domingo, 24 de junio de 2012

Investigaciones informáticas encubiertas. El reto de la inseguridad jurídica en la inseguridad de la información

Introducción
Muchas veces se hace necesario acudir a una estrategia encubierta para poder conocer de primera mano lo que ocurre frente a una situación irregular o posiblemente ilegal que ocurre en un contexto. En este sentido, los estados y las organizaciones procuran adelantar ejercicio se análisis y recolección de información que le permita acceder o conocer aquello que puede estar afectando sus intereses o los de sus empleados.

Ejecutar este tipo de actividades, calificadas como encubiertas, revelan una serie de intereses y temores que contraponen automáticamente los derechos fundamentales de las personas naturales con los de las personas jurídicas. Así las cosas, este conflicto natural que se presenta frente a las situaciones “encubiertas”, nos reta para establecer un escenario neutral que permita armonizar estas dos condiciones y así poder avanzar en una investigación encubierta que respete las dos vistas del mismo continuo: cuidado y arreglo con las exigencias constitucionales. 

En este sentido, se presenta una reflexión base sobre estas actividades, para comprender los alcances de las mismas, las condiciones en las cuales se puede proceder y las exigencias propias de su aplicación, toda vez que en su ejecución será mandatorio el cuidado de los derechos fundamentales de los individuos y la reputación de la compañía.  

Conceptos básicos de la investigación encubierta 
Detallando los elementos relativos a los métodos y técnicas, propuestos por el Profesor Morales Támara en su libro “La investigación encubierta con fines judiciales como técnica especial de investigación” publicado por la editorial de la Universidad Externado de Colombia, donde se indica que: 

“Método es, (…) un conjunto de pasos ordenados racionalmente para la obtención de un fin determinado. (…) que en el campo de la investigación criminal oficial no admite aportes personales porque viene previamente dado por el legislador (…)” y “técnica es saber hacer previo conocimiento del método, (…) que admite aportes personales, especialmente habilidades y destrezas del investigador (…) sin afectar más allá de lo razonable y constitucionalmente permitido los derechos fundamentales de las personas. (…)”, podemos advertir que en el contexto del Código de Procedimiento Penal Colombiano – CPPC (Ley 906 de 2004) existen dos métodos de investigación criminal y diversas técnicas: método abierto y método encubierto. 

En el método abierto, establece el académico: 
“1. El investigado conoce que es investigado y tiene la posibilidad inmediata de conocer el trámite de la investigación, independientemente de si existen o no fundamentos para una imputación. 
2. El ejercicio del derecho a la defensa es inmediato. En ocasiones se torna simbólico ante la ausencia de elementos materiales de prueba o de evidencia física en apoyo de una imputación. 
3. Se aplica el principio de publicidad de manera amplia para el investigado. Incluso existen posibilidades de ampliar la publicidad a la sociedad. 
4. Es típico del sistema penal liberal.” 

De otro lado en el método encubierto, anota el profesor Morales Támara:
 “1. El investigado no debe conocer que está siendo investigado (investigación secreta) pero tiene derecho a conocer tanto los fundamentos como el resultado de la investigación. Que la investigación sea secreta no significa que sea clandestina, pues en todo caso la investigación debe ser oficial y con sujeción precisa a las reglas preestablecidas. 
2. El ejercicio del derecho a la defensa es mediato pues está condicionado al hallazgo y exhibición del elemento material de prueba o la evidencia física que permite formular la imputación. 
3. La aplicación del principio de publicidad se encuentra restringida para el investigado, pues durante cierto tiempo este no tiene posibilidad real de conocer el desarrollo o avances de la investigación en su contra. Además es clara la no aplicación del principio de publicidad en sentido amplio (no acceso de información a la sociedad). 
4. Su legitimidad está dada por la aplicación de cinco principios: legalidad, necesidad, proporcionalidad, subsidiariedad y excepcionalidad. 
5. Esté sometido a rigurosos controles judiciales, especialmente al momento de aplicar las cláusulas de exclusión de evidencia. 
6. Es propio de sistemas penales de la postmodernidad para prevenir y reprimir ciertos tipos de delincuencia. 
7. Su uso sin control es propio de los Estados totalitarios.” 

En este contexto, una investigación encubierta no será clandestina si su legitimidad está asistida por la aplicación de los principios mencionados previamente y ésta se ajusta de manera precisa a las reglas preestablecidas previamente. 

De otra parte el abogado Morales Támara, citando a Marín Vásquez en su libro “sistema acusatorio y prueba”, establece tres elementos claves pertinentes al análisis de las investigaciones encubiertas: los actos de investigación, los elementos materiales probatorios y las pruebas. “(…) Los actos de investigación son procedimientos reglados para descubrir y asegurar objetos, huellas, documentos, armas y otro similares (denominados elementos materiales probatorios) e informaciones en la búsqueda de la verdad sobre el delito y los presuntos responsables. (…)” 
“(…) la prueba es el método legalmente diseñado para hacer afirmaciones probables, a partir de elementos e informes regularmente evidenciados, y en verificar que tales asertos corresponden a la realidad de un hecho pasado. (…)” 
“(…) la prueba es un procedimiento sintético y prescriptito, que tiene como antecedentes los actos de investigación y sus hallazgos (los elementos materiales probatorios, evidencias físicas).” 

En sentido estricto, podemos decir que las evidencias que se recaben en el contexto de las investigaciones encubiertas tendrán el soporte y validez necesarios, siempre y cuando cuiden las condiciones de recolección y aseguramiento de la evidencia, cubran las expectativas de la cadena de custodia y sean allegadas al proceso, siguiendo las formalidades procesales previstas. En consecuencia, si los elementos materiales probatorios son consolidados con los cuidados necesarios, podrán ser fuente de conocimiento de los hechos y como tal, surtirán el proceso de contradicción propio de los sistemas penales acusatorios.  

Legalidad de las investigaciones encubiertas 
Hablar de investigaciones encubiertas, no debe ser asociado con actos deshonestos o forma particular de violar los derechos y garantías constitucionales de las personas, sino como una oportunidad y acción legítima del estado u organización, para contar con información particular necesaria para esclarecer un hecho, que de otra forma, no sería posible hacerlo. 

