Llegamos a ustedes gracias a:



Reportajes y análisis

Los 10 mandamientos de la seguridad

Nunca diga "nunca jamás"

[02/06/2009] Es imposible separar las palabras ?Tecnología y Negocios?. No hay empresa exitosa sin tecnología, pues hasta el más sencillo negocio necesita al menos de un poco de ella para mantener su funcionamiento. Por eso es el nombre de este foro, porque queremos mostrar cómo hacemos que estas dos palabras trabajen juntas. De esa forma iniciaba Dante Passalacqua, vicepresidente de Global Crossing para Peru, el Primer Foro de esta compañía sobre Tecnología y Negocios.

La participación inicial de Passalacqua sirvió también para establecer que uno de los desafíos que enfrenta la tecnología en la actualidad, es que la entendamos no como un fin en sí misma sino como un medio. Es sencillo caer en la tentación de usar la tecnología simplemente por el hecho de que ella se encuentra a nuestra disposición; más complicado es comprender que el verdadero uso que se le debe dar es la de un medio que sirva para lograr los objetivos de la empresa.
Sin embargo, en la actualidad se enfrentan retos más serios. En tiempos de crisis, como el que actualmente se vive, no hay empresa que no busque reducir sus costos; y la reflexión que hay que realizar, según Passalacqua, es que hay que tener mucho cuidado cuando se realiza esta acción. Es muy sencillo hablar de reducir costos si no se toma en cuenta el efecto a mediano y largo plazo de esta acción. En realidad, recortar el uso de la tecnología en la empresa, implica incurrir en falso ahorros que en el futuro se traducirán en costos, incluso mayores a los que se desearon evitar.
Seguridad ante todo.
El foro tuvo como tema principal la seguridad de la información. En torno a este tema central se desarrollaron cuatro exposiciones y un panel compuesto por también cuatro expertos que dieron su punto de vista con respecto al tema. A modo de presentación, Passalacqua afirmó que la dificultad que se enfrenta al momento de asegurar la información proviene del hecho de que los usuarios no tienen conciencia del peligro en el que se encuentra su información. Muchos vivimos con una falsa sensación de seguridad, que no nos permite entender la verdadera magnitud del peligro que nuestra información enfrenta todos los días.
La primera exposición estuvo a cargo de Oscar Schmitz, director de CXO Community, quien desarrolló el tema de los riesgos a los que se exponen las empresas. Para sustentar su posición mostró el estado actual de la seguridad de la información, y la dejadez que se manifiesta en muchas empresas, ya sea por falta de presupuesto, o por falta de conocimiento de los verdaderos peligros a los que se exponen.
Para Schmitz, la tecnología avanza a tal velocidad que lo que antes se guardaba en grandes cintas, ahora se almacena en una pequeña memoria USB. Las comunicaciones ahora se basan principalmente en los millones de teléfonos celulares que tienen muchas personas en todos los países. ¿Qué protección se proporciona a estos nuevos elementos tecnológicos que salen fuera del ámbito de la empresa?
De acuerdo a una encuesta presentada por Schmitz, el 85% de los ejecutivos ha señalado que en sus teléfonos móviles almacenan información del día a día de sus negocios; es decir, información de clientes, contratos, citas e incluso bases de datos y contraseñas. Este es un punto de peligro para la seguridad de la información, pero no es el único.
Con un acceso de cerca de 25% de los peruanos a Internet, un gran número de usuarios se encuentran expuestos a peligros como el phishing, el malware, correos electrónicos no deseados, y otros similares. De la misma manera, un creciente número de personas accede a las redes sociales -siendo Hi5 la más usada en el Perú- y comparten información personal y empresarial de forma pública. Son entonces muchos puntos de peligro para la información, ya no solo dentro de los medios convencionales sino en los nuevos medios como los teléfonos móviles y las redes sociales.
