Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad y negocio

[29/09/2009] La interconexión de las organizaciones con sus clientes y suministradores, ya sea a escala local, regional, nacional o mundial, nunca ha sido una necesidad tan crítica como en la actualidad. Pero las ventajas que aporta el acceso remoto, la explotación global de nuevos mercados y las reducciones de costos asociadas a Internet, vienen acompañadas de un buen número de riesgos de seguridad. Es el lado oscuro de las nuevas posibilidades de comunicación.

En seguridad, todo está cambiando, generando en su evolución nuevas necesidades de gestión para mitigar el impacto potencial de los malintencionados contra las operaciones, la información o la marca de la empresa, además de los propios riesgos que implica garantizar la disponibilidad de los sistemas y la continuidad de negocio. Todas estas cuestiones y otras muchas tienen consecuencias directas en los presupuestos TI, ya que obligan a dotarse del equipamiento de seguridad adecuado, así como a formar a los profesionales y concientizar a los empleados en general. Por ello, la seguridad se ha de abordar como una de las partes clave del negocio, al mismo nivel que otras áreas, como recursos humanos, contabilidad, márketing y ventas; en definitiva, como cualquier otro proceso de misión crítica para la empresa. Y como cualquier otro proceso crítico, la seguridad ha de tener la misma justificación de negocio en términos como planificación o retorno de la inversión (ROI). Comprender la proposición de valor de un buen programa de seguridad es fundamental para la empresa.
Los cambios en la naturaleza de los retos y daños, y la publicidad que suele acompañar a las explotaciones de los hackers han transformado a su vez los fundamentos de la seguridad en cuanto a modelo, objetivos, variaciones y análisis y gestión de riesgos. En lo que se refiere al modelo, los cambios son evidentes. El modelo clásico ciudadela consistía simplemente en mantener alejados a los enemigos y permitir el acceso solo a los amigos, fortificando así el castillo. Pero como en realidad la seguridad nunca fue tan simple, está emergiendo el modelo póliza de seguros, basado fundamentalmente en el análisis de riesgos y su gestión, de la misma manera que se hace ante otros desafíos físicos, desde los incendios a las inundaciones, terremotos y robos físicos.
Balance de modelos
El modelo ciudadela es binario: la persona que desea acceder o es de los nuestros o es de los enemigos. No hay zonas grises. Eso sí, cualquiera que desee entrar debe ser inspeccionado. Y eso es justo lo que tratan de evitar los hackers y los cibercriminales. El modelo de póliza de seguros, sin embargo, implica un equilibrio presupuestario entre problemas específicos y costos de protección, y requiere además la aplicación de políticas y la ayuda de expertos en la materia.
Aunque ambos modelos tienen su sentido, es fácil ver que ninguno se adapta el 100% a todas las situaciones y entornos. En el más clásico, algunos de estos outsiders considerados a priori enemigos potenciales pueden ser en realidad clientes, empleados, proveedores o cualquier otro tipo de usuario legítimo.
Siguiendo el modelo de póliza de seguros, podemos proteger los edificios y el mobiliario, pero descuidar otras partes incluso más primordiales del negocio, como el valor e imagen de la marca, la reputación de la firma o la confianza del cliente. Para cualquier clase de organización, sin embargo, quizá la mejor opción provenga del balance razonable entre ambas alternativas. En la ecuación se han de tener en cuenta factores como la simplicidad, la adecuación al modelo de negocio y los costos.
Antes que nada, conviene fijar los objetivos de la seguridad de red analizando vulnerabilidades y riesgos, tanto generales como los específicamente sectoriales, y su impacto en el negocio. Todos ellos, cada uno con su propia proposición de valor, se pueden encuadrar en las categorías de confidencialidad y privacidad, integridad de la información, no repudio de las transacciones y documentos, confianza y responsabilidad, y disponibilidad.
Objetivos y proposición de valor
Una de las primeras aplicaciones de seguridad de la información y de red es garantizar la confidencialidad de los datos y la privacidad, que podrían verse comprometidas cuando se exponen a personas no autorizadas, con los consecuentes daños y pérdidas económicas directas o por incumplimiento normativo. Este mismo fenómeno se produce cuando se desvela información fuera de contexto, impactando la toma de decisiones de compra o de negocio. El primer valor de negocio de la seguridad es, por tanto, garantizar la confidencialidad y el control de la propiedad y uso de la información.
