Inseguridad de la información: Asegurar el 99,9% y sobrevivir al 0,1%

Introducción

¿Qué se siente cuando no hay correo electrónico? ¿Qué pasa cuando vas a un banco y te dicen que el sistema ha fallado o no hay línea? ¿Qué sientes cuando no hay internet? Son situaciones donde inmediatamente viene a nuestra mente la pregunta ¿qué pasa con el área de tecnología?, ¿no tienen todo controlado? Pues bien, es importante anotar, que no existe riesgo cero y por tanto la materialización de un evento que genere no disponibilidad será tan relevante como la forma en que mantenemos monitoreo, aseguramiento y verificación de las variables mínimas que nos permitan conocer el umbral de falla que se puede materializar.

En este sentido, cuando experimentamos las “caídas” de un servicio, entendemos que son máquinas las que están detrás de la magia, así como un conjunto de personas y sistemas de monitoreo que son capaces de verificar su funcionamiento y en algunas ocasiones, dependiendo de la formalidad de su operación, establecer pronósticos que permitan anticiparse a posibles fallas que puedan afectar la percepción del tercero frente al consumo de los servicios.

En este sentido, las palabras disponibilidad y continuidad se convierten en parte natural de la planeación de la operación y supervivencia de una empresa, particularmente de aquella que es consciente de que se encuentra en un escenario inestable y que debe estar preparada para brindar el máximo de operación continua con el mínimo de interrupciones, así como parar analizar las condiciones límites de trabajo para aplicar los procedimientos necesarios cuando un desastre o falla total ocurre.

Así las cosas, las empresas en la actualidad, asistiendo al escenario de una operación compartida e integrada con terceros, deben considerar tanto la disponibilidad como la continuidad como elementos naturales de su contratación y responsabilidad con sus clientes, de tal forma que se vaya fortaleciendo la capacidad de recuperación de la infraestructura tecnológica, como base para proteger el valor de la empresa.

En consecuencia, al estar expuestos a fallas de múltiples tipos y condiciones, las organizaciones deben desarrollar no sólo buenas prácticas asociadas con la disponibilidad y la continuidad, sino iniciar el camino de la resiliencia estratégica, como aquella capacidad de convertir las amenazas tanto internas como externas en oportunidades, antes que éstas se conviertan en condiciones insuperables para las organizaciones. (VALIKANGAS, L. 2010, pág.20)

Disponibilidad

De acuerdo con JAYASWAL (2006, pág.6) la disponibilidad es la porción de tiempo en que una aplicación o servicio está en operación para los clientes internos o externos, soportando su trabajo productivo. Mientras más resistente sea el servicio o aplicación frente a las fallas parciales o totales, mayor será su disponibilidad.

Es natural que los usuarios o clientes, quieran que los servicios que utilizan estén disponibles en cada momento, lo que se denomina operación ininterrumpida, sin embargo existen riesgos inherentes a la infraestructura que la soporta que, por más esfuerzos que se adelanten, siempre serán susceptibles de fallas que limiten el uso del servicio o aplicación, generando lo que en la literatura se conoce como downtime o tiempo de inactividad.

En este contexto, se ha acuñado una serie de consideraciones técnicas que ilustran con claridad lo que significa la disponibilidad en términos porcentuales, donde se establecen los porcentajes de tiempos de inactividad, sus valores en términos de días, horas, minutos o segundos, que permiten observar las exigencias que establecen estas métricas para dar cumplimiento con los umbrales de inactividad previstos en cada uno de ellos, bien sean planeados o no.

Porcentaje tiempo de actividad	Tipo disponibilidad	Porcentaje tiempo de inactividad	Inactividad por año	Inactividad por mes
98%	Disponibilidad base	2%	7,3 días	14 horas 36 minutos
99%	Disponibilidad normal	1%	3,65 días	7 horas 18 minutos
99.9%	Alta disponibilidad	0,1%	8 horas 45 minutos	43 minutos 45 segundos
99.99%	Resiliente a fallas	0,01%	52,5 minutos	4 minutos 22 segundos
99.999%	Tolerante a fallas	0,001%	5,25 minutos	26 segundos
100%	Procesamiento continuo	0	0	0

(Adaptado de: JAYASWAL, K. 2006, pág.6 y MARQUIS 2006)

La tabla anterior nos manifiesta que si queremos una operación ininterrumpida o procesamiento continuo se requiere una operación altamente formal, basada en un monitoreo y verificación permanente que más allá de una falla, la infraestructura definida sea lo suficientemente redundante, activa y autoprotegida, de tal forma que no se presente la percepción de inactividad por parte del cliente.

Llegar a una condición como la anterior, es un ejercicio de cero tolerancia al error bien sea humano, de hardware, software o ambiente, que demanda una “perfección” en la gestión de las variables de operación, que raya en una preparación permanente para la falla y la forma como en el mismo instante se toma control y acción para mitigar los efectos de la misma.

Un sistema como el comentado exige mayor inversión en infraestructura, software y aseguramiento de sus componentes, que necesariamente genera mayor exposición a las fallas, dado que igualmente es tecnología y está expuesta a que existan condiciones de operación límite, que impacte el desempeño de la misma. Así las cosas, estamos ante una contradicción de la disponibilidad: queremos una operación perfecta, que está soportada en infraestructura diseñada y construida por seres imperfectos.

Continuidad

En razón con lo anterior y sabiendo que estamos expuestos a riesgos, las organizaciones deben considerar su supervivencia, aún en condiciones extremas, de tal forma que puedan ser viables en el mediano y largo plazo. De acuerdo con SHOEMAKER y COKLIN (2012) la administración de la continuidad de una organización consiste en desarrollar y asegurar un proceso que permita que los elementos críticos de ésta, representados en sus activos de información y capacidades de procesamiento, se mantengan aún cuando exista un desastre o condición adversa.   

Lo anterior necesariamente implica, asegurar los roles y responsabilidades de las personas que participan en este proceso, su adecuado entrenamiento y capacitación, de tal forma que puedan actuar conforme lo que está previsto en los procedimientos y así recuperar las funciones operacionales de la empresa, tanto desde la perspectiva informática como de las actividades de negocio. Generalmente los ambientes de continuidad están asociados con operación en sitios alternos, los cuales deben ser conocidos y mantenidos en óptimas condiciones para albergar la operación de la empresa cuando sea necesario.

Los análisis del nivel de madurez de la continuidad de una empresa están asociados con las capacidades de recuperación que ésta debe desarrollar, cuando se materializa un escenario de falla total que exija a la función de negocio dejar de operar en un contexto y reiniciar sus actividades en otro, sin perjuicio de los impactos que se puedan presentar sobre las infraestructura que lo soporta, los cuales deberán estar considerados dentro de los escenarios de falla que se hayan previsto.

