerencia y sus grupos de interés.
La seguridad de la información no se trata de medios, sino de fines. Se trata de principios y no de medios tecnológicos; es una reflexión, que centrada en las personas, nos permite entender las relaciones de confianza que se deben crear alrededor de los procesos de negocio, en los cuales la información y datos correctos, se entregan a las personas correctas. Es una dinámica de formalidad en el uso de la tecnología como habilitador de la acción, sustentada en una cultura de seguridad de la información, que no es otra cosa que un hábito consecuente y reiterado, que le dice a persona lo valioso de la custodia de los datos y la consistencia en la generación de la información.
No podemos avanzar en un fortalecimiento de la seguridad de la información sino nos concentramos en los principios. La tecnología evoluciona, las personas de igual forma, pero los fundamentos permanecen. Así las cosas, que cuando volvamos a revisar nuevamente el avance de la inversión en seguridad de la información, prevalezca la esencia del aseguramiento de la información y no las modas y procesos evolutivos de la tecnología, que si bien son necesarios y claves para el desarrollo de las estrategias de protección, nunca reemplazarán al eslabón más débil de la cadena y fin último de la seguridad: La gente.
Referencias
KUPER, P. (2005) The state of Security. IEEE Security & Privacy. Septiembre/Octubre.
PONEMON INSTITUTE (2010) The state of Web Application Security. Disponible en: http://www.imperva.com/ld/ponemon_web_application_security.asp
domingo, 9 de mayo de 2010
Inseguridad de la información: Confusión de fines y perfección de medios
Recientemente revisando el libro de Chris Lowney, denominado “Vivir Heroicamente” se identifica una frase que claramente describe una estrategia para comprender la dinámica de la seguridad de la información en los últimos diez años: “Albert Einstein observaba que nuestra era podía describirse acertadamente como una en la que hay "perfección de medios" y una "confusión de fines”.
Durante esta primera década del siglo XXI los encargados de la seguridad de la información han confundido los fines de la seguridad con los medios para alcanzarla. Prueba de ello, es la preponderancia que ha tenido la tecnología sobre las personas y los procesos organizacionales. Si bien, se ha observado claramente iniciativas que privilegian la formación de individuos en los temas de seguridad de la información, la magia de las tecnologías de seguridad de la información ha ocupado a la industria, particularmente en el aseguramiento de los perímetros tecnológicos de las empresas, ahora más porosos que antes.
En este sentido, se observa un amplio perfeccionamiento de las tecnologías, haciéndose más sensibles y afinadas con los cambios dinámicos del ambiente y con mayores índices de efectividad frente a las nuevas amenazas y fallas. Sin embargo, el fin último del aseguramiento de la información nos se percibe, ni se avizora como se quisiera tanto en las organizaciones como en las personas.
Las empresas al transformar los medios (las tecnologías de seguridad) en los fines de la estrategia de seguridad de la información, confunden y desdibujan los esfuerzos sistémicos para comprender la inseguridad de la información en la dinámica de la empresa, privilegiando las fallas de seguridad de las máquinas, perdiendo el horizonte de experiencias y expectativas de las acciones y hábitos cotidianos de las personas.
Al privilegiar los medios sobre los fines, la inseguridad se apodera de la arrogancia del analista de seguridad para demostrarle que sus “fierros tecnológicos” sólo representan una parte de su ecuación y que tarde o temprano deberá reconocer que no ha visto el bosque y que los solos árboles no tienen la respuesta al desafío del aseguramiento de la información.
Cuando el analista de seguridad entiende que el fin último es el aseguramiento de la información en la realidad de la persona (como prácticas) y procesos de negocio de las empresas (sistemas de gestión y control), la inseguridad advierte la activación de la inteligencia estratégica que se inicia para desentrañarla de los diversos escondites, de sus diferentes máscaras y disfraces, que si bien no logrará conocerlos todos, si tendrá las bases o patrones para continuar avanzando en el reconocimiento de ésta.
Cuando los responsables de la seguridad de la información se concentran apasionadamente en los fines de la protección de la información, se activa la destrucción creativa que desequilibra a la inseguridad; se reinventan de manera continua la seguridad y se desvanece la “falsa sensación de confianza” que ocupa a los conformes y tradicionalistas de la seguridad, que entienden ésta como medio y no como fin.
Si queremos alcanzar un resultado evidente en la gestión de la inseguridad de la información, debemos entender la brecha entre nuestra realidad y la visión deseada, para construir de esta forma, una ruta de medios ajustados con la exigencia de la inevitabilidad de la falla y la pasión por un fin, que no es otra cosa que “sobreponernos a nosotros mismos, levantar a quienes nos rodean y potenciar nuestros talentos y dones” y así poder responder con oportunidad, cuando nuestra maestra “la inseguridad” nos presente una nueva lección.
Referencias
LOWNEY, C. (2010) Vivir heroicamente. Ed. Norma.
Durante esta primera década del siglo XXI los encargados de la seguridad de la información han confundido los fines de la seguridad con los medios para alcanzarla. Prueba de ello, es la preponderancia que ha tenido la tecnología sobre las personas y los procesos organizacionales. Si bien, se ha observado claramente iniciativas que privilegian la formación de individuos en los temas de seguridad de la información, la magia de las tecnologías de seguridad de la información ha ocupado a la industria, particularmente en el aseguramiento de los perímetros tecnológicos de las empresas, ahora más porosos que antes.
En este sentido, se observa un amplio perfeccionamiento de las tecnologías, haciéndose más sensibles y afinadas con los cambios dinámicos del ambiente y con mayores índices de efectividad frente a las nuevas amenazas y fallas. Sin embargo, el fin último del aseguramiento de la información nos se percibe, ni se avizora como se quisiera tanto en las organizaciones como en las personas.