Como era de esperar, la principal causa de perdida de información es mediante el robo de los dispositivos celulares. Paradójicamente, en último lugar es la acción de hacking, es decir, la intervención de un agente externo. Igualmente, los mayores peligros de ataque que tiene una compañía se producen desde el interior de la misma, e incluso un alto porcentaje de las pérdidas de información se producen debido a la negligencia de los empleados de la compañía.
Ante estas evidencias, es de esperar que las empresas tomen cartas en el asunto, y de hecho lo hacen. Su principal preocupación es mantener la continuidad de la operación de la empresa, pero son pocas las que le dan el peso necesario a la seguridad para abordar el tema. Así, solo entre las entidades financieras (83%), se puede apreciar una considerable preocupación por la seguridad que se plasma en la existencia de un puesto de director de seguridad o seguridad de la información.
Otras instituciones no presentan este puesto, e incluso no poseen estrategias para combatir los peligros a la información, son pocas las que toman medidas tan básicas y obvias como encriptar los teléfonos móviles (el principal motivo de pérdida de información) o registrar los incidentes para subsanarlos.
Los presupuestos para seguridad de la información son también exiguos. Representan aproximadamente entre el 1% y el 1.5% de la facturación de la empresa, y con esos niveles, sostiene Schmitz, hay que hacer magia.
¿Outsourcing?
El segundo de los expositores fue Mirko Repetti, ejecutivo de Global Crossing, quien disertó sobre el Outsourcing de la Seguridad. El outsourcing se debe entender, en primer lugar, como la transferencia de un proceso de la organización a un tercero, para que pueda entregar ciertos resultados pero básicamente mejorando la competitividad.
Desde su perspectiva, la empresa tiene que analizar cuándo es que realmente le conviene realizar outsourcing de los servicios de seguridad, y para ello no solo hay que basarse en la lógica del precio; es decir, que si lo que hace la empresas es mas caro entonces de debe realizar el outsourcing. Sin embargo, este no es el único criterio. Si lo que yo produzco, menos lo que me cuesta, me da un mejor resultado, lo tomo; porque finalmente yo no vivo de los costos sino de los resultados finales, señala Repetti. ¿Cuál es el modelo válido? En realidad, todos, dependiendo de lo que uno quiera llevar al outsourcing.
Lo que se debe buscar en un outsourcing es tener una menor inversión inicial para el desarrollo de una actividad; pero no es lo único que se debe buscar. También se debe buscar generar más ingresos, obtener un riesgo más bajo en las operaciones -para lo cual hay que establecer un nivel de servicio mediante los SLA- y optimizar los costos fijos. Esto nos permitirá tener más caja, más ingresos, menos costos y menos riesgos, todo lo cual conforma un ROI (Return On Investment) del outsourcing que debe ser atractivo.
Otro de los temas que tocó Repetti fue la necesidad de que las organizaciones cuenten con el puesto de Chief Information Security Officer (CISO). Esta persona debe ser la encargada de administrar no solo la tecnología de la empresa, sino la seguridad de la misma. El CISO debe conocer el negocio o servicio que brinda la compañía, debe conocer los desafíos que enfrenta la firma, y, sobre todo, debe proporcionar valor agregado y diferenciación a la empresa.
El CISO no puede ser un ejecutivo de segundo nivel, sino que debe reportar directamente al CIO, por lo que Repetti expresa la necesidad de convencer a este ejecutivo de la importancia del cargo y de la necesidad de que el CISO ostente este nivel para acceder un buen nivel de coordinación con los demás ejecutivos.
El derecho de la empresa vs. el derecho del empleado
La segunda parte de la conferencia estuvo dividida en cuatro exposiciones diferentes. La primera de ellas estuvo a cargo de Luis Vinatea, miembro del Estudio Miranda & Amado Abogados, y trató del conflicto que se produce entre las facultades que tienen las empresas para proteger su información y los derechos fundamentales de los trabajadores de una empresa.
Como ya es sabido, muchas empresas buscan protegerse imponiendo ciertos criterios de fiscalización y control sobre sus empleados. Así se puede encontrar organizaciones que incluso establecen -en documentos- su derecho a revisar los documentos que los empleados mantengan en las computadoras de la firma; sin embargo, de acuerdo a Vinatea, hay que tener cuidado con establecer estos parámetros, ya que podrían colisionar contra los derechos de los trabajadores.