Es claro que el factor crítico de éxito de la continuidad es la preparación, razón por la cual las estrategias y la planeación son elementos fundamentales para asegurar dicho proceso. Si bien no podemos predecir los eventos de falla total que nos puedan ocurrir, si podemos anticipar nuestras acciones y pruebas que nos faciliten actuar de manera natural ante eventos inesperados y devastadores. Muchos de los accidentes o condiciones inseguras durante momentos de crisis, se presentan por la falta de preparación y práctica sistemática de procedimientos, que no habilitan a las personas para actuar conforme lo que se requiere, sino que se dejan llevar por lo que la situación les demanda.

El 11 de septiembre de 2001, quedó claro que la disponibilidad de los servicios basada en ambientes altamente automatizados y asegurados, no fue suficiente para soportar las condiciones inesperadas de un ataque totalmente atípico hasta el momento. Así mismo, se probó de manera extrema que la continuidad frente a circunstancias extremas, con coordinaciones con otros entes de apoyo, aún requiere práctica sistemática aplicada, que permita una recuperación más efectiva y con menos improvisación.

Resiliencia

Define JAYASWAL (2006, pág 17) que la resiliencia o resiliency (en inglés) es una propiedad de un componente que le permite a éste continuar funcionando total o parcialmente luego de una o muchas fallas. Es decir, tendremos mayor resiliencia en la medida que los componentes estén habilitados para detectar y compensar rápidamente las fallas identificadas.

Desde el punto de vista de negocio, VALIKANGAS (2010) entiende la resiliencia como la capacidad que tiene una organización de beneficiarse de eventos inesperados, los cuales pueden contener riesgos, y convertirlos en oportunidades. Esta capacidad, requiere como anota el académico, tomar ventaja de la serendipia o serendipity, es decir, de la sagacidad para ver e interpretar lo que se ha encontrado, lo cual posiblemente dista de lo que originalmente se estaba buscando.

Cuando comparamos las dos definiciones encontramos que la resiliencia es una capacidad de recuperación, aún frente a fallas, pero igualmente el momento concreto para ver “fuera de la caja” y ver más allá de lo que ocurre. En este sentido, desarrollar la resiliencia en las organizaciones, más que prepararse o adaptarse frente a escenario de falla parcial o total, busca desarrollar una capacidad inherente para reinventarse y mantenerse vigente en el entorno y permanecer en el largo plazo.

Podríamos decir que la viabilidad de la organización, podría estar comprometida si ésta no es capaz de desarrollar resiliencia estratégica. Es decir, alcanzar sabiduría en los negocios,  el arte de aventurarse hacia mares profundos y explorar nuevas posibilidades, o como anota DeBONO (1997, pág.46) acerca de la sabiduría, “es la capacidad de imaginar posibilidades y de considerarlas, es la renuncia a dejarse encerrar en juicios fáciles y falsas certezas”

La resiliencia por tanto, vista de manera holística, confronta nuestros modelos de operación personal, empresarial y tecnológica, para buscar nuevas formas de mantenernos despiertos a las realidades inesperadas de la dinámica de las organizaciones y los mercados, para advertir que podemos “eliminar nuestras propias auto-restricciones” y ser capaces de inventar nuevos escenarios de operación que aún esperan por nosotros para ser implementados.

Los conceptos de disponibilidad y continuidad, si bien establecen formas de mantenernos activos y en condiciones de operación confiables, la resiliencia trasciende los mismos para encontrar en las crisis, cambios anticipados; en los efectos de borde, nuevas formas de desaprender y en las condiciones inesperadas, nueva forma de ver la realidad. Así las cosas y como quiera, que estas habilidades no son inherentes a nuestra forma de razonar, habrá que habituarnos a ejercitar nuestra mente y visión estratégica para incorporar la práctica de la resiliencia como factor fundamental para poder planear, es decir, volar y dejar que los vientos nos enseñen y revelen el camino del águila hacia las alturas.

Reflexiones finales

Hemos visto que la disponibilidad, o las estrategias y condiciones requeridas para mantenernos en operación (99,9%), es un factor clave para asegurar que tenemos actividad continua y una forma para responder frente a eventos que puedan generar tiempos de inactividad. Sin embargo, no es suficiente implementar esta característica para mantener la viabilidad de la operación, pues ella está condicionada por la infraestructura que la soporta, que nuevamente se convierte en su propio punto de falla.

La continuidad por su parte es la forma como una organización o individuo debe actuar cuando, se materializa el 0,1% de tiempo de inactividad, es decir los procedimientos que debemos seguir para continuar la operación del negocio y desarrollar las capacidades de recuperación de la infraestructura, ahora en otro contexto y realidad, para lograr una reincorporación adecuada y aseguramiento de la viabilidad de la empresa y  más valiosos activos: las personas, la información y sus locaciones.

La resiliencia, como esa capacidad de continuar operando y recuperarse aún ante la presencia fallas o de aprovechamiento positivo de las situaciones de crisis, es otra condición particular que juega un papel fundamental en el entendimiento de la permanencia de las empresas y sus operaciones. Si bien, los dos conceptos anteriores nos informan sobre formas de prevención y reacción, la resiliencia nos permite desarrollar la capacidad de anticipación e innovación para revelar aquello que se esconde dentro de cada situación límite o inesperada.

No podemos entender la inseguridad de la información en el contexto organizacional, sólo desde las condiciones de inactividad operacional, las fallas parciales o totales de la infraestructura, o los eventos inesperados que alteren la realidad de una empresa, sino como una forma de preparar a las organizaciones para desarrollar y fortalecer su estrategia de cambio, es decir, encontrar en la inevitabilidad de la falla, la forma de entrenar nuestro entendimiento para descubrir las oportunidades y crear la plataforma para hacer que las cosas pasen.

Referencias

JAYASWAL, K. (2006) Administering data centers. John Wiley & Sons. Indianápolis.

MARQUIS, H. (2006) The paradox of 9s. Disponible en: http://www.itsmsolutions.com/newsletters/DITYvol2iss47.htm (Consultado: 31-03-2012)

UPTIME INSTITUTE (2010) Data Center Site Infrastructure Tier Standard: Topology. Disponible en: http://www.uptimeinstitute.com/ (Consultado: 31-03-2012)

VALIKANGAS, L. (2010) The resilient organization. How adaptive cultures thrive even when strategy fails. McGraw Hill.

SHOEMAKER, D. y CONKLIN, A. (2012) Cybersecurity. The essencial body of Knowledge. Cengage Training.