Frente al tema Constitucional, en lo relacionado con las investigaciones encubiertas, el jurista Morales Támara anota: 
“1. (…) ningún derecho fundamental es absoluto. 
2. (…) con la investigación encubierta no se vulnera ilegítimamente el núcleo esencial del debido proceso. 
3. (…) tampoco se vulneran los derechos fundamentales de la dignidad humana e intimidad, que aparecen involucrados con el uso de tal método de investigación, dado que la injerencia se encuentra modulada por los principios de necesidad y proporcionalidad.” 

El académico a renglón seguido expresa: “(…) la investigación encubierta no es permanente y su duración está condicionada, básicamente, por dos criterios objetivos: el primero, la consecución de los elementos materiales probatorios o evidencia física que se requiere; el segundo, la máxima duración que el legislador ha señalado para la ejecución de la investigación encubierta. (…)” 

En este sentido, es preciso asegurar las condiciones constitucionales propias del proceso con el fin de neutralizar cualquier intento que impida el ejercicio de este tipo de actividades, toda vez que el aseguramiento de los derechos fundamentales debe ser la garantía natural para todos aquellos que estén vinculados con la investigación.  

La investigación informática encubierta en el contexto organizacional 
En el contexto organizacional, adelantar una investigación encubierta, anota Ferraro, requiere cuidar al menos los siguientes elementos: 
• Contar con el compromiso gerencial 
• Definir y establecer objetivos claros y significativos 
• Contar con una estrategia bien concebida 
• Establecer y combinar los recursos y la experiencia requerida 
• Efectuar una ejecución legal 

Estos elementos detallan y establecen toda una serie de acciones y actividades que buscan blindar de manera clara y efectiva a las autoridades de las organizaciones, para que al efectuar este tipo de actividades encubiertas, puedan asegurar que han cumplido con el debido cuidado de los derechos de los participantes, cuentan con el conocimiento informado de la existencia del mismo, saben que las condiciones y momentos en los cuales serán ejecutados y que existe un compromiso gerencial que asiste y asegura una clara revelación de resultados siguiendo estrictos procedimientos para ello. 

Así las cosas, en el contexto actual, considerando los diferentes escenarios actuales en los cuales las conductas punibles se pueden manifestar, particularmente soportadas por elementos materiales probatorios informáticos, se hace necesario establecer un procedimiento claramente determinado para adelantar posibles “investigaciones encubiertas” con componente informático, para lo cual los principios indicados a nivel constitucional y la condiciones enumeradas en el párrafo anterior, se deben combinar para producir un método que, cuidando las garantías individuales y los legítimos derechos de la organización, motive las acciones necesarias para aclarar situaciones donde se puedan detectar actos ilegales o anormales que puedan afectar los intereses corporativos y de la sociedad.  

Condiciones de una investigación informática encubierta 
En consecuencia con lo anterior, a continuación detallamos algunos elementos claves para adelantar una investigación informática encubierta para conocer información relevante que permita aclarar situaciones que puedan ser catalogadas como ilegales o anormales en un entorno corporativo.  

1. Aseguramiento jurídico de las acciones (adaptado de MORALES TAMARA, pags.128-132) 
Principio de legalidad – Se conoce por anticipado las reglas en las cuales se puede aplicar una investigación interna por parte de la organización, que de manera previa, clara y cierta habilite el uso de técnicas de investigación informáticas avanzadas para efectos de conocer información digital, representada en archivos, imágenes, documentos, o cualquier representación de la voluntad articulada en un componente tecnológico.

Principio de proporcionalidad o de ponderación – La autoridad establecida en la organización, con fundamento en la información suministrada, debe determinar si los derechos de la organización, poseen mayor valor y significado frente los derechos del investigado. 

Principio de subsidiariedad – Si la autoridad establecida en la organización llega a la conclusión que es necesario acudir al método encubierto debe escoger entre las diferentes técnicas informáticas avanzadas, la menos agresiva para los derechos fundamentales de las personas. Esto significa que se deben conocer de antemano por parte de la autoridad de la organización la gama de técnicas de investigación informáticas avanzadas, así como toda la información relevante al caso en investigación. 

Principio de excepcionalidad – Esto significa que la determinación del uso de técnicas de investigación informáticas avanzadas se resuelve caso por caso. Es decir, que la autoridad establecida por la organización deberá advertir el impacto de la conducta investigada frente a los derechos de la organización y la afectación de derechos fundamentales de contenido individual.  

2. Compromiso gerencial Adelantar una acción encubierta requiere tiempo, paciencia y recursos, componentes que generalmente no son bien valorados por la alta gerencia, toda vez que los resultados requeridos no se presentarán antes de que haya pasado cierto tiempo y condiciones para que se pueda revelar la información identificada. 

En este sentido, el compromiso de la gerencia es asegurar que la estructura organizacional cuente con los medios para ejecutar este tipo de investigaciones, guardando los derechos de las personas investigadas, así como protegiendo a los investigadores bien con seguros frente a riesgos profesionales y asistencia frente a posible litigios resultado de sus acciones.  

3. Equipos y procedimientos técnicos informáticos La organización debe contar con un equipo de personas altamente entrenadas en el desarrollo de investigaciones informáticas, con el fin de asegurar un cuerpo de conocimiento y experiencia que genere la confianza necesaria tanto para la alta gerencia como para los investigados. Este equipo de personas debe contar con la infraestructura tecnológica requerida, los procedimientos de operación claramente documentados y las condiciones de operación aseguradas, para que los informes que se rindan desde esta área sean elementos idóneos en procura de aclarar las situaciones investigadas.  

4. Estrategia y aplicación de las técnicas Las técnicas informáticas de investigación serán tan invasivas como se determine por parte de de la autoridad de la organización, considerando los elementos jurídicos previamente establecidos así como las posibilidades tecnológicas disponibles por el equipo de investigaciones que se tenga. Las técnicas informáticas de investigación serán revisadas y analizadas periódicamente para valorar su eficacia, pertinencia y alcance con el fin de mantener un conjunto base de las mismas debidamente probadas y aseguradas.  

