Llegamos a ustedes gracias a:



Columnas de opinión

La fuga de información y su relación con el mundo empresarial

Por: Gabriel Marcos, Gerente de Data Center, Seguridad y Outsourcing para Latinoamérica y el Caribe de Global Crossing

[28/01/2011] Cualquier profesión nace de una forma particular de ver el mundo, hasta incluso nuestros sentidos se basan en la percepción de una porción en particular, pero limitada, de todo lo que ocurre a nuestro alrededor. El entrenamiento como profesional de la seguridad de la información no es la excepción. Fundamentalmente, se aprende a percibir el mundo en función del riesgo y su análisis, y todo lo demás es consecuencia de realizar ese cambio de mentalidad.

Es por eso que más allá de todas las cuestiones diplomáticas, políticas, sociales y económicas relacionadas al denominado escándalo de las filtraciones de información confidencial que tanta atención mediática han recibido, como profesionales de la seguridad de la información deberíamos preguntarnos: ¿cuál es el riesgo de que esto ocurra en mi organización?
No se trata de restarle importancia a los aspectos políticos y diplomáticos, por ejemplo, ya que de hecho es evidente que cuando se habla de los enormes riesgos económicos asociados a la imagen de una sola empresa y de una marca en particular, esto parece un problema menor si se compara con la situación a nivel de un país en un mercado globalizado, y su impacto en todas las áreas de negocio y las empresas que podrían verse afectadas simultáneamente. El potencial que esto tiene en la concientización de la población en general es altamente valioso, y es importante aprovecharlo, pero también es necesario aprender la lección para aplicarla en la propia organización y evitar así consecuencias no deseadas.
Tratemos de ver la cuestión desde los tres pilares sobre los que se apoya cualquier estrategia asociada a las tecnologías de la información: Personas, Tecnologías y Procesos.
Desde el punto de vista de las personas, es notable que en algunos medios, hay quienes consideran un héroe a la persona que produjo las filtraciones; sin duda, una gran motivación -quién no desearía ser elevado en consideración por encima de sus pares, y mucho más aún a una categoría tan honorable y tan poco común en nuestros días-.
Ahora bien, desde el punto de vista de la seguridad de la información, ¿qué diferencia existe entre la conceptualización de héroe que se le da a esa persona, y la que se le da en el día a día a quien, por ejemplo, descubre la forma de evitar una política corporativa para instalar una aplicación prohibida, distribuyendo esta información entre sus más allegados? En definitiva, la motivación psicológica pareciera ser muy similar, y por cierto no es la única que podríamos describir si analizamos qué tipo de situaciones podrían presentarse alrededor de la violación de políticas, procesos y procedimientos asociados a la seguridad de la información.
Bien lo estudió hace ya varios años Michel Foucault: todo poder engendra contra-conductas y resistencias; y si bien esto no es evitable, al menos es bueno estar advertidos, y tomar precauciones.
El castigo por sí solo no es una forma útil de luchar contra las resistencias. Puede funcionar para algunos durante algún tiempo, pero aplicar un castigo también tiene sus consecuencias negativas, a menos que las políticas violadas hayan sido previamente y universalmente aceptadas, lo cual es visto entonces como justicia.
Sin duda, la mejor estrategia es convencer, lo cual está directamente relacionado con comunicar y negociar. No creo que puedan existir estos tres conceptos por separado, y no conozco ningún caso en los que la aplicación de unos sin los otros haya funcionado sostenidamente en el tiempo.
¿Qué porcentaje del tiempo dedicamos a comunicar las razones que nos llevan a implementar determinadas políticas y normas relacionadas a la seguridad de la información, entendiendo las opiniones, necesidades y puntos de vistas de los usuarios de esas políticas?
Obtener el compromiso de la gente requiere de un esfuerzo mayor al que conduce a redactar y publicar documentos con políticas de seguridad, pero es imprescindible si queremos garantizar que esas políticas tengan un impacto positivo y duradero en la organización. Y en el mismo sentido, determinar qué personas son las más aptas para desarrollar cada función en una organización, más allá de las cuestiones netamente técnicas, se transforma en una ventaja competitiva cuando advertimos los beneficios que ofrece el enfoque estratégico de estas cuestiones.
Desde el punto de vista de la tecnología, pareciera que el tema se reduce a algún tipo de análisis de costo versus beneficio o de retorno de la inversión, en función del cual se determinaría qué tanto es justificable invertir en función de lo que se desea proteger y su valor para la organización.
Convengamos que en función de los niveles de riesgo que se observan habitualmente en el promedio de las empresas de la región, la sola realización de ese tipo de análisis en las organizaciones implicaría un gran avance respecto a la situación actual. Sin embargo, con eso no basta: invertir en tecnología y asegurar que esa inversión está alineada al negocio de la organización, es solamente una parte del problema; también es necesario entender de qué forma es mejor aplicar esas inversiones para obtener el mayor beneficio tecnológico posible.
Por poner un ejemplo sencillo y abrumadoramente habitual: se implementan soluciones tecnológicas para el filtrado de contenido prohibiéndose todo tipo de acceso a sitios de redes sociales desde los equipos corporativos, mientras que los usuarios hacen usos de esos sitios, en el trabajo, desde sus teléfonos personales o smartphones. Conclusión: no solamente no se logra el propósito de impedir el acceso, sino que se pierde la oportunidad de controlarlo.