Las empresas al transformar los medios (las tecnologías de seguridad) en los fines de la estrategia de seguridad de la información, confunden y desdibujan los esfuerzos sistémicos para comprender la inseguridad de la información en la dinámica de la empresa, privilegiando las fallas de seguridad de las máquinas, perdiendo el horizonte de experiencias y expectativas de las acciones y hábitos cotidianos de las personas.
Al privilegiar los medios sobre los fines, la inseguridad se apodera de la arrogancia del analista de seguridad para demostrarle que sus “fierros tecnológicos” sólo representan una parte de su ecuación y que tarde o temprano deberá reconocer que no ha visto el bosque y que los solos árboles no tienen la respuesta al desafío del aseguramiento de la información.
Cuando el analista de seguridad entiende que el fin último es el aseguramiento de la información en la realidad de la persona (como prácticas) y procesos de negocio de las empresas (sistemas de gestión y control), la inseguridad advierte la activación de la inteligencia estratégica que se inicia para desentrañarla de los diversos escondites, de sus diferentes máscaras y disfraces, que si bien no logrará conocerlos todos, si tendrá las bases o patrones para continuar avanzando en el reconocimiento de ésta.
Cuando los responsables de la seguridad de la información se concentran apasionadamente en los fines de la protección de la información, se activa la destrucción creativa que desequilibra a la inseguridad; se reinventan de manera continua la seguridad y se desvanece la “falsa sensación de confianza” que ocupa a los conformes y tradicionalistas de la seguridad, que entienden ésta como medio y no como fin.
Si queremos alcanzar un resultado evidente en la gestión de la inseguridad de la información, debemos entender la brecha entre nuestra realidad y la visión deseada, para construir de esta forma, una ruta de medios ajustados con la exigencia de la inevitabilidad de la falla y la pasión por un fin, que no es otra cosa que “sobreponernos a nosotros mismos, levantar a quienes nos rodean y potenciar nuestros talentos y dones” y así poder responder con oportunidad, cuando nuestra maestra “la inseguridad” nos presente una nueva lección.
Referencias
LOWNEY, C. (2010) Vivir heroicamente. Ed. Norma.
domingo, 18 de abril de 2010
Signos y señales de la Inseguridad de la información: Pérdida y/o fuga de la información
Dice el Padre linero en su libro “Orando y Viviendo para pensar en la Cotidianidad” que DIOS habla a través de signos y que DIOS da señales de su voluntad. Los signos son demostraciones concretas que hacen evidente la manifestación de una realidad, mientras las señales son elementos que nos indican algo, te muestran un camino, te sugieren una posibilidad.
Las señales en sí mismas, no son DIOS, sino elementos que deben ser revisados en el contexto de lo que ocurre, para revelar aspectos del camino que se sigue en el contexto de la vida. Por lo tanto, pueden seguirte muchas señales particulares que pueden ser ignoradas o analizadas, y es tu deber dedicarte a revisarlas o ignorarlas según tu cosmovisión del mundo y acercamiento a tu Creador.
Considerando lo anterior como inspiración base para nuestras reflexión ante la pérdida y/o fuga de la información, se hace necesario monitorear y revisar de manera permanente los signos reportados de las fallas de seguridad, los comportamientos inadecuados con el uso de la información y las diferentes tendencias que la industria revela frente a las vulnerabilidades que se presentan con frecuencia tanto en procesos organizacionales como en las tecnologías de información disponibles.
Cuando las organizaciones no se encuentran atentas a los “signos de los tiempos”, las sorpresas se hacen evidentes, los riesgos se materializan y los pronósticos se comprometen. En este sentido, las empresas deben “sensar” y responder a su entorno, de tal manera que capitalicen los referentes que marcan las “señales del camino” con relación a la información, como esa nueva moneda que circula de manera restringida o libre, según se establezca por sus dueños o propietarios.
Así las cosas, este documento presenta una revisión básica sobre la fuga y/o pérdida de la información, la cual busca la restitución de la importancia de la clasificación de la información, no como una actividad del proceso de aseguramiento de la información, sino como una competencia básica que le dé la relevancia a la información como activo real y concreto de las personas y las empresas del siglo XXI.
Somos las personas, los primeros y más importantes custodios de la información y como tal, debemos advertir una serie de buenas prácticas que nos permitan mantener ésta asegurada según se requiera.
Para que esto sea real, la clasificación de la información, es una actividad y a la vez una competencia que cada uno de nosotros debe desarrollar. La información clasificada define el nivel de importancia y protección que una persona debe darle a la misma, lo que en sí mismo, delinea aquello que no deberá circular y lo que deber fluir de manera restringida.
Frente a esta práctica y competencia nuestra en esta sociedad de la información y el conocimiento, existen signos concretos que muestran su necesidad. En el reciente informe elaborado por Forrester por encargo de RSA y Microsoft, liberado en marzo de 2010, denominado The value of corporate data, se advierte que el 57% de las fugas de información de las empresas están asociados con accidentes de los empleados como son: pérdida del teléfono móvil (smartphones), pérdida de computador portátil con información sensible de la empresa y publicación o envío de información sensible de la empresa a través de medios masivos de información o vía correo electrónico respectivamente.
Así las cosas, cuando no se cuenta con una adecuada clasificación de la información que articule la práctica misma con las tecnologías disponibles, las fallas o accidentes que se presenten generarán mayores activos tóxicos, como los menciona el informe de Forrester, en términos de titulares de prensa, multas, sanciones legales y quejas de los clientes, que generan pérdida de valor de la empresa y daños importantes en la imagen y competitividad de la empresa en su entorno de negocio.