5. Auditoría de verificación y control La aplicación de las técnicas informáticas de investigación deberá ejecutarse con arreglo al principio de legalidad previamente expuesto y al inventario de técnicas disponibles y alcances definidos. En este sentido, contar con un tercero especializado que valide y verifique el proceso, le dará mayor relevancia al mismo y transparencia en su aplicación. Es claro, que este ejercicio será de manera posterior y selectiva para las investigaciones cerradas y cuyos resultados serán informados a la autoridad organizacional definida y a su superior inmediato.  

Reflexiones finales
Si somos cuidadosos en asegurar los elementos planteados previamente estaremos avanzando en la consolidación de un ejercicio legítimo de conocimiento de información relevante para aclarar hechos o sucesos que puedan comprometer los intereses de la empresa o los individuos. Es claro que un uso inadecuado de esta posibilidad en las organizaciones, puede llevar a abusos de poder y cruzadas en o a favor de terceros, lo cual claramente puede desacreditar estas actividades al interior de la organización. 

Enfrentarse a situaciones que requieren tomar una decisión de adelantar una investigación informática encubierta, requiere un importante grado de madurez de la alta gerencia de la empresa, una reconocimiento y apertura por parte de los empleados de la organización, que por un lado, reconocen la importancia de este tipo de alternativas y confían en el buen uso y aseguramiento de la misma frente a la protección de sus intereses y derechos. 

Las dudas y temores que se generan frente al uso de las técnicas de investigación informáticas avanzadas, está soportada por las capacidades de las herramientas, el conocimiento requerido para utilizarlas y la idoneidad de las personas que las utilizan. Como quiera que internamente, todos los empleados quieran o no tienen intereses frente a los hechos que sean materia de revisión o análisis, los profesionales que adelantan estas acciones deberán contar con las más altas calidades y cualidades personales y éticas, toda vez que sus acciones estarán normadas frente a los más altos estándares de actuación y sus resultados, serán materia prima para la toma de decisiones corporativas. 

Es importante anotar que los procedimientos de aseguramiento de la información que se obtengan en el ejercicio de la aplicación de la técnica de investigación informática, deberán seguir la formalidad de la cadena de custodia, so pena de ser declarados ilegales frente a las condiciones iniciales en las cuales se ha autorizado la misma. 

Cuando pensemos en una investigación informática encubierta, liberemos, en primer lugar al término “encubierto” de su carga emocional propia y de su condición negativa por naturaleza, para luego, considerar un escenario formal y conocido de aplicación, donde los derechos y garantías fundamentales se aseguren tanto para la organización como para las personas, de tal forma que se encuentre el balance natural de dos exigencias constitucionales del mismo nivel y con la misma relevancia.

Referencias
MORALES TAMARA, A. (2009) La investigación encubierta con fines judiciales como técnica especial de investigación. Ed. Universidad Externado de Colombia.
FERRARO, E. (2000) Undercover investigations in the workplace. Butterworth-Heinemann.
Publicado por en No hay comentarios:

domingo, 27 de mayo de 2012

La inseguridad de la información y las juntas directivas: ¿Déficit de atención?



Cuando se le pregunta al área de seguridad de la información ¿cómo avanza en su proceso de desarrollo de cultura de seguridad de la información?, la respuesta tiene varios matices. Por un lado, se advierte una clara motivación en las áreas de negocio en general, pues luego de cuestionar sus creencias sobre el tema, se transforma su hacer, lo cual permite movilizar más rápido las prácticas que se desean incorporar. Por otro, no es la misma lectura cuando se trata del entrenamiento requerido de los ejecutivos, quienes con agendas altamente comprometidas, generalmente no cuentan con el tiempo para atender este tipo de actividades.

Así las cosas, los esfuerzos de las áreas de seguridad de la información encuentran un alto potencial de acción en los diferentes frentes de los procesos de negocio, pero poco margen en los directivos que los soportan. La pregunta que nos podemos hacer en este momento sería ¿qué es lo que impide que los ejecutivos se encuentren más de cerca con los riesgos propios del tratamiento de la información?

Para tratar de responder esta pregunta, es preciso indagar un poco sobre la evolución de las juntas directivas y sus composiciones, en donde posiblemente subyace parte de la respuesta y la forma como movilizar estrategias que permitan hacer evidente la inseguridad de la información como parte de su agenda de negocios.

Las juntas directivas son entes de gobierno, poder y decisión que durante mucho tiempo han sido constituidas por personas preocupadas por los negocios, sus márgenes y las relaciones políticas que trazan el destino de las organizaciones. Ellas en sus sesiones de trabajo, mantienen un clima de reto y construcción colectiva, que busca todo el tiempo mantener la vigencia de la organización en medio de las tensiones de los mercados y los inesperados cambios de entorno que ponen a prueba la capacidad de resiliencia de la empresa.

Las juntas directivas reconocen aquellos elementos claves que permiten a las empresas mantenerse operando y viables con sus modelos de negocio. Es claro, que la cultura de riesgos es un lenguaje que ha encontrado eco en la agenda de las juntas, toda vez que en ellos no solamente se advierten situaciones que deben ser ajustadas o revisadas, sino posibles oportunidades que resultan invisibles frente a los resultados.

Los riesgos como pueden ser los de fuga y/o pérdida de información, cumplimiento, responsabilidad frente a incidentes y acceso a la información personal son elementos que inquietan a los miembros de junta, no por sus efectos directos e indirectos de las acciones en sí mismas, sino por las implicaciones legales que esto puede generar para el buen funcionamiento de las operaciones. En este sentido, la lectura asociada con sanciones o multas que se puedan derivar de estas situaciones, tendrá prioridad en la agenda de la junta, para asignar las responsabilidades correspondientes y cerrar la posible brecha que se ha identificado.

Según el estudio de HUFF et all, existe un déficit de atención de las juntas directivas hacia los temas de tecnología de información, tema que con frecuencia está asociado con un vocabulario técnico, que es reactivo frente a auditorías y con reporte del estado de grandes proyectos (generalmente cuando éstos no van bien), lo cual claramente establece una “barrera” mental de los ejecutivos (generalmente con escasa formación en tecnologías de información) frente a los retos y decisiones que requiere la organización para apalancar la estrategia de negocio.

Estos académicos establecen la necesidad de “alfabetizar” a los miembros de junta frente a los temas de tecnología de información y los riesgos que se derivan del uso de las mismas en las organizaciones. En este sentido, la atención de las conversaciones con la junta alrededor del tema de TI generalmente inician por sus riesgos (disponibilidad, seguridad, integridad de los datos y agilidad) y terminan (en el mejor de los casos) en los referentes estratégicos requeridos para transformar la empresa.