Es decir, que se puede presentar la situación en la cual la tecnología puede ser efectiva, la inversión justificada y el propósito correcto, sin que la eficacia y eficiencia en la aplicación de la tecnología sean óptimas.
En general, este tipo de divergencias se originan ya sea en un análisis de situación no realista, que puede estar basado a su vez en un desconocimiento de la situación actual, o bien en una evaluación incorrecta de los riesgos a futuro. Recordemos que en la certificación CISSP se definen como criterios de evaluación del riesgo la probabilidad y el impacto de las amenazas, pero también la certeza que se tiene sobre las mediciones y estimaciones, es decir, que la confianza sobre la información que se utiliza para tomar decisiones no es un tema menor.
Quizás el mejor consejo que pueda ofrecer en este punto, es pedir ayuda a tiempo. Nadie conoce mejor que usted el negocio de su organización, pero muchas veces una empresa ofrece muy pocas oportunidades de implementar tecnologías y políticas de seguridad, mientras que hay quienes se dedican principalmente a este tipo de actividades, obteniendo experiencias diversas y valiosas al momento de tomar el camino óptimo hacia los objetivos organizacionales. Es cierto. No existen formas conocidas de garantizar el éxito, pero desde el punto de vista del análisis del riesgo, es preferible apoyarse en expertos, que hacer el intento de equivocarse solo.
Por último, cuando se analiza una cuestión desde el punto de vista sistémico y sus procesos asociados, se entiende que detrás de cada error existe un proceso mejorable, y es hacia ahí donde deben enfocarse los principales esfuerzos.
La seguridad de la información posee un marco definido y probado para la gestión integral de los aspectos principales que la conforman (Confidencialidad, Integridad, Disponibilidad), que es el sistema de gestión definido por la norma ISO 27001. Alrededor de este sistema de gestión, es posible aplicar e integrar otras normas y recomendaciones sobre aspectos específicos como la continuidad del negocio, el gobierno de TI o la gestión de servicios de TI, por nombrar solamente algunas, pero sin duda, el marco de referencia que ofrece ISO 27001 es lo suficientemente completo como para que su implementación a nivel organizacional requiera de varios años hasta alcanzar su madurez.
La clasificación de la información y la aplicación de controles son ejemplos de lineamientos que necesitan ser traducidos en prácticas particulares para cada organización, e incorporados en la cultura para que sus efectos sean duraderos y máximos en función de los recursos y los objetivos planteados.
No está de más señalar que si dijimos que para la implementación de políticas de seguridad era necesario el compromiso de los usuarios, al hablar de procesos y sistemas de gestión es necesario que el primer órgano comprometido con su implementación, sea la Alta Dirección de la organización. Idealmente, antes de escribir el primer renglón de una política, proceso o procedimiento relacionado a la seguridad de la información, sería necesario enfocar todos los esfuerzos en conseguir el compromiso (y su materialización) de los niveles directivos más altos de la organización.
Quizá las dos formas más evidentes y directas en que se demuestra el compromiso en los niveles directivos sean la asignación de recursos y el ejemplo. ¿Qué duda puede caber sobre la urgencia de contar con los recursos necesarios para llevar adelante cualquier tipo de proyecto? Sin embargo, muchas veces menospreciamos el poder que dar el ejemplo tiene sobre una organización. Las figuras directivas definen los límites de lo posible no solamente a través de las políticas de seguridad que firman, sino también de sus propios dichos y acciones.
Como gerente, ¿toma usted los recaudos mínimos de un buen hombre de negocios? ¿Utiliza los criterios de análisis de riesgo para la toma de decisiones? ¿Qué importancia le da a la continuidad del negocio? ¿Participa activamente de las actividades de concientización?
Tratemos de analizar el conflicto mencionado al inicio a la luz de las consideraciones que volcamos en este artículo: ¿cuál era el compromiso de quienes filtraron la información? ¿Qué tecnologías estaban en funcionamiento para impedir que esto ocurriese? ¿Existía un análisis de riesgo que regulara la aplicación de esas tecnologías? ¿Qué procesos, procedimientos y controles se encontraban implementados? Para muchas de éstas y otras preguntas quizá nunca obtengamos la respuesta, pero si la primera reacción difundida es la creación de un órgano dedicado al control de la información, creo que cada uno podrá sacar sus propias conclusiones.
En el ámbito de las empresas, también cabría preguntarse: ¿cuántas veces actuamos luego de que se presentan los incidentes? ¿Qué tan proactivos somos al momento de prevenir? ¿Qué tanto más positivos podríamos ser para el negocio si actuáramos antes, y no después, de un incidente?
En definitiva, la fuga de información es consecuencia de muchos factores: a veces es un medio para otros fines, a veces es un indicador de otros riesgos potenciales más severos, pero siempre es una indicación de una falla sistémica en distintos niveles de la organización. También es cierto que hay quienes persiguen otro tipo de beneficios a través de acciones que violan las políticas de seguridad, como por ejemplo, económicos, que parecerían más difíciles de prevenir.
En cualquier caso, la combinación de técnicas, herramientas y sistemas de gestión que integren enfoques desde el punto de vista de las personas, los procesos y las tecnologías, ha probado ser el método más efectivo hacia lo mejor que podemos aspirar en cuanto a la seguridad de la información: reducir el riesgo a un mínimo aceptable para la continuidad y el crecimiento del negocio de la organización.
CIO, Perú