Tan importante como lo anterior es la integridad de los datos. Si los dos primeros factores aseguran que los datos no se exponen de forma inapropiada, la integridad garantiza que, con independencia de su forma final, la información no ha sido alterada de un modo no autorizado durante su ciclo de vida, lo que incluye auditar su origen y los cambios que se han realizado en ella, cuándo y por quién. La importancia de la integridad queda clara como ejemplo, en el caso de una transacción importante con información financiera que será la base de la toma de decisiones de negocio o legales, y cuyos datos de origen o sus sucesivos registros hubieran sido falsificados. O si un hacker accede a una base de datos de una firma farmacéutica y altera la información allí contenida. Las ramificaciones de la integridad de la información son tan enormes como los daños y responsabilidades que acarrea su violación.
Otro objetivo clave de la seguridad de red es garantizar la prueba de que todas las partes implicadas en una transacción o documento han participado realmente en su creación, tratamiento, modificación o recepción, aunque hayan estado distantes físicamente entre sí durante el proceso. Este objetivo, conocido como no repudio del documento, es tan importante en el mundo electrónico como en el mundo del papel impreso, desde órdenes de compra a facturas y contratos de todo tipo.
Por ello, supone la base técnica de toda la legislación de firma y comercio electrónicos. Aunque es un área madura para el pirateo informático, los esquemas de no repudio de documentos en red generalmente tienen los mismos parámetros y garantías que las firmas físicas.
La confianza o credibilidad es el cuarto valor que la seguridad aporta al negocio. Cualquier conocimiento que tengamos sobre cualquier tema se basa en un sinfín de documentos impresos y en línea, registros, archivos, emails, artículos de prensa, resultados de búsqueda y otras muchas fuentes de información que consideramos creíbles y que colectivamente afectan a las acciones que podamos tomar en esa materia. Además del propio contenido, siempre atribuimos a una información un cierto grado -mínimo o elevado- de fiabilidad, confianza y credibilidad en función de diversas variables y fundamentalmente de su fuente. Y tal confianza da una dimensión crítica a los datos. En la vida empresarial, por ejemplo, sin duda daremos más credibilidad a una cifra de un documento si sabemos que ha sido introducida por el departamento de recursos humanos o de contabilidad, que a un comentario oído en un pasillo sobre el sueldo de un determinado empleado o una compra, respectivamente. La fiabilidad de la información se convierte pues en un valor para el negocio que garantiza la capacidad de establecer la fuente de los datos -quién y cuándo- y de todas sus posibles modificaciones a lo largo del tiempo, así como las acciones que en base a ellos han sido tomadas desde su creación. Solo así tendrán valor para tomar decisiones correctas.
Aunque en diferente medida, prácticamente todo tipo de organizaciones, desde las agrarias a las de servicios financieros en línea, dependen del acceso a los recursos informáticos y a sus sistemas de información en red. Y si no están disponibles cuando se necesitan, todas experimentarán algún tipo de pérdida en función de su criticidad para el negocio. La disponibilidad de los sistemas, por tanto, es otro objetivo clave de la seguridad de red; si bien, por desgracia, también es uno de los elementos más fáciles de atacar, como demuestra la proliferación de los ataques de denegación de servicio (DoS). El impacto de la falta de disponibilidad de los sistemas parece obvio, pero se trata de un área abierta a cada vez más consideraciones, teniendo en cuenta no solo la actividad de la empresa en el mundo físico sino también en la web. El efecto de daño a la imagen de la marca o de pérdida de ingresos se multiplica en el mundo en línea. Una caída del servicio web, o incluso un rendimiento lento de las aplicaciones, se traduce en abandonos del website, pérdidas monetarias y refuerzo de la competencia. El quinto y último valor de negocio de la seguridad es por tanto garantizar que los recursos de red -como servidores de archivos, páginas web o servicios de email, entre otros- están disponibles cuando lo necesitan los empleados o clientes.