En consecuencia, las juntas directivas, si bien tienen en cuenta los temas de tecnologías de información, aún tienen oportunidades para interiorizar y comprender en contexto, lo que la tecnología puede posibilitar y el compromiso ejecutivo requerido para motivar y movilizar los resultados que la empresa espera, en los cuales su entendimiento de la tecnología es fundamental para hacer que las cosas pasen.

Con esto en mente, no es de extrañar el resultado que recientemente se ha publicado por el Carnegie Mellon University (CMU) Cylab, en su informe “Governance of Enterprise Security”, que revela, que si bien la juntas directivas están orientadas hacia la administración de los riesgos empresariales, existe aún una brecha en el entendimiento de la relación entre los riesgos de tecnología de información y los corporativos, situación que se profundiza con un sentir generalizado, donde el tema de seguridad de la información, está en manos de un responsable y no son ellos, los primeros implicados frente a los eventos que afecten la información de la empresa o de terceros.

De otra parte, el mismo estudio establece que el equipo directivo no está focalizado en aquellas actividades claves que pueden ayudar a proteger la organización frente a la materialización de riesgos importantes que afecten su reputación o generen pérdidas financieras. Los casos particulares están asociados con acceso a la información personal, brechas de seguridad en los sistemas o fuga de información, eventos que de una u otra forma serán prueba para validar el nivel de preparación de la corporación para enfrentar la inevitabilidad de la falla.

En línea con lo anterior, el informe comenta que las juntas directivas no han dado prioridad para establecer posiciones organizacionales para el manejo de adecuado de la seguridad y la privacidad de la información, dos temas independientes, que requieren manejos separados, pero convergentes en prácticas y acciones que permitan en cada uno de los procesos de la empresa, el gobierno de la seguridad de la información y el aseguramiento de los derechos individuales en el uso y acceso a la información personal.

De otra parte, el reporte detalla que muchas juntas directivas no han evaluado lo adecuado de una cobertura del riesgo de ciberseguridad, de las implicaciones de ataques coordinados y focalizados que puedan comprometer su operación, su reputación y debido cuidado, lo cual claramente deja abierta la posibilidad de acciones de repetición de terceros contra la empresa generando impactos financieros de mediano y largo plazo, cuyos efectos inmediatos posiblemente no se compadecen frente a las demandas futuras.

Si bien, los académicos de CMU, comentan que cada vez más los ejecutivos de primer nivel valoran la experiencia y habilidades en temas de seguridad y riesgo de TI al considerar un nuevo integrante de la junta, es evidente que los temas en la actualidad se amparan en los comités de gerencia establecidos, bien de auditoría o de riesgos, los cuales concentran su atención en los impactos particularmente financieros y de cumplimiento, como formas de motivar la atención de los directivos.

En conclusión, podemos advertir, como en el estudio de HUFF et all, que existe un déficit de atención de las juntas directivas en el tema de riesgos y seguridad de la información, que claramente afecta el desarrollo y posicionamiento del tema en las empresas que aspiran a ser clase mundo y moverse en medio de las exigentes condiciones de operación y relacionamiento que impone un mundo de información instantánea y continuamente en movimiento.

Por consiguiente, se requiere una renovación y reinterpretación de la seguridad de la información en clave ejecutiva, que permita profundizar el entendimiento actual de las juntas directivas, para incorporar al lenguaje de los negocios, una forma particular de hacer evidente las bondades y valor de las prácticas de la seguridad de la información, más allá de su connotación de cumplimiento y sus impactos frente a brechas de seguridad.

Así las cosas, el informe de CMU Cylab establece una serie de recomendaciones para ir transformando la situación actual hacia un estado más proactivo y ejecutivo que permita continuar incorporando la vista de seguridad de la información y la protección de los datos personales como un referente del negocio. Dentro de las recomendaciones están:
  • Establecer un Comité de Riesgos separado del comité de Auditoría y asignarle la responsabilidad del seguimiento de los riesgos de la empresa, incluyendo los riesgos de TI. Reclutar directores de TI con experiencia en gobierno de TI, riesgos y seguridad de la información.
  • Asegúrese de que la privacidad y las funciones de seguridad dentro de la organización estén separadas y que las responsabilidades están debidamente asignadas. El CIO (Chief Information Officer), CISO (Chief Information Security Officer) / CSO (Chief Security Officer), y CPO (Chief Privacy Officer) deben informar de manera independiente a la Junta Directiva.
  • Evaluar la estructura organizacional existente y establecer un equipo inter-organizacional que mantenga un monitoreo y reporte periódico sobre la privacidad y la seguridad. Este equipo debe incluir los altos ejecutivos de áreas como recursos humanos, relaciones públicas, jurídica, y adquisiciones, así como CFO (Chief Financial Officer), el CIO, CISO / CSO, CRO (Chief Risk Officer), el CPO, y los ejecutivos de las líneas de negocio.
  • Adelantar un examen de nivel superior de las políticas empresariales para crear una cultura de seguridad y respeto a la privacidad. Las empresas pueden mejorar su reputación mediante la valoración de la ciberseguridad y la protección de la privacidad, entendiendo éstas como parte de la responsabilidad social corporativa.
  • Revisar las evaluaciones del programa de seguridad de la organización y asegurarse de que concuerda con las mejores prácticas y estándares donde se incluya entre otras la respuesta a incidentes, la notificación de incumplimientos, la recuperación de desastres y los planes de comunicaciones ante crisis.
  • Asegúrese de que la privacidad y los requisitos de seguridad para los proveedores (incluyendo la nube y software como un servicio) se basan en aspectos clave del programa de seguridad de la organización, incluyendo auditorías anualesy exigentes requisitos de control. Revise cuidadosamente los procedimientos de notificación en caso de incumplimiento o incidentes de seguridad.
  • Llevar a cabo una auditoría anual de programa de seguridad de la información de la organización, que deberá ser revisado por el Comité de Auditoría.
  • Realizar una revisión anual del programa de seguridad de la información de la empresa donde se evidencie la eficacia de los controles, el cual deberá ser revisado por el Comité de Riesgos y asegurarse de que las debilidades identificadas cuentan con un plan de tratamiento.
  • La alta gerencia deberá solicitar informes periódicos sobre el aseguramiento de la privacidad y la administración de los riesgos de seguridad de la información.
  • Establecer y asignar presupuestos formales para los temas de privacidad y gestión de riesgos de seguridad de la información. 
  • Llevar a cabo auditorías anuales de cumplimiento sobre los temas de privacidad, respuesta a incidentes, notificación de incumplimiento, recuperación ante desastres y planes de comunicaciones ante crisis. 
  •  Evaluar los riesgos de ciberseguridad y las valoraciones de pérdidas potenciales frente a la suficiencia de la revisión de la cobertura del seguro de ciberseguridad.
Con estas recomendaciones los académicos de CMU Cylab establecen un plan de acción concreto que invita a las juntas directivas a incorporar la inseguridad de la información, los derechos fundamentales y las perspectivas de negocio como temas propios de las agendas de los ejecutivos, ya no como temas “que hay que revisar frente a la operación”, sino como aspectos claves de la estrategia y aseguramiento de la responsabilidad social empresarial, que son propias de las empresas de clase mundial.