DeBONO, E. (1997) El texto de la sabiduría de Edward DeBono. Editorial Norma

Privacidad de los datos. Más que un aspecto de cumplimiento

Introducción 

En un mundo cada vez más interconectado, de información instantánea y servicios en la nube; la sobrecarga de la información y la pérdida de privacidad son amenazas que ya no pueden pasar desapercibidas. En este contexto, el concepto de privacidad y las tensiones naturales con las exigencias corporativas son elementos que requieren analizarse, para reconocer los límites y balances que deben existir para mantener una coexistencia que permita por un lado, asegurar un adecuado manejo de la información y por otro, mantener y fortalecer un cuidado estricto sobre la información personal. 

Revisando algunos estudios internacionales (ERNEST AND YOUNG 2012) se establece que la administración de la privacidad en las organizaciones se encuentra influenciada al menos por tres elementos claves: el fraude, la economía y las regulaciones. 

El fraude, el cual generalmente es materializado a través de múltiples individuos o eventos, con acceso a información personal con propósitos criminales, políticos o de monitoreo, es una tendencia que revela la fragilidad interna de las empresas frente a los estándares de ética, los valores personales y la cultura corporativa. 

De otra parte, la economía, como aspecto complementario al anterior, propone un ambiente de incertidumbre, de inestabilidad, que confronta la seguridad financiera y valores personales atentando contra el balance natural de las necesidades humanas, es otro detonador que revela la necesidad de acceso a información para mantener el seguimiento de los hábitos financieros de los individuos. 

Finalmente, las regulaciones, que como menciona el estudio, es un ejercicio de nunca terminar, demanda un esfuerzo importante por parte de las empresas, para mantener un ambiente de control conocido y confiable, que permita generar la confianza requerida tanto para la empresa en su relación con los inversionistas, como para los individuos en el contexto del manejo de sus datos. 

Así las cosas y como quiera que esta realidad de la privacidad y la seguridad de la información de las personas, es un reto propio de una sociedad de la información y el conocimiento, se hace imperioso encontrar referentes, experiencias y buenas prácticas que nos permitan abordar y sintonizar las garantías constitucionales de los ciudadanos, con las posibilidades y necesidades de los estados para potenciar sus capacidades de seguridad y control.  

Privacidad de los datos 

Entrar en los terrenos de la privacidad es reconocer los derechos y deberes que los ciudadanos tienen respecto de la información personal. En este sentido el NIST – National Institute of Standard and Technology (2010) define la información de identificación personal (PII – Personal Identifiable Information) como “(…) cualquier información acerca de un individuo gestionada por una agencia, incluyendo (1) cualquier información que pueda ser usada para distinguir o seguir la identidad de un individuo, como puede ser su nombre, número de seguro social, fecha y lugar de nacimiento, apellido de la madre o registros biométricos; y (2) cualquier otra información que vincule o asocie a un individuo, como puede ser información médica, educacional, financiera y laboral.” 

Esta definición establece con claridad la exigencia que cualquier empresa tiene con el manejo y uso de la información, frente a las garantías constitucionales que cada ciudadano tiene con respecto a su información. Esto, es que cada organización deber atender no sólo atender las exigencias regulatorias que existen respecto de la información personal, sino desarrollar los mecanismos y estrategias que permitan su adecuada administración, lo que generalmente incluye aspectos como su recolección, uso, procesamiento, almacenamiento y revelación. 

Si bien, en el mundo existen diferentes iniciativas relacionadas con la protección de los datos personales, es claro que las organizaciones y los estados están recientemente tomando atenta nota de estas consideraciones. El estudio de tendencias en privacidad realizado por una empresa de consultoría internacional (ERNEST AND YOUNG 2012), establece que el 73% de las empresas entienden claramente las regulaciones relativas a la privacidad y sus impactos a nivel corporativo, sin embargo, sólo un 30% tiene implementados mecanismos reales que permitan monitorear y mantener los controles relacionados con la privacidad de los datos. 

Ante el escenario jurídico colombiano la Corte Constitucional ha venido consolidando jurisprudencia sobre el tema por más de 10 años, lo cual establece el desarrollo de un derecho fundamental denominado hábeas data. Dicho derecho, es un reconocimiento de la autodeterminación informática de las personas, cuyo eje fundamental está asociado con el conocer, rectificar y actualizar la información del titular en cualquier medio o condición que se encuentre la misma. 

 Como quiera que la privacidad es un derecho fundamental y que su protección depende de un ejercicio razonable de prácticas de seguridad y control que permita su adecuado tratamiento, se hace necesario identificar todos aquellos sitios o fuentes donde se pueda tener información de carácter personal, para establecer el marco general de cumplimiento requerido que asegure el compromiso de la gerencia frente a esta realidad.  

Ciclo de vida de la seguridad y la privacidad 

Para ello, SHAW propone un ciclo de vida para la privacidad y la seguridad de la información, como una forma de establecer un tenor concreto de las responsabilidades, exigencias y cumplimiento que las organizaciones deben considerar cuando de atender las obligaciones, riesgos y tratamiento de la información se requiere, no sólo para verificar que se consideran las regulaciones del caso, sino para comprender que tanto la seguridad como la privacidad son disciplinas complementarias, que hacen de su aplicación una forma de elevar la confianza de los grupos de interés frente a sus intereses empresariales. 

El ciclo propuesto establece cinco pasos:  

1. Identificar y revisar los estatutos y regulaciones aplicables a la organización 

Este primer paso demanda que las organizaciones cuenten con un observatorio permanente de regulaciones y leyes de cada una de las regiones o sectores donde opera la empresa, de tal forma que desarrolle un diagnóstico concreto sobre las condiciones actuales de su cumplimiento frente a las prácticas corporativas respecto del tema.  

2. Identificar y analizar las fuentes potenciales de responsabilidad Esta fase pretende que la organización establezca un análisis exhaustivo de activos de información existente, que permita determinar el alcance de las responsabilidades y el ejercicio de controles requerido por la empresa. Esta identificación pasa por el análisis de hardware, software, aplicaciones (ambientes de pruebas, calidad y producción), redes y facilidades que las empresas utilizan para la transmisión de datos, propietarios y custodios de información.  

3. Aplicación de políticas y valoraciones de riesgos Por un lado esta etapa busca revelar las políticas de seguridad y control de la organización y cómo estas son aplicadas y verificadas en el contexto del inventario de activos de información previamente identificado. De igual forma, este marco de actuación frente a la protección de la información debe contar con un tono claro de la gerencia, que imprima la relevancia del tema en las agendas estratégicas de los ejecutivos de primer nivel, así como en la cultura de sus empleados. Así mismo, las valoraciones de riesgo deben mantener una vista integrada del nivel de exposición de la organización frente a eventos de falla parcial o total, con el fin de mantener una postura proactiva frente a las amenazas y vulnerabilidades que puedan afectar el modelo de generación de valor del negocio.  