Considerando lo anterior, la clasificación de la información o mejor de activos de información, se vuelve una práctica requerida y general para cualquier organización, como la base para adelantar las actividades requeridas en sus relaciones de negocio. No tener asegurada esta práctica, expone a la organización a una pérdida de posicionamiento global e importantes impactos económicos, que debilitan, no solo los informes de pérdidas y ganancias, sino también la moral interna de la organización, pues cada persona recibe un mensaje encontrado que no sabe cómo interpretar frente a una de las actividades centrales de la compañía: generar valor con la información.
Esta realidad de la clasificación de la información, asociada con los elementos de cumplimiento normativo se enfrentan a las necesidades de agilidad de los procesos de negocio y la información secreta, donde reside el 70% de la información clave de las empresas para su posicionamiento local y global, según anota el reporte de Forrester. Para tratar de encontrar un balance entre estas necesidades y realidades organizacionales el informe The Value of Corporate Data establece los siguientes elementos para revisar:
1. Identifique los más importantes activos de información en su portafolio de negocio. Esto es clasifique la información secreta y restringida de la firma que le permita tener por área de negocio aquellos datos que no deben circular y deben ser custodiados por responsables específicos con medidas de control concretas; y los flujos de información de los procesos críticos de negocio, con aquella información que sólo le interesa a dicho proceso y que requieren medidas de control adecuadas para evitar su filtración, fuga o pérdida. En este último escenario, estos activos de información se volverán tóxicos en la medida que el proceso de gestión de incidentes no se encuentre probado o sea ejecutado de manera improvisada.
2. Funde el registro de riesgos de seguridad de los datos. Esto es, divida los registros de dos formas: los registros asociados con el cumplimiento normativo y el mal uso de la información secreta. Sabrá que mientras más riesgos materializados por incumplimiento normativo, mayores posibilidades de un mal uso de la información secreta se puede advertir. Así mismo, al materializarse un uso no adecuado de la información secreta, analice en el contexto del área y los individuos que tienen acceso a esta información, para documentar las lecciones aprendidas y fortalecer los esquemas de segregación de funciones y control de acceso requeridos para este tipo de información.
3. Balancee el programa de seguridad de la información frente a las exigencias de cumplimiento y protección de la información secreta de la empresa. Esto implica comprender las necesidades y expectativas de la gerencia frente al manejo de la información y la “toxicidad” de sus activos, de tal forma que los responsables de la seguridad de la información, puedan avanzar en el fortalecimiento de la cultura de protección de los activos de información, desarrollo de métricas de efectividad del programa de seguridad y generación de confianza en la gestión de la información de la empresas tanto a su interior como con sus asociados y clientes.
Cuando observamos los análisis detallados en este documento, advertimos que se vienen dando signos evidentes que nos sugieren cambios estructurales en la manera como estamos manejando la información tanto a nivel personal como corporativo, lo que exige de los ejecutivos de riesgos empresariales y de seguridad de la información, alinear esfuerzos para incorporar en el desarrollo mismos del diseño de los procesos, las medidas de aseguramiento requeridas para disminuir la fuga y/o pérdida de la información.
Por otro lado, en diferentes industrias se presentan señales que sugieren comportamientos generalizados que materializan riesgos que afectan activos de información claves para las empresas, los cuales muchas veces no son vistos con la relevancia requerida por los altos niveles ejecutivos de las organizaciones, que pueden llevar a caminos peligrosos para la salud financiera y pérdida de imagen en su sector de negocio, afectando su posición y competitividad en el mediano y largo plazo.
En consecuencia, si bien esta reflexión no pretende ser una señal más sobre los signos evidentes que a diario se presentan sobre la inseguridad de la información, quiere proponer algunos elementos de análisis que nos cuestionen sobre lo que a diario ocurre en nuestras organizaciones y no detenernos en nuestro proceso de aseguramiento permanente de los flujos de información en los procesos.
Seguir en la ruta del crecimiento y competitividad organizacional, ignorando las señales del camino propias de la clasificación de la información, las prácticas de gestión segura de la información y el afinamiento de las tecnologías de seguridad requeridas para ello, es asegurar una constante acción reactiva y costosa de las organizaciones, que no se han detenido a pensar la importancia de ese activo real y concreto, cuya fuga o pérdida es el enemigo invisible de su crecimiento, de su posicionamiento.
Cuando la información organizacional, adquiere el status y relevancia en los niveles de decisión de las organizaciones, se abre una alianza real entre la administración de riesgos empresariales y los de seguridad de la información, que requiere de la mediación de los responsables de de la seguridad de la información para poder comprender en el contexto de cada uno de los proceso de negocio, las implicaciones de una fuga y/o pérdida de información empresarial.
Por tanto, no estemos esperando hablar directamente con la alta gerencia para comprender el valor de la información, sino que en cada una de tus acciones y actividades tanto personales como de negocio, sepas interpretar las señales y advertir los signos de la inseguridad, para así poder proceder en consecuencia y conquistar nuestros propios temores.
Referencias
FORRESTER (2010) The value of Corporate Secrets. How Compliance And Collaboration Affect Enterprise Perceptions Of Risk. March. Disponible en: http://www.rsa.com/document.aspx?id=10844 (Consultado: 18-04-2010)
NIST (2010) Guide to protecting the confidentiality of Personally Identifiable Information. April. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf (Consultado: 18-04-2010)
LINERO, A. (2007) Orando y Viviendo para pensar en la cotidianidad. Corporación Centro Carismático Minuto de DIOS.
DATALOSSDB (2010) Tipos de brechas de seguridad. Disponible en: http://datalossdb.org/statistics (Consultado: 18-04-2010)
Las señales en sí mismas, no son DIOS, sino elementos que deben ser revisados en el contexto de lo que ocurre, para revelar aspectos del camino que se sigue en el contexto de la vida. Por lo tanto, pueden seguirte muchas señales particulares que pueden ser ignoradas o analizadas, y es tu deber dedicarte a revisarlas o ignorarlas según tu cosmovisión del mundo y acercamiento a tu Creador.