Referencias
WESTBY, J. (2012) Governance of Enterprise Security. How Boards & senior executives are managing cyber risk. Cylab Report. Carnegie Mellon University Cylab. Disponible en: http://www.rsa.com/innovation/docs/11656_CMU_-_GOVERNANCE_2012_RSA_Key_Findings_v2_%282%29.pdf (Consultado: 27-05-2012)
HUFF, S., MAHER, P. AND MUNRO, M. (2006) Information Technology and the Board - Is There an Attention Deficit? MIS Quarterly Executive, Vol. 5, No. 2, June, pp. 1-14.
Publicado por en No hay comentarios:

lunes, 14 de mayo de 2012

Compartir o proteger: Tensiones en la gerencia de la seguridad de la información

Con frecuencia se anota que la vida se hace más libre y plena cuando se comparte, cuando se nutre de las realidades de los otros y capitalizamos las lecciones aprendidas que nos permiten ver “por fuera de la caja”. Compartir es un ejercicio de generosidad interior que se traduce en una afinidad trascendente que encuentra en el otro, su mejor destinatario y mejor excusa para construir. 

Cuando se comparte, las personas experimentan la plenitud de donarse a sí misma, como esa ofrenda personal que hace de aquello que se entrega, una expresión íntima de su querer y propio ser. Compartir en la vida cotidiana, sabiendo la volubilidad de los seres humanos, previene al hombre sobre sus impactos y riesgos, sobre la forma como será utilizada, y lo que es más importante, sobre la manera como ésta podrá ser “manejada” para producir y recrear los intereses de terceros, incluso por encima de los propios. 

Bien se anota en la literatura, que una cosa es nuestra huella digital y otra nuestra sombra digital en internet; mientras la primera se traduce en los rastros que dejamos al navegar por los sitios web alojados en los servidores de la red y la otra, lo que la información allí publicada, dice o revela sobre nosotros. En este contexto, la información que manejamos a diario requiere ser analizada frente a los riesgos propios de su tratamiento en los procesos de la empresa y las personas, para evitar que “terceros” sin autorización o personas con intenciones desconocidas, puedan invadir los terrenos propios de la esfera personalísima de éstas y poner en peligro la viabilidad de las mismas en un contexto de cambios y dinámica internacional. 

Con esto no queremos indicar que exista una extraña motivación o deseos ocultos de personas u organizaciones frente a la información personal o empresarial, que genere “delirios” de persecución y permanente zozobra e inquietud en las organizaciones e individuos, sino más bien plantear una reflexión propositiva que permita ubicar a la información como ese elemento estratégico que hace la diferencia en el mundo personal y empresarial, cuando se trata de encontrar nuevas razones para escribir derecho con letras cursivas. 

De acuerdo con Foster (2012) existe un espectro de análisis entre el compartir y el proteger que nos permite entender mejor las tensiones propias de estas dos distinciones. Para ello define ocho variables complementarias entre sí que nos revelan motivaciones y declaraciones que son claves para avanzar en el estudio del balance requerido de las dos vistas sobre la información. Ellas son: ley, requerido por la industria, minimizar pérdidas, revelación de vulnerabilidades, expectativas públicas, valor financiero, reputación y recomendación de la industria. 

Cuando el movilizador del tema son las regulaciones o leyes, comenta Foster, se tiene que “la información es protegida internamente pues existen normas o estatutos que dictan un mandato sobre el aseguramiento de su confidencialidad”, cuyo incumplimiento genera impactos negativos, bien de carácter sancionatorio interno con repercusiones externas, o exclusiones definitivas en ciertos sectores de negocio. 

Del mismo modo, cuando el tema se apalanca en aquello requerido por la industria, “la información se protege dado que es una práctica estándar en la industria, lo cual implica prácticas de aseguramiento”. Esto significa, que para estar un sector particular, son criterios de ingreso y aceptación, la acreditación de prácticas en tratamiento de la información como base de la relación de confianza entre sus miembros. 

Así mismo, si lo que moviliza el adecuado tratamiento de la información es minimizar las pérdidas, la declaración se articula como “la información se protege limitando el acceso de las personas a la misma, para prevenir su pérdida hacia el exterior”. Esta declaración, busca asegura las responsabilidades de los participantes sobre la información y prevenir fugas y/o pérdidas de información intencionales y no intencionales. 

De otra parte, cuando hablamos de revelación de vulnerabilidad, el autor expresa: “la información se protege, pues es viable descubrir fallas que pueden ser explotadas por terceros y alcanzar elementos valiosos de la empresa o la información”. Esta expresión nos muestra la sensibilidad del manejo de las debilidades de seguridad y control, las cuales, si no observan un tratamiento adecuado, pueden causar detrimento y/o compromiso del nivel de confianza en sus grupos de interés. 

Si el movilizador son las expectativas públicas, el tratamiento de la información, estará articulado con la confianza que los terceros tienen del aseguramiento de su confidencialidad frente al acceso por parte de la organización o personas autorizadas. La confianza es el valor fundamental sobre la cual descansa la promesa empresarial del acceso a la información personal y corporativa. 