4. Diseño, aplicación y validación de los controles de seguridad y privacidad de la información Una vez identificados los riesgos y sus impactos sobre los activos de información relevantes para la empresa, se hace necesario identificar o diseñar las medidas de mitigación de los mismos y asegurar la efectividad de éstas. En particular, se cuentan con listas de controles generalmente aceptados en documentos como: 

* NIST Special publication 800-53. Recommended security controls for Federal Information Systems and Organizations 

* ISO 27002 

* COBIT de ISACA. 

En particular en esta etapa se requiere una especial coordinación entre los objetivos de los controles que se seleccionen de tal forma que se ajusten tanto a las necesidades de privacidad como a las de seguridad, de tal forma que el mínimo de controles que se apliquen, ofrezcan una vista estandarizada, confiable y verificable del ambiente de control requerido para los datos claves de la empresa.  

5. Asegurar el cumplimiento, los procesos de auditoría y certificación Una vez implementados el conjunto mínimo de controles y su uso en la operación diaria de la empresa, éstos deben ser monitoreados y verificados frente a los objetivos de seguridad y privacidad de la empresa, así como de los requisitos legales de cumplimiento normativo nacional o internacional. Para ello, esta fase exige un seguimiento y reporte periódico de monitoreo interno de la efectividad de los controles, sin perjuicio de evaluaciones y auditoría externas que se planteen por parte de entes de supervisión y vigilancia para conocer el estado de modelo de seguridad, control y privacidad de la organización. 

Si las organizaciones toman este ciclo y lo incorporan como un ejercicio sistemático propio y relevante para los objetivos de negocio de la empresa, habrá menos sorpresas en el futuro inmediato frente a incidentes que afecten la reputación y los planes estratégicos de la empresa, generando un ambiente propicio para consolidar relaciones de confianza con inversionistas y terceros interesados que confirmen como anota GAFF y SMEDINGHOFF (2012), que “la seguridad de la información ya no es solamente una buena práctica de negocio, sino un requerimiento legal”.  

Reflexiones finales 

Cuando desarrollamos modelos de seguridad de la información en las organizaciones, la identificación de activos de información se adelanta alrededor de aquellos objetos claves de negocio, con el fin de entender la generación de valor de la empresa y cómo protegerla; que por lo general no toma en consideración elementos propios de las obligaciones legales propias de la información, sólo aquellas que le son pertinentes para sus relaciones con socios de negocio. 

En este sentido, cuando hablemos de seguridad de la información o privacidad, no debe existir una separación de prácticas en el tratamiento de la información, sino el reconocimiento de una vista convergente entre derechos y principios de protección, que buscan establecer un referente natural de confesión de deberes y derechos de los individuos frente a la recolección, uso, retención, transferencia y disposición final de la información. Esto es, construir un marco general de controles mínimos que permitan darle tranquilidad a la gerencia frente a los requisitos de cumplimiento legal y normativo, así como de disponer de mecanismos de verificación que permitan que los individuos puedan hacer uso efectivo de sus derechos constitucionales. 

Como quiera que el reto de la privacidad en nuestra sociedad actual requiere un entendimiento mucho más elaborado del que actualmente tenemos, es preciso continuar incorporando dentro de los ordenamientos jurídicos los aspectos técnicos requeridos para darle un sentido efectivo a los derechos fundamentales que cada persona tiene frente a la información y de igual forma, nutrir las prácticas de seguridad de la información con los componentes constitucionales para repensar la protección de la información más allá de los aspectos de cumplimiento, sino en el contexto del perfeccionamiento del estado social y democrático de derecho. 

Referencias

ERNEST AND YOUNG (2012) Privacy trends 2012. The case for growing accountability. Insights on IT Risk. January. Disponible en: http://www.ey.com/Publication/vwLUAssets/Privacy_trends_2012/$FILE/Privacy-trends-2012_AU1064.pdf (Consultado: 24-03-2012)

GAFF, B. y SMEDINGHOFF, T. (2012) Privacy and data security. IEEE Computer. March.

SHAW, T. (2011) Information security and privacy. A practical guide for global executives, lawyers and technologists. American Bar Association. ABA Section of Science and Technology. 

NIST (2010) Guide to protecting the confidentiality of Personally Identifiable Information. April. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf (Consultado: 24-03-2012).

Seguridad de la información: Tres conceptos distintos y un sólo responsable verdadero

Introducción

Revisando un documento de Gartner publicado en octubre de 2010, denominado “Security Governance and operations are not the same” se aclara una realidad estructural de la seguridad de la información que da cuenta de la vista tripartita que se desarrolla para darle sentido a la confianza que una organización requiere frente a la protección de su información.

Como quiera que por mucho tiempo, se ha mantenido una relación muy cercana de los temas de seguridad de la información con las temáticas técnicas, se hace necesario desarrollar una dogmática básica para comprender desde la óptica de la inseguridad, el gobierno, la administración y operación de la seguridad de la información, no como simples elementos conceptuales, sino como reales evidencias prácticas que nos permitan conectar la declaración formal de la información como un activo, así como las prácticas operacionales que definen la confiabilidad de la infraestructura tecnológica.

De acuerdo con el documento previamente citado, el gobierno de la seguridad de la información debe asegurar que la relación entre el negocio y la seguridad siga los principios de la segregación funcional, toda vez que este último, le permite a la organización asegurar un flujo de información declarado y sobre manera trazable, limitando en la medida de lo posible posibles conflictos de interés que se pudiesen manifestar desde la operación.

Sin perjuicio de que existan múltiples vistas para modelar una organización para la seguridad de la información, se requiere comprender la expectativas y entendimientos políticos que el aseguramiento de la información demanda en el contexto de las necesidades del negocio. En este sentido, a continuación detallamos, utilizando como soporte la publicación de Gartner, los tres elementos que deben traducir y transformar la lectura y comprensión de la alta gerencia frente a la protección de la información en su contexto del negocio.

Gobierno de la seguridad de la información

El gobierno de la seguridad de la información lo define Gartner como “los procesos que aseguran las acciones apropiadas y razonables que deben ser tomadas para proteger los recursos de información de la organización”. Si bien esta definición, es claramente una invitación para una comprensión funcional de la organización, debemos anotar que se queda corta frente al reto de transformación corporativo que la seguridad debe asumir más allá de los riesgos y controles.