Básicamente, se identifican cuatro casos en los que se puede producir este tipo de colisiones. El primero de ellos se produce cuando la empresa decide monitorear el uso del correo electrónico de los empleados. Ciertamente, el correo electrónico puede ser considerado una herramienta de trabajo que la empresa proporciona a sus trabajadores, pero también es un medio de interacción social de los mismos con sus amigos, parientes y otras personas ajenas a la empresa. Ya que se trata de una comunicación personal -a pesar de entablarse mediante una herramienta empresarial- el Tribunal Constitucional ha determinado que merece el mismo tipo de protección que el que tiene cualquier otro tipo de comunicación, como las cartas y las conversaciones telefónicas.
El segundo tipo de acciones es la revisión de los archivos personales de los empleados. De igual forma que en el caso del correo electrónico, los archivos personales de un trabajador se encuentran protegidos por el derecho a la privacidad de las comunicaciones.
El tercer caso tiene que ver con los sindicatos. En un mundo que usa los medios electrónicos para comunicarse, no es de extrañar que los sindicatos puedan utilizar las herramientas de comunicación de la empresa para postular sus exigencias. Aunque este no es un caso que aún se haya solucionado -ni siquiera en el Primer Mundo- ya debe de ser tomado en cuenta por las empresas peruanas.
Finalmente, el cuarto caso es el que se refiere a la validez de los convenios entre trabajadores y empresas, en los que se advierte a los primeros sobre el mal uso de las herramientas de comunicaciones y el derecho de la firma a revisarlos. Ante estos convenios hay que recordar que ellos no pueden prevalecer sobre los derechos fundamentales de los trabajadores a la confidencialidad, señaló Vinatea.
Ernesto Rodríguez, ejecutivo de la compañía minera Gold Fields La Cima, expuso su experiencia en el manejo de la seguridad de la información en su compañía, y dejó en claro que desde su perspectiva la mejor alternativa que tuvo fue hacer outsourcing de la misma para poder dedicarse a generar valor a través del uso de las TI en su firma. Simplemente, hacer monitoreo 24x7, tener expertos en seguridad, poseer herramientas de monitoreo, y pasar largas horas escribiendo reportes de auditoría, le estaban restando demasiado tiempo que podía utilizar en la creación de valor.
Por su parte, Ricardo Ross, ejecutivo de Juniper Networks, realizó un detallado listado de cada una de las herramientas que se poseen para defender a las empresas de cada uno de los diferentes tipos de ataques a las que se encuentran expuestas; mientras que Franz Erni de Global Crossing presentó el uso del ROSI (Return on security investment) -en lugar del ROI- como herramienta para justificar las inversiones en seguridad de la información. Un tema que sin duda merece su propio artículo.
Los 10 mandamientos.
Dante Passalacqua, finalmente, cerró el evento dejando al público asistente una lista de los 10 mandamientos de la seguridad de la información:
  1. Crear conciencia. Sobre los peligros que nos acechan.
  2. Lograr el compromiso y dedicación de toda la organización.
  3. Identificar las amenazas y riesgos. No todos los ataques son iguales ni tienen las mismas probabilidades.
  4. Diseñar y comunicar la política de seguridad. La política tiene que ser entendible para todos.
  5. Trazar una hoja de ruta para la implementación. Cómo llegar a donde queremos estar.
  6. Gestionar la implementación. Las medidas de seguridad por sí solas no funcionan.
  7. Proteger a la empresa y a las personas. Las personas son tan o más vulnerables que los equipos informáticos.
  8. La seguridad es una inversión, no un gasto. Cuando no hay presupuesto, debemos justificar la seguridad en términos financieros.
  9. No digas nunca me va a suceder esto. Hay que estar preparado para todo.
  10. Garantizar la continuidad del negocio. Hay que estar preparado, hay que ser proactivo, hay que comunicar y realizar copias de respaldo.

José Antonio Trujillo. CIO Perú