Por otro lado, si la información requiere se protegida por el valor que representa, esto es que pueden ser aprovechada para alcanzar ganancias económicas, estamos hablando de la protección del conocimiento inherente a la información y lo que ello significa en términos financieros. Esto es, cómo las empresas aseguran aquellos elementos sensibles que marcan la diferencia en su sector y generan diferenciación del valor frente a sus competidores. 

No hay duda que la reputación es un factor clave que protege el adecuado tratamiento de la información. En este sentido, la información revestida de su valor estratégico, debe ser asegurada para minimizar los impactos de una eventual fuga de información, que afecte su imagen, genere sanciones legales, perdidas de clientes o posición privilegiada en su ámbito de negocio. 

Finalmente y no menos importante, la información debe ser protegida atendiendo las recomendaciones que la industria establece para mantener un nivel de aseguramiento que permitan una relación homogénea para sintonizar los deseos de compartir y la necesidad de proteger aquello que se declara valioso para ambas partes. 

En conclusión, podemos afirmar que cualquiera de estas variables establece una forma concreta de elevar la discusión de la protección de la información, del ámbito puramente técnico de operación, a los impactos y efectos que se advierten en la organización, que bien marcan las consecuencias a las cuales eventualmente la organización estará expuesta y la forma de llamar la atención y hacer parte de agenda de alta gerencia. 

Gartner advierte en un reciente estudio publicado por uno de sus analistas en abril de 2012, que la información y la tecnología serán usadas de manera agresiva por los líderes de negocio e individuos para repensar los parámetros actuales de los modelos de negocio y generar una ambiciosa colaboración entre las personas, para crear conceptos más allá de lo que el mundo real nos puede ofrecer.

En este escenario, no es posible detener el uso de tecnologías móviles, los servicios de información instantánea ni la natural progresión de las empresas hacia estrategia en la nube, pero si identificar de manera selectiva aquella información y áreas claves de las empresas en las cuales, luego de un ejercicio consciente y estructural basado en riesgos e impactos, se requiere balancear la necesidad de protección con la exigencia de compartir.

La tensión entre los conceptos se presenta siempre que se contraponen las necesidades corporativas de visibilidad y presencia en internet, con las exigencias de los mercados y las prácticas de industria frente a la información, que articulan en sí mismas dos condiciones relevantes para empresas del siglo XXI, la transparencia y la rendición de cuentas, con la protección del valor y la generación de ventajas competitivas con el uso de la información.

Bien anotan los especialistas en estrategia que todo aquello que hoy ha sido exitoso y relevante para el logro de los objetivos empresariales, mañana terminará indefectiblemente convertido en un “commodity”, algo que puede ser claramente copiado y superado, y que en corto plazo, no será un diferenciador empresarial, sino algo que se requiere para competir.

En este contexto, las reflexiones sobre la tensión entre el compartir y proteger adquieren una dimensión particularmente estratégica, pues en el ejercicio de conocer aquello que resulta importante para la estrategia empresarial y la rendición de cuentas a terceros, la información juega un papel relevante que explica el papel de la organización en la dinámica del tejido empresarial.

Así las cosas, las tensiones aumentan cuando los mercados demandan negocios innovadores y quebrantamiento de reglas, los cuales necesariamente implican análisis de información de grandes datos, inteligencia de negocios y analítica especializada, que claramente genera conocimiento y condiciones novedosas que articulan una nueva forma de intervenir el entorno, posiblemente cambiándolo. Por lo tanto, la esencia del compartir estará mediada por la idea del proteger, pues la supervivencia de la empresa, juega un papel relevante ante el desarrollo de una posición estratégica privilegiada de la organización.

Ahora bien, en un mundo dominado por la información y la necesidad de anticipación a los eventos futuros, es natural que los ciudadanos conozcan la realidad de la empresa frente a sus retos venideros; es decir, que las organizaciones ejerzan su gobierno corporativo haciendo transparentes sus procederes y resultados frente a sus grupos de interés. En razón con lo anterior, se exacerba la necesidad de compartir y revelar información frente a la de proteger y restringir, toda vez que las bondades del ejercicio de gobierno generan confianza inversionista y un ambiente propicio integrar los impactos sociales y las exigencias corporativas.

Por consiguiente, cuando la motivación de transparencia se haga más evidente y requerida por los grupos de interés, la esencia del proteger estará mediada por la de compartir, esto es, la información deberá ser revelada conforme a los acuerdos establecidos con las comunidades, sin mancillar la protección de la reputación corporativa, que si bien se verá enaltecida con la rendición de cuentas, deberá ser asistida con la reserva de la información relevante para proteger su viabilidad en el futuro.

Así las cosas, resolver la tensiones entre el proteger y compartir, será un ejercicio de tensión creativa que lleve a las organizaciones a encontrar el justo medio de los griegos, que descubra la virtud que cumpla con la necesidad de ejercitar el gobierno empresarial y su responsabilidad con sus grupos de interés y la legítima defensa de sus intimidades estratégicas y de negocio para mantener su rumbo en el cumplimiento de sus metas grandes y ambiciosas.

Referencias
FOSTER, C. (2012) Sharing o controlling? Examining the decision to segregate information within the organization. ISACA Journal. Vol.2
MAHONEY, J., MORELLO, D. y ROBERTS, J. (2012) Exploring the future: Everyone’s IT. Gartner Research.

Publicado por en No hay comentarios:

domingo, 1 de abril de 2012

Inseguridad de la información: Asegurar el 99,9% y sobrevivir al 0,1%


Introducción
¿Qué se siente cuando no hay correo electrónico? ¿Qué pasa cuando vas a un banco y te dicen que el sistema ha fallado o no hay línea? ¿Qué sientes cuando no hay internet? Son situaciones donde inmediatamente viene a nuestra mente la pregunta ¿qué pasa con el área de tecnología?, ¿no tienen todo controlado? Pues bien, es importante anotar, que no existe riesgo cero y por tanto la materialización de un evento que genere no disponibilidad será tan relevante como la forma en que mantenemos monitoreo, aseguramiento y verificación de las variables mínimas que nos permitan conocer el umbral de falla que se puede materializar.