Una vez definidos los objetivos de la seguridad y su respectivo valor para el negocio, conviene volver a revisar los modelos ciudadela y póliza de seguros con el propósito de lograr un equilibrio entre ambos que sirva como punto de partida para definir una estrategia global de protección de la información y los recursos de la empresa. En principio, la integridad de la información, su fiabilidad y el no repudio tienen en común estar asociados al seguimiento de activos -archivos, por lo general- y sus diversas interacciones con otros elementos, como usuarios y programas de aplicación, autorizados o no. La disponibilidad -objetivo que se suele encuadrar en el modelo ciudadela- tiene que ver, sin embargo, con el control de accesos, y la confidencialidad y privacidad -también más susceptible de asignarse al modelo ciudadela- , con el almacenamiento de la información o su tránsito entre donde se almacena y donde se necesita. La aplicación del modelo póliza de seguros, por el contrario, resulta más idónea en la integridad, fiabilidad y no repudio, puesto que es más difícil de conseguir el control de estos aspectos mediante herramientas tecnológicas, y su impacto está más relacionado con los aspectos humanos que con los meramente técnicos.
Análisis y gestión de riesgos
Conociendo los objetivos de la seguridad y el valor de cada uno de ellos para el negocio, y asumiendo el riesgo como algo inevitable que forma parte de las propias actividades de la empresa, se han de analizar de forma realista todos los desafíos y gestionarlos de forma adecuada. Y es justo en este punto donde las empresas más se equivocan, por exageración o infravaloración de los retos. En el primer caso, sufren los presupuestos; en el segundo, la propia seguridad. Lo que está claro es que los riesgos deben ser evaluados por cada organización independientemente, pues solo ella puede llegar a comprender los peligros potenciales y su posible impacto en las operaciones de negocio.
¿Por dónde empezar? Un buen comienzo es contratar un servicio externo que se encargue de efectuar una auditoría de seguridad y, en consecuencia, un informe inicial donde se identifiquen las áreas de riesgo potenciales del propio negocio. Tras esta fase y con la participación de la dirección ejecutiva de la empresa, se han de definir y poner en marcha procedimientos que den respuesta a los tres factores interrelacionados sobre los que descansa una buena estrategia de seguridad: políticas, tecnología y usuarios. Las políticas dirigen la elección de tecnología, y la implementación de tecnología refuerza las políticas y el comportamiento de los usuarios, que, como elemento final, serán los que respetarán o romperán el sistema de seguridad.
Desde el punto de vista humano, es aconsejable nombrar un máximo responsable de seguridad con un conocimiento profundo de la organización y del sector de la empresa, además de una gran capacidad de análisis, cualidades que resultan más valiosas que disponer de un conocimiento en bruto en seguridad, que siempre puede ser contratado. Asimismo, en las políticas se han de reflejar detalladamente qué es aceptable hacer y qué no lo es con los recursos y sistemas de información. Una parte clave de este gran acuerdo será la formación de los usuarios, que han de mentalizarse sobre la trascendencia de la seguridad y comprender las políticas al respecto.
La parte tecnológica, aunque importante, es solo uno de los tres factores y está disponible como recursos externo. Aun cuando las vulnerabilidades técnicas son las más publicitadas por los medios de comunicación, en realidad son las cuestiones relacionadas con las políticas y las personas las que permitan atacar y explotar con éxito la tecnología. El malware I Love You consiguió su objetivo malicioso no solo gracias a sus habilidades intrínsecas: su éxito requería que la gente -en este caso, millones de usuarios de todo el mundo- lo activasen.
Con estos tres elementos presentes, los programas de seguridad deben además ser revisados y apoyados con la máxima implicación por la dirección ejecutiva, como un objetivo a largo plazo revisable periódicamente. Una buena seguridad es una tarea continua que requiere foco, disciplina, presupuesto, una revisión regular y la supervisión de un externo cualificado y con un conocimiento profundo de los entornos de red. Porque, en definitiva, la seguridad, más que un proyecto, es un proceso.
James P. Cavanagh, CIO España