Considerando lo anterior como inspiración base para nuestras reflexión ante la pérdida y/o fuga de la información, se hace necesario monitorear y revisar de manera permanente los signos reportados de las fallas de seguridad, los comportamientos inadecuados con el uso de la información y las diferentes tendencias que la industria revela frente a las vulnerabilidades que se presentan con frecuencia tanto en procesos organizacionales como en las tecnologías de información disponibles.
Cuando las organizaciones no se encuentran atentas a los “signos de los tiempos”, las sorpresas se hacen evidentes, los riesgos se materializan y los pronósticos se comprometen. En este sentido, las empresas deben “sensar” y responder a su entorno, de tal manera que capitalicen los referentes que marcan las “señales del camino” con relación a la información, como esa nueva moneda que circula de manera restringida o libre, según se establezca por sus dueños o propietarios.
Así las cosas, este documento presenta una revisión básica sobre la fuga y/o pérdida de la información, la cual busca la restitución de la importancia de la clasificación de la información, no como una actividad del proceso de aseguramiento de la información, sino como una competencia básica que le dé la relevancia a la información como activo real y concreto de las personas y las empresas del siglo XXI.
Somos las personas, los primeros y más importantes custodios de la información y como tal, debemos advertir una serie de buenas prácticas que nos permitan mantener ésta asegurada según se requiera.
Para que esto sea real, la clasificación de la información, es una actividad y a la vez una competencia que cada uno de nosotros debe desarrollar. La información clasificada define el nivel de importancia y protección que una persona debe darle a la misma, lo que en sí mismo, delinea aquello que no deberá circular y lo que deber fluir de manera restringida.
Frente a esta práctica y competencia nuestra en esta sociedad de la información y el conocimiento, existen signos concretos que muestran su necesidad. En el reciente informe elaborado por Forrester por encargo de RSA y Microsoft, liberado en marzo de 2010, denominado The value of corporate data, se advierte que el 57% de las fugas de información de las empresas están asociados con accidentes de los empleados como son: pérdida del teléfono móvil (smartphones), pérdida de computador portátil con información sensible de la empresa y publicación o envío de información sensible de la empresa a través de medios masivos de información o vía correo electrónico respectivamente.
Así las cosas, cuando no se cuenta con una adecuada clasificación de la información que articule la práctica misma con las tecnologías disponibles, las fallas o accidentes que se presenten generarán mayores activos tóxicos, como los menciona el informe de Forrester, en términos de titulares de prensa, multas, sanciones legales y quejas de los clientes, que generan pérdida de valor de la empresa y daños importantes en la imagen y competitividad de la empresa en su entorno de negocio.
Considerando lo anterior, la clasificación de la información o mejor de activos de información, se vuelve una práctica requerida y general para cualquier organización, como la base para adelantar las actividades requeridas en sus relaciones de negocio. No tener asegurada esta práctica, expone a la organización a una pérdida de posicionamiento global e importantes impactos económicos, que debilitan, no solo los informes de pérdidas y ganancias, sino también la moral interna de la organización, pues cada persona recibe un mensaje encontrado que no sabe cómo interpretar frente a una de las actividades centrales de la compañía: generar valor con la información.
Esta realidad de la clasificación de la información, asociada con los elementos de cumplimiento normativo se enfrentan a las necesidades de agilidad de los procesos de negocio y la información secreta, donde reside el 70% de la información clave de las empresas para su posicionamiento local y global, según anota el reporte de Forrester. Para tratar de encontrar un balance entre estas necesidades y realidades organizacionales el informe The Value of Corporate Data establece los siguientes elementos para revisar:
1. Identifique los más importantes activos de información en su portafolio de negocio. Esto es clasifique la información secreta y restringida de la firma que le permita tener por área de negocio aquellos datos que no deben circular y deben ser custodiados por responsables específicos con medidas de control concretas; y los flujos de información de los procesos críticos de negocio, con aquella información que sólo le interesa a dicho proceso y que requieren medidas de control adecuadas para evitar su filtración, fuga o pérdida. En este último escenario, estos activos de información se volverán tóxicos en la medida que el proceso de gestión de incidentes no se encuentre probado o sea ejecutado de manera improvisada.
2. Funde el registro de riesgos de seguridad de los datos. Esto es, divida los registros de dos formas: los registros asociados con el cumplimiento normativo y el mal uso de la información secreta. Sabrá que mientras más riesgos materializados por incumplimiento normativo, mayores posibilidades de un mal uso de la información secreta se puede advertir. Así mismo, al materializarse un uso no adecuado de la información secreta, analice en el contexto del área y los individuos que tienen acceso a esta información, para documentar las lecciones aprendidas y fortalecer los esquemas de segregación de funciones y control de acceso requeridos para este tipo de información.
3. Balancee el programa de seguridad de la información frente a las exigencias de cumplimiento y protección de la información secreta de la empresa. Esto implica comprender las necesidades y expectativas de la gerencia frente al manejo de la información y la “toxicidad” de sus activos, de tal forma que los responsables de la seguridad de la información, puedan avanzar en el fortalecimiento de la cultura de protección de los activos de información, desarrollo de métricas de efectividad del programa de seguridad y generación de confianza en la gestión de la información de la empresas tanto a su interior como con sus asociados y clientes.
Cuando observamos los análisis detallados en este documento, advertimos que se vienen dando signos evidentes que nos sugieren cambios estructurales en la manera como estamos manejando la información tanto a nivel personal como corporativo, lo que exige de los ejecutivos de riesgos empresariales y de seguridad de la información, alinear esfuerzos para incorporar en el desarrollo mismos del diseño de los procesos, las medidas de aseguramiento requeridas para disminuir la fuga y/o pérdida de la información.