En este sentido, cuando experimentamos las “caídas” de un servicio, entendemos que son máquinas las que están detrás de la magia, así como un conjunto de personas y sistemas de monitoreo que son capaces de verificar su funcionamiento y en algunas ocasiones, dependiendo de la formalidad de su operación, establecer pronósticos que permitan anticiparse a posibles fallas que puedan afectar la percepción del tercero frente al consumo de los servicios.

En este sentido, las palabras disponibilidad y continuidad se convierten en parte natural de la planeación de la operación y supervivencia de una empresa, particularmente de aquella que es consciente de que se encuentra en un escenario inestable y que debe estar preparada para brindar el máximo de operación continua con el mínimo de interrupciones, así como parar analizar las condiciones límites de trabajo para aplicar los procedimientos necesarios cuando un desastre o falla total ocurre.

Así las cosas, las empresas en la actualidad, asistiendo al escenario de una operación compartida e integrada con terceros, deben considerar tanto la disponibilidad como la continuidad como elementos naturales de su contratación y responsabilidad con sus clientes, de tal forma que se vaya fortaleciendo la capacidad de recuperación de la infraestructura tecnológica, como base para proteger el valor de la empresa.

En consecuencia, al estar expuestos a fallas de múltiples tipos y condiciones, las organizaciones deben desarrollar no sólo buenas prácticas asociadas con la disponibilidad y la continuidad, sino iniciar el camino de la resiliencia estratégica, como aquella capacidad de convertir las amenazas tanto internas como externas en oportunidades, antes que éstas se conviertan en condiciones insuperables para las organizaciones. (VALIKANGAS, L. 2010, pág.20)

Disponibilidad
De acuerdo con JAYASWAL (2006, pág.6) la disponibilidad es la porción de tiempo en que una aplicación o servicio está en operación para los clientes internos o externos, soportando su trabajo productivo. Mientras más resistente sea el servicio o aplicación frente a las fallas parciales o totales, mayor será su disponibilidad.

Es natural que los usuarios o clientes, quieran que los servicios que utilizan estén disponibles en cada momento, lo que se denomina operación ininterrumpida, sin embargo existen riesgos inherentes a la infraestructura que la soporta que, por más esfuerzos que se adelanten, siempre serán susceptibles de fallas que limiten el uso del servicio o aplicación, generando lo que en la literatura se conoce como downtime o tiempo de inactividad.

En este contexto, se ha acuñado una serie de consideraciones técnicas que ilustran con claridad lo que significa la disponibilidad en términos porcentuales, donde se establecen los porcentajes de tiempos de inactividad, sus valores en términos de días, horas, minutos o segundos, que permiten observar las exigencias que establecen estas métricas para dar cumplimiento con los umbrales de inactividad previstos en cada uno de ellos, bien sean planeados o no.

Porcentaje tiempo de actividad
Tipo disponibilidad
Porcentaje tiempo de inactividad
Inactividad por año
Inactividad por mes
98%
Disponibilidad base
2%
7,3 días
14 horas 36 minutos
99%
Disponibilidad normal
1%
3,65 días
7 horas 18 minutos
99.9%
Alta disponibilidad
0,1%
8 horas 45 minutos
43 minutos 45 segundos
99.99%
Resiliente a fallas
0,01%
52,5 minutos
4 minutos 22 segundos
99.999%
Tolerante a fallas
0,001%
5,25 minutos
26 segundos
100%
Procesamiento continuo
0
0
0
(Adaptado de: JAYASWAL, K. 2006, pág.6 y MARQUIS 2006)

La tabla anterior nos manifiesta que si queremos una operación ininterrumpida o procesamiento continuo se requiere una operación altamente formal, basada en un monitoreo y verificación permanente que más allá de una falla, la infraestructura definida sea lo suficientemente redundante, activa y autoprotegida, de tal forma que no se presente la percepción de inactividad por parte del cliente.

Llegar a una condición como la anterior, es un ejercicio de cero tolerancia al error bien sea humano, de hardware, software o ambiente, que demanda una “perfección” en la gestión de las variables de operación, que raya en una preparación permanente para la falla y la forma como en el mismo instante se toma control y acción para mitigar los efectos de la misma.

Un sistema como el comentado exige mayor inversión en infraestructura, software y aseguramiento de sus componentes, que necesariamente genera mayor exposición a las fallas, dado que igualmente es tecnología y está expuesta a que existan condiciones de operación límite, que impacte el desempeño de la misma. Así las cosas, estamos ante una contradicción de la disponibilidad: queremos una operación perfecta, que está soportada en infraestructura diseñada y construida por seres imperfectos.

Continuidad
En razón con lo anterior y sabiendo que estamos expuestos a riesgos, las organizaciones deben considerar su supervivencia, aún en condiciones extremas, de tal forma que puedan ser viables en el mediano y largo plazo. De acuerdo con SHOEMAKER y COKLIN (2012) la administración de la continuidad de una organización consiste en desarrollar y asegurar un proceso que permita que los elementos críticos de ésta, representados en sus activos de información y capacidades de procesamiento, se mantengan aún cuando exista un desastre o condición adversa.   

Lo anterior necesariamente implica, asegurar los roles y responsabilidades de las personas que participan en este proceso, su adecuado entrenamiento y capacitación, de tal forma que puedan actuar conforme lo que está previsto en los procedimientos y así recuperar las funciones operacionales de la empresa, tanto desde la perspectiva informática como de las actividades de negocio. Generalmente los ambientes de continuidad están asociados con operación en sitios alternos, los cuales deben ser conocidos y mantenidos en óptimas condiciones para albergar la operación de la empresa cuando sea necesario.

Los análisis del nivel de madurez de la continuidad de una empresa están asociados con las capacidades de recuperación que ésta debe desarrollar, cuando se materializa un escenario de falla total que exija a la función de negocio dejar de operar en un contexto y reiniciar sus actividades en otro, sin perjuicio de los impactos que se puedan presentar sobre las infraestructura que lo soporta, los cuales deberán estar considerados dentro de los escenarios de falla que se hayan previsto.

Es claro que el factor crítico de éxito de la continuidad es la preparación, razón por la cual las estrategias y la planeación son elementos fundamentales para asegurar dicho proceso. Si bien no podemos predecir los eventos de falla total que nos puedan ocurrir, si podemos anticipar nuestras acciones y pruebas que nos faciliten actuar de manera natural ante eventos inesperados y devastadores. Muchos de los accidentes o condiciones inseguras durante momentos de crisis, se presentan por la falta de preparación y práctica sistemática de procedimientos, que no habilitan a las personas para actuar conforme lo que se requiere, sino que se dejan llevar por lo que la situación les demanda.