La función de gobierno de la seguridad de la información demanda de su estratega, movilizarse en las tendencias propias del negocio donde opera, los movimientos y retos emergentes que enfrenta el modelo de generación de valor de la empresa y anticiparse frente a los riesgos y amenazas que pueden comprometer la vista estratégica corporativa y no sólo, asegurar los procesos.

Si bien no desechamos la propuesta de los consultores internacionales mencionados, si queremos ampliar el espectro de su comprensión para ir de una vista claramente funcional del ejecutivo de la seguridad de la información, hacia una más de “socio estratégico” que no sólo advierte las inadecuadas prácticas sobre la información en los procesos negocios, sino que revela un panorama de pronósticos y detalles que están enraizados en los “espacios en blanco” que visualiza la junta directiva de la organización. (CANO 2011)

En consecuencia el texto de Gartner establece como responsabilidades del gobierno de seguridad de la información:

• Actuar como un comité de coordinación para los proyectos más significativos

• Efectuar seguimiento al progreso de los planes de remediación de los riesgos (particularmente en de los informes de auditoría)

• Revisar el reporte de métricas, solicitar nuevas métricas, si es requerido.

• Monitorear el desempeño operacional de las tecnologías de seguridad

• Proveer un escenario para el CISO (Chief Information Security Officer) con el fin de focalizar los esfuerzos dentro las unidades de negocios, a través del comité de gobierno de seguridad de la información.

• Establecer y mantener líneas efectivas de responsabilidad, propiedad y autoridad frente a los activos de información.

• Actuar como un mediador o árbitro para conciliar los conflictos sobre los requerimientos de seguridad de la información entre los diferentes actores de la organización.

Consecuente con las precisiones desarrolladas alrededor de la definición inicial de gobierno, se echan de menos otros elementos claves que complementen la vista de procesos. En este sentido, se sugieren las siguientes responsabilidades complementarias que motivan una reflexión extendida del ejercicio de gobierno de la seguridad de la información:

• Identificar y analizar el modelo de generación de valor de la empresa

• Comprender y detallar los riesgos y amenazas que impactan el modelo de generación de valor de la empresa

• Proponer un escenario de análisis de impactos, que defina las posibles actuaciones corporativas para proteger el valor actual de la empresa y anticiparse frente a sus amenazas.

No obstante, el gobierno de la seguridad de la información, en nuestra definición complementaria, representa un ejercicio de alquimia entre la política corporativa, los intereses superiores de los accionistas y la realidad de la protección de la información, se requiere que dichos planteamientos encuentren un suelo abonado y fértil en la implementación del mismo en el contexto de los procesos empresariales. (COMMONWEALTH OF AUSTRALIA 2007)

Administración o gerencia de la seguridad informática

En este contexto, aparece el concepto de administración o gerencia de la seguridad tecnológica o seguridad informática. Este concepto reconoce en la realidad de la arquitectura de los procesos de la empresa, que dan sentido al modelo de generación de valor de la empresa, las actividades requeridas para incorporar la distinción de seguridad en la dinámica de las personas que participan en ellos. Para los investigadores del documento comentado, la gerencia o administración de la seguridad de la información, se traduce como la “implementación del programa de seguridad de la información presidido por el comité de gobierno de seguridad de la información”.

El documento no detalla en qué consiste un programa de seguridad de la información, ni detalla los alcances del mismo, pero si podemos advertir que dicho programa debe contemplar el plan de prácticas de seguridad de la información apalancado en los empleados de la empresa, los planes de tratamiento de riesgos de seguridad de la información, las tecnologías de seguridad requeridas para generar una operación confiable, donde la información previamente clasificada, fluya según sea requerido.

Gartner establece que el responsable de la gerencia o administración de la seguridad informática debe realizar al menos las siguientes actividades:

• Desarrollar e implementar una política de seguridad de la información

• Diseñar y administrar una arquitectura de seguridad tanto para las aplicaciones como empresarial.

• Diseñar y adelantar campañas de interiorización y concientización relativas a la seguridad de la información.

• Establecer y promover un ciclo de vida de los usuarios o lo que en términos modernos se conoce como gestión de identidades (incorporación, desincorporación y administración de roles de administración de usuarios)

• Establecer proyectos de nuevas propuestas de tecnologías de seguridad informática.

• Proveer orientación y direccionamiento sobre riesgos y controles para proyectos no relacionados con seguridad de la información.

• Monitorear la operación de las tecnologías de seguridad informática configuradas y disponibles.

• Probar, validar y asegurar la infraestructura de seguridad informática.

Al revisar estas responsabilidades propuestas, claramente vemos el enfoque táctico de la seguridad que orientada por los riesgos y controles, requiere coordinar con diferentes equipos de trabajo la forma como se comportan la infraestructura de seguridad, de tal forma que pueda contar con las métricas requeridas por el gobierno de la seguridad de la información, para entregar la vista consolidada de la “confianza” que la organización puede desarrollar frente a la protección de sus activos de información.

Las personas que están ubicadas en el escenario de la gerencia de la seguridad de la información, deben comprender el negocio y sus necesidades frente al aseguramiento de la información. En este punto de la estructura de seguridad, la capacidad de negociación y habilidades de comunicación son habilidades claves y requeridas para lograr que las decisiones en la gerencia media sean consistentes con las distinciones estratégicas y definiciones corporativas frente a la vista del gobierno de la seguridad de la información.

Operación de la seguridad informática

Finalmente y no menos importante, el documento detalla lo relacionado con la operación de la seguridad informática. Amén de lo anterior, Gartner precisa este concepto operacional como “las actividades que se dan en el día a día que buscan mitigar los riesgos de seguridad informática en el nivel técnico.” Si bien esta declaración nos presenta efectivamente el concepto natural esperado, debemos anotar que, los que se encuentran en la operación son parte del eslabón clave, para capitalizar las lecciones aprendidas de la organización frente a la atención de los incidentes de seguridad.

Esto es, los profesionales que se encuentran en la realidad técnica y formal de la operación de los dispositivos técnicos, son testigos de primera fila de los impactos corporativos de las fallas parciales o totales propias de la materialización de la inseguridad de la información. En este sentido, son los llamados para alimentar la experiencia de la gerencia de la seguridad informática, para crear un círculo virtuoso entre lo táctico y lo operacional, que no desprecia ninguna de sus interacciones, sino que enriquece la vista táctica de la forma como la organización entiende y recompone la seguridad de la información de manera dinámica.

En consecuencia y sabiendo que existen múltiples actividades asociadas con la parte operacional de la seguridad informática, Gartner sugiere algunas de ellas:

• Aplicar y desplegar los parches de seguridad sobre los productos y herramientas.