Por otro lado, en diferentes industrias se presentan señales que sugieren comportamientos generalizados que materializan riesgos que afectan activos de información claves para las empresas, los cuales muchas veces no son vistos con la relevancia requerida por los altos niveles ejecutivos de las organizaciones, que pueden llevar a caminos peligrosos para la salud financiera y pérdida de imagen en su sector de negocio, afectando su posición y competitividad en el mediano y largo plazo.
En consecuencia, si bien esta reflexión no pretende ser una señal más sobre los signos evidentes que a diario se presentan sobre la inseguridad de la información, quiere proponer algunos elementos de análisis que nos cuestionen sobre lo que a diario ocurre en nuestras organizaciones y no detenernos en nuestro proceso de aseguramiento permanente de los flujos de información en los procesos.
Seguir en la ruta del crecimiento y competitividad organizacional, ignorando las señales del camino propias de la clasificación de la información, las prácticas de gestión segura de la información y el afinamiento de las tecnologías de seguridad requeridas para ello, es asegurar una constante acción reactiva y costosa de las organizaciones, que no se han detenido a pensar la importancia de ese activo real y concreto, cuya fuga o pérdida es el enemigo invisible de su crecimiento, de su posicionamiento.
Cuando la información organizacional, adquiere el status y relevancia en los niveles de decisión de las organizaciones, se abre una alianza real entre la administración de riesgos empresariales y los de seguridad de la información, que requiere de la mediación de los responsables de de la seguridad de la información para poder comprender en el contexto de cada uno de los proceso de negocio, las implicaciones de una fuga y/o pérdida de información empresarial.
Por tanto, no estemos esperando hablar directamente con la alta gerencia para comprender el valor de la información, sino que en cada una de tus acciones y actividades tanto personales como de negocio, sepas interpretar las señales y advertir los signos de la inseguridad, para así poder proceder en consecuencia y conquistar nuestros propios temores.
Referencias
FORRESTER (2010) The value of Corporate Secrets. How Compliance And Collaboration Affect Enterprise Perceptions Of Risk. March. Disponible en: http://www.rsa.com/document.aspx?id=10844 (Consultado: 18-04-2010)
NIST (2010) Guide to protecting the confidentiality of Personally Identifiable Information. April. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf (Consultado: 18-04-2010)
LINERO, A. (2007) Orando y Viviendo para pensar en la cotidianidad. Corporación Centro Carismático Minuto de DIOS.
DATALOSSDB (2010) Tipos de brechas de seguridad. Disponible en: http://datalossdb.org/statistics (Consultado: 18-04-2010)
domingo, 7 de marzo de 2010
RSA Conference 2010 - La apuesta de los fabricantes
La conferencia fue una oportunidad para conocer de primera mano los avances y reflexiones que los diferentes proveedores de la industria de seguridad de la información están desarrollando y cuáles son las perspectivas futuras en las cuales se están preparando.
Los temas de computación en la nube, dispositivos móviles, ambientes virtualizados, consideraciones legales de la seguridad y el factor humano fueron temas destacados y ampliamente comentados durante las diferentes sesiones. No obstante lo anterior, los elementos de ciberseguridad y recientes ciberataques fueron igualmente presentados por las autoridades nortamericanas como son el DHS – Department of Homeland Security y el Coordinador de la estrategia de ciberseguridad, que le reporta directamente al Presidente de los Estados Unidos de América.
Cloud Computing: El reto de los proveedores
Según el CEO de RSA, Art Coviello, la computación en la nube es la madurez requerida del área de tecnología para dar cumplimiento a los exigentes y demandantes requerimientos del negocio en términos de agilidad, oportunidad y celeridad en el despliegue de las soluciones de TI. Una computación por demanda, ajustable y elástica con las necesidades de los clientes, así como una homogénea estrategia de ajuste y pago por exclusivamente aquello que se use, ofrece a las organizaciones modernas, economías de escala que amplían lo que ya se había alcanzado con las estrategias de outsourcing o tercerización.
En este contexto, desde el punto de vista del negocio de TI, ya no debería ser problema directo de TI las condiciones desgastadoras del servicio, relacionadas con aprovisionamiento de usuarios, disponibilidad de servidores y redes, configuración de equipos o puesta en marcha de lugares de trabajo, pues existe un tercero con reglas claras de servicio y alcance de su labor. Mientras más sencilla sean las condiciones de operación y disposición de las tecnologías de información, menos interpretaciones habrá y mayores beneficios se pueden obtener de la relación con el tercero.
Es claro, que esta estrategia tercerizada deberá contemplar un fino y delicado análisis de riesgos que implique no solamente la operación y administración de la infraestructura, sino un aspecto fundamental como lo son los flujos de información del negocio que utilizan dicha infraestructura. Los datos e información se convierten en la “oportunidad” para encontrar puntos de apoyo y aseguramiento de la infraestructura que permitan tanto a cliente como a proveedor estar tranquilos por “cómo se manejan estos activos” y “cómo deben funcionar la operación para darle cumplimiento a las expectativas de cliente”.
Los resultados del análisis de la estrategia de tercerización deberán articular riesgos operativos, conocidos y administrados como parte de la función de tecnología de información interna de una compañía, como son entre otros: administración de la disponibilidad, control de acceso, control de cambios, administración de vulnerabilidad, administración de parches, administración de incidentes, monitoreo y seguimiento de uso, seguridad física, cumplimiento regulatorio, así como los derivados del nuevo alcance propuesto por la nube: multi-tenencia (datos de muchos clientes, en espacios físicos concurrentes), flujo de información corporativa en las redes, privacidad, transparencia y oportunidad en el aseguramiento y cumplimiento de auditorías de seguridad y control.