El 11 de septiembre de 2001, quedó claro que la disponibilidad de los servicios basada en ambientes altamente automatizados y asegurados, no fue suficiente para soportar las condiciones inesperadas de un ataque totalmente atípico hasta el momento. Así mismo, se probó de manera extrema que la continuidad frente a circunstancias extremas, con coordinaciones con otros entes de apoyo, aún requiere práctica sistemática aplicada, que permita una recuperación más efectiva y con menos improvisación.

Resiliencia
Define JAYASWAL (2006, pág 17) que la resiliencia o resiliency (en inglés) es una propiedad de un componente que le permite a éste continuar funcionando total o parcialmente luego de una o muchas fallas. Es decir, tendremos mayor resiliencia en la medida que los componentes estén habilitados para detectar y compensar rápidamente las fallas identificadas.

Desde el punto de vista de negocio, VALIKANGAS (2010) entiende la resiliencia como la capacidad que tiene una organización de beneficiarse de eventos inesperados, los cuales pueden contener riesgos, y convertirlos en oportunidades. Esta capacidad, requiere como anota el académico, tomar ventaja de la serendipia o serendipity, es decir, de la sagacidad para ver e interpretar lo que se ha encontrado, lo cual posiblemente dista de lo que originalmente se estaba buscando.

Cuando comparamos las dos definiciones encontramos que la resiliencia es una capacidad de recuperación, aún frente a fallas, pero igualmente el momento concreto para ver “fuera de la caja” y ver más allá de lo que ocurre. En este sentido, desarrollar la resiliencia en las organizaciones, más que prepararse o adaptarse frente a escenario de falla parcial o total, busca desarrollar una capacidad inherente para reinventarse y mantenerse vigente en el entorno y permanecer en el largo plazo.

Podríamos decir que la viabilidad de la organización, podría estar comprometida si ésta no es capaz de desarrollar resiliencia estratégica. Es decir, alcanzar sabiduría en los negocios,  el arte de aventurarse hacia mares profundos y explorar nuevas posibilidades, o como anota DeBONO (1997, pág.46) acerca de la sabiduría, “es la capacidad de imaginar posibilidades y de considerarlas, es la renuncia a dejarse encerrar en juicios fáciles y falsas certezas”

La resiliencia por tanto, vista de manera holística, confronta nuestros modelos de operación personal, empresarial y tecnológica, para buscar nuevas formas de mantenernos despiertos a las realidades inesperadas de la dinámica de las organizaciones y los mercados, para advertir que podemos “eliminar nuestras propias auto-restricciones” y ser capaces de inventar nuevos escenarios de operación que aún esperan por nosotros para ser implementados.

Los conceptos de disponibilidad y continuidad, si bien establecen formas de mantenernos activos y en condiciones de operación confiables, la resiliencia trasciende los mismos para encontrar en las crisis, cambios anticipados; en los efectos de borde, nuevas formas de desaprender y en las condiciones inesperadas, nueva forma de ver la realidad. Así las cosas y como quiera, que estas habilidades no son inherentes a nuestra forma de razonar, habrá que habituarnos a ejercitar nuestra mente y visión estratégica para incorporar la práctica de la resiliencia como factor fundamental para poder planear, es decir, volar y dejar que los vientos nos enseñen y revelen el camino del águila hacia las alturas.

Reflexiones finales
Hemos visto que la disponibilidad, o las estrategias y condiciones requeridas para mantenernos en operación (99,9%), es un factor clave para asegurar que tenemos actividad continua y una forma para responder frente a eventos que puedan generar tiempos de inactividad. Sin embargo, no es suficiente implementar esta característica para mantener la viabilidad de la operación, pues ella está condicionada por la infraestructura que la soporta, que nuevamente se convierte en su propio punto de falla.

La continuidad por su parte es la forma como una organización o individuo debe actuar cuando, se materializa el 0,1% de tiempo de inactividad, es decir los procedimientos que debemos seguir para continuar la operación del negocio y desarrollar las capacidades de recuperación de la infraestructura, ahora en otro contexto y realidad, para lograr una reincorporación adecuada y aseguramiento de la viabilidad de la empresa y  más valiosos activos: las personas, la información y sus locaciones.

La resiliencia, como esa capacidad de continuar operando y recuperarse aún ante la presencia fallas o de aprovechamiento positivo de las situaciones de crisis, es otra condición particular que juega un papel fundamental en el entendimiento de la permanencia de las empresas y sus operaciones. Si bien, los dos conceptos anteriores nos informan sobre formas de prevención y reacción, la resiliencia nos permite desarrollar la capacidad de anticipación e innovación para revelar aquello que se esconde dentro de cada situación límite o inesperada.

No podemos entender la inseguridad de la información en el contexto organizacional, sólo desde las condiciones de inactividad operacional, las fallas parciales o totales de la infraestructura, o los eventos inesperados que alteren la realidad de una empresa, sino como una forma de preparar a las organizaciones para desarrollar y fortalecer su estrategia de cambio, es decir, encontrar en la inevitabilidad de la falla, la forma de entrenar nuestro entendimiento para descubrir las oportunidades y crear la plataforma para hacer que las cosas pasen.

Referencias
JAYASWAL, K. (2006) Administering data centers. John Wiley & Sons. Indianápolis.
MARQUIS, H. (2006) The paradox of 9s. Disponible en: http://www.itsmsolutions.com/newsletters/DITYvol2iss47.htm (Consultado: 31-03-2012)
UPTIME INSTITUTE (2010) Data Center Site Infrastructure Tier Standard: Topology. Disponible en: http://www.uptimeinstitute.com/ (Consultado: 31-03-2012)
VALIKANGAS, L. (2010) The resilient organization. How adaptive cultures thrive even when strategy fails. McGraw Hill.
SHOEMAKER, D. y CONKLIN, A. (2012) Cybersecurity. The essencial body of Knowledge. Cengage Training.
DeBONO, E. (1997) El texto de la sabiduría de Edward DeBono. Editorial Norma
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)