• Monitoreo activo del ambiente frente a las amenazas y vulnerabilidades

• Proveer conocimiento y experiencia cierta para las políticas de seguridad de la información corporativas y del desarrollo de los procedimientos propios de la operación de la seguridad

• Desarrollar, mantener, monitorizar e implementar la arquitectura técnica de seguridad informática.

• Implementar los cambios de configuración en las plataformas corporativas de seguridad informática en concordancia con los procedimientos de administración de cambios.

• Monitorización – sobre consolas nativas, sistemas de correlación de eventos y otras herramientas de análisis para observar amenazas, vulnerabilidades y cambios en el ambiente que afecten el perfil de riesgo empresarial.

• Cumplir con los acuerdos de niveles de servicio de seguridad definidos.

• Planear y participar de manera activa en la respuesta a incidentes.

• Incorporar y desincorporar las identidades digitales y los permisos de acceso.

Si bien esta enumeración no pretende agotar las actividades propias de la operación de la seguridad informática, si resulta indicativa de la misma y el nivel de aseguramiento que se requiere para que ésta funcione de manera estándar y repetible, con el fin de generar confiabilidad y menor incertidumbre sobre qué ocurre con los activos de información en los procesos de negocio de la empresa.

Al correr el velo de los tres conceptos previamente presentados que, claramente articulados, definen una estrategia para “gobernar, gerenciar y operar” la seguridad de la información, se establece la imperiosa necesidad de complementar dicha propuesta con una formulación alterna que interrogue y asista al ejecutivo de la seguridad de la información, para conquistar la tentación de la falsa sensación de seguridad.

Una propuesta complementaria

La propuesta establece mantener un escenario de análisis basado en posibilidades, más que en probabilidades en cada uno de los conceptos. Esto es, para la vista del gobierno, el detalle de escenarios posibles que afecten el valor de la empresa, que permitan establecer el tono ejecutivo de la seguridad requerido y la vista preventiva que prepare a la organización cuando el 0,01% de probabilidad del riesgo se materialice.

Para la vista de la gerencia de la seguridad de la información, se busca configurar y detallar un mapa de riesgos posibles, de acuerdo con los flujos de información en los procesos, los cambios normativos o ajustes en las estrategias corporativas, que demanden una renovación del panorama de aplicación de los procesos. Esto es, trabajar de manera coordinada con los negocios para tener una matriz de riesgos extendidos, basado en eventos probables en los flujos de información frente a sus relaciones e integraciones corporativas, para tratar de ver asimetrías y comportamientos inesperados que puedan configurar situaciones no conocidas, para sí desarrollar respuestas oportunas para eventos no previstos.

En la operación, dado que cualquier eventos inesperado se presenta con relativas periodicidad, siempre y cuando no exista una forma clara de operar y atender una situación que califique como fuera de la “normalidad”, la invitación a desarrollar ejercicio de pruebas de vulnerabilidades internas y externas informadas o ciegas, que mantengan un “mínimo de paranoia bien administrado”, para que la sangre caliente de las infraestructura, no se debilite y mantenga el vigor permanente frente a la inevitabilidad de la falla.

Reflexiones finales

Así las cosas y como quiera que esta revisión base de tres conceptos para enfrentar la inseguridad de la información, es una excusa conceptual y académica para enfrentar el reto de la práctica empresarial de la seguridad, se hace necesario entender que la seguridad de la información, como concepto emergente de un sistema y particular para una organización y sus relaciones de sujeción específica, es una manifestación empresarial que al igual que algunas realidades teológicas, establecen tres personas con naturaleza distinta, que definen un solo responsable verdadero.

No podemos avanzar en la construcción de una práctica real de confianza de la organización en el contexto de los activos estratégicos de información, sin reconocer que la verdad o revelación se esconde en el “grial” del modelo de negocio empresarial, que permanentemente busca alcanzar “espacios en blanco” con un escenario en movimiento.

Referencias

McMILLAN, R. y SCHOLTZ, T. (2010) Security Governance and Operations are not the same. 8 de octubre de 2010. Gartner Research. Disponible en: http://www.gartner.com/id=1448116 (Requiere suscripción)

COMMONWEALTH OF AUSTRALIA (2007) Leading practices and guidelines for enterprise security governance. Disponible en: http://www.dbcde.gov.au/__data/assets/pdf_file/0016/41308/Leading_practices_and_guidelines_for_enterprise_security_governance_revision_1.pdf (Consultado: 10-03-2012)

CANO, J. (2011) Gerencia de la seguridad de la información. Evolución y retos. ISACA Journal Online. No.5. Disponible en: http://www.isaca.org/Journal/Past-Issues/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx (Requiere suscripción)

Inseguridad de la información: Retos de “espacios en blanco” y lecciones de “cisnes negros”

Según muchos analistas se viene desarrollando un movimiento en medio de las tensiones mundiales, que advierte nuevos cambios trascendentales en la manera como se mantiene el orden mundial. Un orden generalmente dominado por el poder económico, político y capacidad militar bélica, que posiblemente pronto va a cambiar. Este pronóstico, tiene su base en los eventos que hemos podido verificar en los últimos años, como son ataques informáticos focalizados efectuados por países como China a los Estados Unidos (SEGAL, A. 2012), buscando particularmente activos valiosos de propiedad intelectual y secretos militares estratégicos.

Esta tendencia, que cada vez toma más relevancia y atención por parte de los gobiernos, claramente es una sorpresa predecible, es decir aquellas situaciones que “… cuando se advierten amenazas emergentes, las cuales están sustentadas en información procesada y analizada, basada en los objetivos y tendencias verificadas, y éstas no corresponden al modelo de creencias y valores del que toma decisiones, sencillamente son ignoradas.” (CANO, J. 2008).

En este sentido, mientras los analistas más se esfuerzan por entender el fenómeno en el contexto digital y de las redes sociales, menos capacidad tendrán de advertir condiciones críticas de eventos aún más sofisticados y menos tangibles que generen un escenario diferente de análisis que permita un margen de anticipación de las naciones o empresas frente a aquello que es inesperado. Esto es, como afirma Taleb (pág.107), “… una serie de hechos corroborativos no constituye necesariamente una prueba. …”. Por tanto, cuando de advertir eventos o situaciones que aún no ocurren, los pronósticos de los analistas, poco podrán ayudarnos, dado que si bien cuentan con información suficiente, sus modelos no podrán incluir las condiciones borde que están presentes cuando de entender los flujos de información en internet se trata.