Esta realidad en la nube pone de precedente una nueva forma de hacer las cosas y de repensarlas de manera diferente, pues se hace necesario abrir el potencial del área de TI con el negocio, para que finalmente llegue más rápido a cumplir las expectativas de los cliente y se aseguren los flujos de información que circularán en la infraestructura del tercero. Esto sólo será posible si logramos poner en una vista holística lo que requiere el proveedor, lo que exige el cliente y cómo aseguramos un gobierno de esta relación que vincule las responsabilidades de la organización, en cuanto a definir con claridad que se espera del tercero y cómo el tercero, mantienen altos niveles de aseguramiento y control que confirme la confianza necesaria entre las partes para tener una relación exitosa.
Los móviles: El reto de un nuevo perímetro extendido
Los dispositivos móviles son, en complemento con lo anterior, el reto de mantener comunicados y conectados los negocios y las personas. Las comunicaciones móviles son la forma natural en el siglo XXI de estar en sintonía con la realidad del mercado y las personas. En este sentido, mucho se revisión en la conferencia frente al uso, aseguramiento y control de esta tendencia, que a continuación se detallan algunas de ellas
Twitter, facebook, la mensajería instantánea en general ofrece un lenguaje concreto y real para las organizaciones modernas. No se puede concebir, al menos en los Estados Unidos de América, una persona que no se encuentre conectada. Esto es, existe una nueva generación que basa su productividad en mantener “al día” “en conexión”, con información todo el tiempo. En este orden de ideas, desde la mirada de la seguridad de la información, se desvanece la figura de perímetro de seguridad como lo conocíamos y se despierta la distinción de una desperimetralización o mejor perímetros porosos y en manos de las personas.
Esta nueva realidad, les dice a los encargados de la seguridad de la información, que deberán educar y avanzar en la transformación de comportamientos de las personas, frente al manejo de la información y hacer de ella, un elemento valioso como el dinero, las joyas, el auto o su vida. Así las cosas, los comportamientos seguros, las guías de aseguramiento de dispositivos móviles y las prácticas de seguridad de la información deberán estar en la primera línea del programa de seguridad de las organizaciones, no como algo que seguridad de la información tiene que hacer, sino como aquello sin lo cual continuar la operación de negocio sería muy riesgoso en el mediano y largo plazo.
Los dispositivos móviles son el nuevo reto de la seguridad de la información frente a amenazas como la fuga de información, el código malicioso y la ingeniería social, pues la ingenuidad humana, la confianza excesiva en los dispositivos inalámbricos y una inadecuada higiene informática son aquellas cosas que implican abrir la caja negra del comportamiento humano y su relación frente a un entorno agreste e inseguro como el actual.
La virtualización: La nueva base de gestión de la infraestructura
De otra parte tenemos la virtualización, como la estrategia para “hacer rendir” los recursos computacionales de las empresas. Esta estrategia hace que la infraestructura tenga flexibilidad para recibir o configurar diferentes sistemas operacionales en máquinas virtuales distintas, en un mismo servidor. La estrategia de virtualización es exitosa cuando: (VELTE, A., VELTE, T. y ELSENPETER, R. 2010, pág.10):
• Se comparten sistemas computacionales entre múltiples usuarios
• Se aíslan usuarios de otros y de programas de control
• Se emula hardware en otras máquinas
La virtualización es la base conceptual sobre la cual se desarrolla la estrategia de computación en la nube. En este sentido, el balance entre seguridad y flexibilidad se vuelve sensible, cuando ésta (la virtualización) se hace a gran escala tanto dentro como fuera de la organización. En este mundo virtualizado la seguridad propia de los elementos que hacen posible la virtualización, como son entre otros, el Hypervisor, la máquina virtual y las guías de aseguramiento propias de estos programas, no se han detallado lo suficiente, generando incertidumbre en las bases de la estrategia misma, que podría verse comprometida con ataques sofisticados que puedan impactar la infraestructura de las empresas.
La diligencia en seguridad de la información: Una cuestión de riesgos
De otro lado, escuchar hablar a los abogados sobre seguridad de la información y el uso de los estándares de seguridad a la fecha y demás regulaciones emergentes que exigen aseguramiento de la información, se puede entender claramente que una es la responsabilidad legal propia de las funciones de negocio de una empresa y otra la aplicación de la buena práctica en seguridad de la información.
Es posible tener una buena práctica de seguridad de la información y no cumplir con la responsabilidad legal exigida por la organización. La idea para mantener alineada estas dos distinciones es reconocer claramente los riesgos propios de los flujos de información del negocio, donde se advierte claramente las posibles brechas e impactos en la seguridad de la información y las prácticas requeridas para mitigar tales riesgos. En este sentido, es posible que no se necesite la certificación de un estándar de seguridad, sino el aseguramiento sistemático de prácticas, alineadas con la buena práctica que permitan conjurar los niveles de exposición de los riesgos de la información en rangos aceptables por los dueños de los procesos.
En este contexto, la debida diligencia (due care) en seguridad de la información, es claramente un balance de los riesgos identificados por la organización en sus flujos de negocio, cómo las áreas mitigan esos riesgos y cómo el área de seguridad asegura el cumplimiento de las prácticas de seguridad y control diseñadas para tan fin. Estos resultados revelan finalmente, que si bien lo que legalmente es suficiente para probar una debida diligencia, no es necesariamente equivalente a lo que exigen las buenas prácticas internacionales.
El factor humano: el reto de una seguridad usable
No podemos concluir este reporte sin reconocer con claridad la necesidad imperiosa de trabajar con el elemento más importante de la seguridad, la persona humana. Ella es la fuente de las diferentes manifestaciones de la inseguridad, luego de las fallas propias de la tecnología o el software diseñado para protección de la información. Los ponentes establecen la necesidad de estudiar la psicología de la seguridad, cómo un elemento clave para el diseño y uso de la seguridad misma. Esto es, no es posible usar o entender la seguridad, sin comprender el lenguaje, percepción y entendimiento de la seguridad en los individuos.
Anotan los investigadores, que muchas veces los controles se superan (se sobrepasan) pues no están diseñados para ser usados y entendidos por las personas, sino para ser confrontados y cuestionados, dado que no son instalados en el contexto de su realidad y percepción. Sin embargo, es importante anotar que los panelistas reconocen que puede existir resistencia inicial sobre el tema, pero se puede suavizar en la medida que los participantes comprendan y reconozcan los riesgos y sus implicaciones en el contexto de sus negocios.
Ciberdefensa: un reto de país
Finalmente y no menos importante, se hizo énfasis en la necesidad de una estrategia conjunta entre el gobierno y el sector privado para construir una estrategia de ciberdefensa nacional que implica, aseguramiento y protección de la infraestructura crítica del país, así como una gran ofensiva y despliegue de buenas práctica de seguridad y control en los ciudadanos de la nación, pues reconocen que sin estas dos aproximaciones, habrá mayor espacio para materializar ataques mayores y con peores efectos, a los ya mundialmente conocidos adelantados en contra de Google y de 196 países, donde se encontraba involucrada una gran Botnet internacional.
Referencia:
VELTE, A., VELTE, T. y ELSENPETER, R. (2010) Cloud computing. A practical approach. McGraw Hill.
Los temas de computación en la nube, dispositivos móviles, ambientes virtualizados, consideraciones legales de la seguridad y el factor humano fueron temas destacados y ampliamente comentados durante las diferentes sesiones. No obstante lo anterior, los elementos de ciberseguridad y recientes ciberataques fueron igualmente presentados por las autoridades nortamericanas como son el DHS – Department of Homeland Security y el Coordinador de la estrategia de ciberseguridad, que le reporta directamente al Presidente de los Estados Unidos de América.
Cloud Computing: El reto de los proveedores
Según el CEO de RSA, Art Coviello, la computación en la nube es la madurez requerida del área de tecnología para dar cumplimiento a los exigentes y demandantes requerimientos del negocio en términos de agilidad, oportunidad y celeridad en el despliegue de las soluciones de TI. Una computación por demanda, ajustable y elástica con las necesidades de los clientes, así como una homogénea estrategia de ajuste y pago por exclusivamente aquello que se use, ofrece a las organizaciones modernas, economías de escala que amplían lo que ya se había alcanzado con las estrategias de outsourcing o tercerización.
En este contexto, desde el punto de vista del negocio de TI, ya no debería ser problema directo de TI las condiciones desgastadoras del servicio, relacionadas con aprovisionamiento de usuarios, disponibilidad de servidores y redes, configuración de equipos o puesta en marcha de lugares de trabajo, pues existe un tercero con reglas claras de servicio y alcance de su labor. Mientras más sencilla sean las condiciones de operación y disposición de las tecnologías de información, menos interpretaciones habrá y mayores beneficios se pueden obtener de la relación con el tercero.
Es claro, que esta estrategia tercerizada deberá contemplar un fino y delicado análisis de riesgos que implique no solamente la operación y administración de la infraestructura, sino un aspecto fundamental como lo son los flujos de información del negocio que utilizan dicha infraestructura. Los datos e información se convierten en la “oportunidad” para encontrar puntos de apoyo y aseguramiento de la infraestructura que permitan tanto a cliente como a proveedor estar tranquilos por “cómo se manejan estos activos” y “cómo deben funcionar la operación para darle cumplimiento a las expectativas de cliente”.
Los resultados del análisis de la estrategia de tercerización deberán articular riesgos operativos, conocidos y administrados como parte de la función de tecnología de información interna de una compañía, como son entre otros: administración de la disponibilidad, control de acceso, control de cambios, administración de vulnerabilidad, administración de parches, administración de incidentes, monitoreo y seguimiento de uso, seguridad física, cumplimiento regulatorio, así como los derivados del nuevo alcance propuesto por la nube: multi-tenencia (datos de muchos clientes, en espacios físicos concurrentes), flujo de información corporativa en las redes, privacidad, transparencia y oportunidad en el aseguramiento y cumplimiento de auditorías de seguridad y control.
Esta realidad en la nube pone de precedente una nueva forma de hacer las cosas y de repensarlas de manera diferente, pues se hace necesario abrir el potencial del área de TI con el negocio, para que finalmente llegue más rápido a cumplir las expectativas de los cliente y se aseguren los flujos de información que circularán en la infraestructura del tercero. Esto sólo será posible si logramos poner en una vista holística lo que requiere el proveedor, lo que exige el cliente y cómo aseguramos un gobierno de esta relación que vincule las responsabilidades de la organización, en cuanto a definir con claridad que se espera del tercero y cómo el tercero, mantienen altos niveles de aseguramiento y control que confirme la confianza necesaria entre las partes para tener una relación exitosa.
Los móviles: El reto de un nuevo perímetro extendido
Los dispositivos móviles son, en complemento con lo anterior, el reto de mantener comunicados y conectados los negocios y las personas. Las comunicaciones móviles son la forma natural en el siglo XXI de estar en sintonía con la realidad del mercado y las personas. En este sentido, mucho se revisión en la conferencia frente al uso, aseguramiento y control de esta tendencia, que a continuación se detallan algunas de ellas
Twitter, facebook, la mensajería instantánea en general ofrece un lenguaje concreto y real para las organizaciones modernas. No se puede concebir, al menos en los Estados Unidos de América, una persona que no se encuentre conectada. Esto es, existe una nueva generación que basa su productividad en mantener “al día” “en conexión”, con información todo el tiempo. En este orden de ideas, desde la mirada de la seguridad de la información, se desvanece la figura de perímetro de seguridad como lo conocíamos y se despierta la distinción de una desperimetralización o mejor perímetros porosos y en manos de las personas.