Como consecuencia de lo anterior, hablar de una ciber guerra o que estamos en la primera ciberguerra del segundo milenio, no es necesariamente una predicción o afirmación innovadora, toda vez que muchos estados han incluido esta posibilidad dentro de sus modelos de escenarios de crisis probables, los cuales responden al análisis de información cierta y verificable que les permite anticipar una condición como la mencionada. (LIBICKI, M. 2009) Sin embargo, fuera de este contexto, existen otras múltiples variables que en este momento pueden estar aisladas o no monitoreadas y que cuando menos lo esperemos, tendremos una nueva visión del mundo que conocemos y que puede no necesariamente estar articulada con tecnología.

Mientras estos eventos ocurren, nuestra visión de la seguridad de la información deberá mantenerse en las “aguas profundas de la incertidumbre”, concentrados en la inevitabilidad de la falla, allí donde no importan las probabilidades, sino las posibilidades, el escenario ideal para el analista del seguridad, que renunciando a la zona de confort que le imponen los reportes conocidos, persevera para renovar sus lentes con los cuales “entiende su realidad”.

Así las cosas, como pregunta Taleb, “… ¿cómo podemos conocer el futuro teniendo en cuenta nuestro conocimiento del pasado: o de forma más general, cómo podemos entender las propiedades de lo desconocido (infinito) basándonos en lo conocido (finito)? …” Para encontrar respuesta a este interrogante, el concepto de seguridad de la información no nos permite ahondar con profundidad en la respuesta, pues su capacidad para generar variedad y entender el sistema, es tan limitado como lo que hasta hoy conocemos de la misma. Mientras, pensando por su dual, es decir la inseguridad de la información, podemos encontrar un mundo de posibilidades tan infinito como lo desconocido, pues en últimas, los dos conceptos comparten la sabiduría de la incertidumbre y la inteligencia de lo inesperado.

En razón con lo anterior, hablar de una vocación para ver los nuevos retos de la seguridad de la información, es recabar en propuestas novedosas y provocadoras que nos invitan a escribir en el margen de las hojas, en los “espacios en blanco” de la dinámica de las empresas y descubrir que la realidad es una expresión permanente de eventos no lineales. Así las cosas, Johnson y Taleb nos presentan conceptos alternos para enfrentar la inercia de la realidad y superar nuestras propias reflexiones.

Mientras los “espacios en blanco”, según Mark Johnson, autor del libro Seizing the White space. Business model innovation for growth and renewal, son “el rango de posible actividades que no están definidas o dirigidas por el modelo de negocio actual de la empresa, es decir, las oportunidades fuera de su función de negocio y más allá de sus capacidades actuales, que requieren un modelo de negocio diferente para capitalizarlas”, los “cisnes negros” anota Nassim Nicholas Taleb, en su libro “El Cisne Negro”, es “un suceso que se caracteriza por tener tres atributos: primero es una rareza, pues habita fuera del reino de las expectativas normales, segundo, produce un impacto tremendo y tercero, pese a su condición de rareza, la naturaleza humana hace que inventemos explicaciones de su existencia después del hecho, con lo que se hace explicable y predecible.”

Revisando ambos conceptos, cada autor nos invita a mantenernos atentos a los cambios que ocurren a nuestro alrededor. Nuestro conocimiento del mundo, no puede ser estático y sometido a las reglas de la gravedad de lo aprendido, sino despertar nuestros instintos y sentido del olfato, para poder descubrir aquello que se escribe con letras torcidas, en medio de la cotidianidad con letra imprenta. Mientras la gravedad de la seguridad nos empuja a niveles de certeza conocido, el impulso de la inseguridad nos revela en la sabiduría del error, nuevas formas de aprendizaje.

Si tratáramos de encontrar una vista unificada de los “cisnes negros” y los “espacios en blanco”, podríamos decir, parafraseando a Taleb, que es una búsqueda permanente de no sobreestimar lo que sabemos ni infravalorar la incertidumbre, lo que nos permite mantener una variedad de estados inciertos, movilizando nuestro pensamiento hace el espacio de lo desconocido. Declaración que leída en clave de inseguridad de la información, es una invitación a pensar en los efectos de borde, en las condiciones extremas y en la inevitabilidad de la falla, para encontrar a diario nuevas formas de cuestionar los supuestos de la seguridad y confianza en las organizaciones.

Si bien no podemos vivir o mantener un contexto de confiabilidad de las prácticas de seguridad de la información de una organización sin un mínimo de paranoia bien administrado, tampoco podemos confiar en los “antecedentes que siguen las mismas consecuencias” como afirma Taleb, pues al igual que la incertidumbre, la inseguridad sigue patrones asimétricos de comportamientos, que en el lugar menos esperado, en la relación aún menos indicada, es capaz de elevar nuestra capacidad de atención y proponernos una nueva lección, una condición natural que nos permite saber que no todos los cisnes son blancos.

Referencias

JOHNSON, M. (2010) Seizing the White space. Business model innovation for growth and renewal. Harvard Business School Press.

TALEB, N. N. (2011) El cisne negro. El impacto de lo altamente improbable. Editorial Paidos. 8 reimpresión.

LIBICKI, M. (2009) Cyberdeterrence and cyberwar. Rand Corporation. Disponible en: http://www.rand.org/pubs/monographs/2009/RAND_MG877.pdf

CANO, J. (2008) Cibercrimen y ciberterrorismo. Dos amenazas emergentes. ISACA Journal. Vol. 6. Disponible en: http://www.isaca.org/Journal/Past-Issues/2008/Volume-6/Pages/JOnline-Cibercrimen-y-Ciberterrorismo-Dos-Amenazas-Emergentes.aspx

SEGAL, A. (2012) Chinese computer games. Foreign affairs. Marzo/Abril. Disponible en: http://www.foreignaffairs.com/articles/137244/adam-segal/chinese-computer-games?page=show (requiere suscripción)

Inseguridad en redes sociales. La inevitabilidad de la falla en nuestros comportamientos y valores

Hace más de 10 años internet era un sitio donde algunos generaban los contenidos y decidían que se mantenía allí o no. Hoy luego de una impresionante evolución de la Web 2.0, son las personas las que desarrollamos y actualizamos los contenidos que se advierten en internet. Esto es, pasamos de un control de pocos a una participación de muchos empoderados y con capacidad para convocar y movilizar causas a través de las redes sociales y formas de manifestación en línea.