Esta nueva realidad, les dice a los encargados de la seguridad de la información, que deberán educar y avanzar en la transformación de comportamientos de las personas, frente al manejo de la información y hacer de ella, un elemento valioso como el dinero, las joyas, el auto o su vida. Así las cosas, los comportamientos seguros, las guías de aseguramiento de dispositivos móviles y las prácticas de seguridad de la información deberán estar en la primera línea del programa de seguridad de las organizaciones, no como algo que seguridad de la información tiene que hacer, sino como aquello sin lo cual continuar la operación de negocio sería muy riesgoso en el mediano y largo plazo.
Los dispositivos móviles son el nuevo reto de la seguridad de la información frente a amenazas como la fuga de información, el código malicioso y la ingeniería social, pues la ingenuidad humana, la confianza excesiva en los dispositivos inalámbricos y una inadecuada higiene informática son aquellas cosas que implican abrir la caja negra del comportamiento humano y su relación frente a un entorno agreste e inseguro como el actual.
La virtualización: La nueva base de gestión de la infraestructura
De otra parte tenemos la virtualización, como la estrategia para “hacer rendir” los recursos computacionales de las empresas. Esta estrategia hace que la infraestructura tenga flexibilidad para recibir o configurar diferentes sistemas operacionales en máquinas virtuales distintas, en un mismo servidor. La estrategia de virtualización es exitosa cuando: (VELTE, A., VELTE, T. y ELSENPETER, R. 2010, pág.10):
• Se comparten sistemas computacionales entre múltiples usuarios
• Se aíslan usuarios de otros y de programas de control
• Se emula hardware en otras máquinas
La virtualización es la base conceptual sobre la cual se desarrolla la estrategia de computación en la nube. En este sentido, el balance entre seguridad y flexibilidad se vuelve sensible, cuando ésta (la virtualización) se hace a gran escala tanto dentro como fuera de la organización. En este mundo virtualizado la seguridad propia de los elementos que hacen posible la virtualización, como son entre otros, el Hypervisor, la máquina virtual y las guías de aseguramiento propias de estos programas, no se han detallado lo suficiente, generando incertidumbre en las bases de la estrategia misma, que podría verse comprometida con ataques sofisticados que puedan impactar la infraestructura de las empresas.
La diligencia en seguridad de la información: Una cuestión de riesgos
De otro lado, escuchar hablar a los abogados sobre seguridad de la información y el uso de los estándares de seguridad a la fecha y demás regulaciones emergentes que exigen aseguramiento de la información, se puede entender claramente que una es la responsabilidad legal propia de las funciones de negocio de una empresa y otra la aplicación de la buena práctica en seguridad de la información.
Es posible tener una buena práctica de seguridad de la información y no cumplir con la responsabilidad legal exigida por la organización. La idea para mantener alineada estas dos distinciones es reconocer claramente los riesgos propios de los flujos de información del negocio, donde se advierte claramente las posibles brechas e impactos en la seguridad de la información y las prácticas requeridas para mitigar tales riesgos. En este sentido, es posible que no se necesite la certificación de un estándar de seguridad, sino el aseguramiento sistemático de prácticas, alineadas con la buena práctica que permitan conjurar los niveles de exposición de los riesgos de la información en rangos aceptables por los dueños de los procesos.
En este contexto, la debida diligencia (due care) en seguridad de la información, es claramente un balance de los riesgos identificados por la organización en sus flujos de negocio, cómo las áreas mitigan esos riesgos y cómo el área de seguridad asegura el cumplimiento de las prácticas de seguridad y control diseñadas para tan fin. Estos resultados revelan finalmente, que si bien lo que legalmente es suficiente para probar una debida diligencia, no es necesariamente equivalente a lo que exigen las buenas prácticas internacionales.
El factor humano: el reto de una seguridad usable
No podemos concluir este reporte sin reconocer con claridad la necesidad imperiosa de trabajar con el elemento más importante de la seguridad, la persona humana. Ella es la fuente de las diferentes manifestaciones de la inseguridad, luego de las fallas propias de la tecnología o el software diseñado para protección de la información. Los ponentes establecen la necesidad de estudiar la psicología de la seguridad, cómo un elemento clave para el diseño y uso de la seguridad misma. Esto es, no es posible usar o entender la seguridad, sin comprender el lenguaje, percepción y entendimiento de la seguridad en los individuos.
Anotan los investigadores, que muchas veces los controles se superan (se sobrepasan) pues no están diseñados para ser usados y entendidos por las personas, sino para ser confrontados y cuestionados, dado que no son instalados en el contexto de su realidad y percepción. Sin embargo, es importante anotar que los panelistas reconocen que puede existir resistencia inicial sobre el tema, pero se puede suavizar en la medida que los participantes comprendan y reconozcan los riesgos y sus implicaciones en el contexto de sus negocios.
Ciberdefensa: un reto de país
Finalmente y no menos importante, se hizo énfasis en la necesidad de una estrategia conjunta entre el gobierno y el sector privado para construir una estrategia de ciberdefensa nacional que implica, aseguramiento y protección de la infraestructura crítica del país, así como una gran ofensiva y despliegue de buenas práctica de seguridad y control en los ciudadanos de la nación, pues reconocen que sin estas dos aproximaciones, habrá mayor espacio para materializar ataques mayores y con peores efectos, a los ya mundialmente conocidos adelantados en contra de Google y de 196 países, donde se encontraba involucrada una gran Botnet internacional.
Referencia:
VELTE, A., VELTE, T. y ELSENPETER, R. (2010) Cloud computing. A practical approach. McGraw Hill.
Suscribirse a:
Entradas (Atom)