De acuerdo con FRIEDRICH, R., PETERSON, M., and KOSTER estamos en el surgimiento de la generación C, una generación caracterizada porque permanece conectada, comunicada, centrada en los contenidos, altamente digital y orientada hacia las comunidades. Esta nueva generación, capaz de modificar los comportamientos sociales, exigir respeto y atención frente a sus demandas, viene dotada de un primer dispositivo digital, generalmente inalámbrico, que le permite estar en línea y con información instantánea de lo que ocurre en su entorno.

Toda vez que esta generación será la que estará en las organizaciones en los próximos 10 años, se hace necesario iniciar desde este momento, el análisis requerido de los riesgos emergentes del uso de las medios sociales digitales en el contexto empresarial, como factor clave para reconocer comportamientos y acciones de los individuos frente a las exigencias de seguridad y control de las organizaciones, ahora mucho más expuestas a los contenidos que exponen sus propios empleados, competidores, clientes y demás grupos de interés en las redes sociales.

En este sentido, Bahadur, Inasi y de Carvalho en su libro “Securing the Clicks. Network security in the age of social media” de McGraw Hill, plantean un discurso metodológico práctico para evaluar los riesgos propios del uso de las redes sociales, de tal forma que las organizaciones, adviertan de manera concreta sus impactos y las prácticas requeridas que les permitan mitigar su exposición. Para ello detallan la matriz con el acrónimo en inglés H.U.M.O.R, que integra elementos como Human Resource, Utilization of resources, Monetary spending, Operations Management y Reputation Management.

Los autores siguiendo la matriz de análisis H.U.M.O.R, plantean una publicación con cinco partes: assessing social media security, assessing social media threats, operations, policies & process, monitoring & reporting y finalmente social media 3.0, sección donde plantea los retos futuro de los medios sociales digitales que necesariamente revelan el concepto de Peter Russell en su libro de 1982, denominado el Cerebro Global; la pérdida de control de aquello que publicamos, la erosión de la privacidad, las amenazas propias de la geolocalización, el internet de las cosas y las inconsistencias de las regulaciones.

Cada elemento de la matriz H.U.M.O.R establece requerimientos, tácticas, políticas y procesos de implementación necesarios para mover a las organizaciones hacia un proceso más confiable que no riña con la dinámica de las redes sociales actualmente vigente en las organizaciones.

De acuerdo con los autores, una vez implementada la política relacionada con medios sociales digitales y sus controles respectivos, se hace necesario adelantar una valoración de las buenas prácticas incorporadas y observar el nivel de adherencia de los individuos a la política, como fuente base de la interiorización de las personas frente a los riesgos propios de las redes sociales.

Dentro del plan de auditoría previsto para adelantar lo anterior a nivel interno se tiene: (Bahadur, Inasi y de Carvalho 2012, pág.200-201)

• Revisar los procedimientos para la integración de las redes sociales en el modelo de seguridad de TI.

• Revisar los procedimientos monitorización de las redes sociales públicas, donde los empleados hacen presencia.

• Revisar los reportes generados de la actividad identificada en las redes sociales.

• Revisar la actividad y procedimientos establecidos para atender incidentes de seguridad de la información en redes sociales.

• Revisar procedimientos para educar a los empleados en los riesgos de las redes sociales.

• Actualizar una vez al año de las políticas y prácticas relacionadas con las redes sociales.

• Valorar la seguridad de las aplicaciones frente a las vulnerabilidades que puedan permitir acceso no autorizado.

• Revisar y verificar todo el código de las aplicaciones hecha a la medida para propósitos de apoyo a las redes sociales.

• Analizar y reportar todos los cambios de las aplicaciones de terceras partes que son utilizadas por el negocio, particularmente en lo relacionado con redes sociales.

• Evaluar y analizar todas las herramientas de software y sitios utilizados como soporte a la estrategia de redes sociales.

Si bien este listado de revisión no agota el tema de la seguridad en las redes sociales a nivel interno en una organización, si establece una base de debido cuidado y deber de aseguramiento que las empresas deben advertir frente al manejo de su imagen corporativa y a la protección de la información en el contexto de una sociedad más abierta, expuesta a la sobrecarga de la información y a la erosión de la privacidad.

Por tanto, si se presenta una crisis o incidente de seguridad ocasionado por la materialización de un riesgo a través de las redes sociales, mantenga en mente las siguiente consideraciones: (idem, pág.216)

• Establezca una presencia activa en las redes sociales tan pronto como sea posible para construir una relación de confianza con sus consumidores en línea.

• Responda inmediatamente a la problemática identificada con el franco reconocimiento del hecho, donde la empresa es consciente de la situación y que le estará informado en breve los detalles de lo ocurrido.

• Mantenga la comunicación sobre la situación, no espere a tener la información completa, sino comente que está atendiendo lo acontecido, explique cómo lo está haciendo y tan pronto como tengo más detalles, entréguelos rápidamente a los interesados.

• Establezca canales de comunicación para las personas que necesiten contactar a la empresa de manera privada sobre reclamaciones, observaciones, preguntas o sugerencias, que se puedan derivar de la situación presentada.

• Los clientes individuales con reclamaciones legítimas deben ser atendidos, reconocidos y atendidos para responder a sus inquietudes de manera rápida y efectiva.

Cuando pensamos en la inseguridad de la información, no podemos menos que revelar la potencia de un concepto en una realidad asistida por tecnología, procesos y personas que se funde en las relaciones y propiedades emergentes que surgen de la relaciones entre ellas. En este sentido, las redes sociales, como fenómeno propio de la web 2.0, son fuente natural de amenazas y retos para los ejecutivos de la seguridad de la información en las organizaciones modernas, toda vez que la exposición de la empresa y su reputación, están ahora en las declaraciones de sus empleados en medios abiertos y de alcance global como los medios sociales digitales.

Por tanto, más allá de las bondades y vigor de las redes sociales en el contexto de los negocios de las empresas de este nuevo milenio ampliamente reconocido en la literatura actual, debemos ser conscientes que no muchos compartirán el éxito corporativo y ganancias reportadas, y por tanto, la sensibilidad y volubilidad de los seres humanos apalancada con tecnología, podrá desencadenar una serie de eventos desafortunados que activarán nuevamente la maquinaria de la inseguridad, ahora desde la realidad humana y la inevitabilidad de la falla en nuestro sistemas de comportamientos y valores.

Referencias

FRIEDRICH, R., PETERSON, M., and KOSTER, A. (2011) The Rise of Generation C. How to prepare for the Connected Generation’s transformation of the consumer and business landscape. Strategy+Business Magazine. Published by Booz & Company Inc. Issue 62. Spring. Available at: http://www.strategy-business.com/article/11110 (Last access: 18-02-2012)

BAHADUR, INASI y DE CARVALHO (2012) Securing the clicks. Network security in the age of social media. McGraw Hill.