domingo, 23 de mayo de 2010

Inversión en seguridad de la información: Volver a los principios

Recientemente se ha publicado un estudio del Instituto Ponemon sobre el estado de la seguridad en las aplicaciones web, donde muestra con claridad que se avanza poco en esta área tan crítica para las organizaciones en la actualidad. Sin embargo, llama la atención el estudio de la inversión en seguridad de la información que se presenta como parte de este reporte, que nos recuerda un ejercicio similar realizado por Peter Kuper en 2005 y publicado por el IEEE Security & Privacy en el mismo año.


Si las coincidencias no existen, estos dos reportes parece se han puesto de acuerdo en sus resultados. La diferencia de 5 años en su publicación y sus diferentes autores, nos dicen que algo está ocurriendo con los temas relacionados con la inversión en seguridad de la información. Es posible que los costos asociados con la infraestructura de seguridad de la información se han venido incrementando y la tendencia se mantiene, ó no hemos cambiado el foco de atención en los últimos 5 años en las prioridades de la seguridad de la información.


Tomado de: KUPER 2005


Si revisamos los resultados del estudio de KUPER, según sus análisis en 2005, la inversión en seguridad de la información se concentraba en el perímetro, donde se encuentran las cajas “anti” de la seguridad: antispam, antyspyware, antivirus, las cuales hoy por hoy son parte natural de las infraestructuras de seguridad de las organizaciones. De igual forma, los temas de redes y aplicaciones se consideraban en menor cuantía, dejando relegada la inversión en los temas de los datos. Parece increíble que la razón de ser de la seguridad no tuviese la mayor prioridad en la inversión. Sin embargo, luego de consultar a varios especialistas en el tema se dice que “si se atiende el segmento perimetral, mucho se avanza en la protección de los datos”, de no ser así la situación fuese peor.


Considerando lo anterior y las reflexiones de los especialistas parece que la dinámica interna de las organizaciones no se encuentra en el radar de prioridades, pues el atacante interno, uno de los principales protagonistas hoy en las organizaciones, parece estar desatendido y muchas veces subestimado. Basta con revisar las estadísticas de fuga de información que se han presentado durante este año, para ver que este fenómeno sigue ganando fuerza y afectado la imagen de las organizaciones modernas. Así las cosas, las inversiones perimetrales, si bien son necesarias y requieren su afinamiento, no es posible descuidar la fuerza, ni la dinámica de los datos en los procesos y flujos de información en los negocios, donde las personas son los principales protagonistas.


Tomado de: PONEMON INSTITUTE 2010


En este sentido, cuando revisamos los resultados del Instituto Ponemon, vemos que la seguridad de los datos, si bien ha avanzado en las inversiones de seguridad, la infraestructura es la “reina” que continúa mandando en los presupuestos de las áreas de seguridad. Los datos y la información de las empresas son la materia prima que los negocios del siglo XXI demandan para hacer la diferencia. Si este insumo fundamental no cuenta con las características mínimas de integridad, confidencialidad y disponibilidad, habrá una ola masiva de desconfianza que no permitirá elaborar y concretar relaciones estratégicas de largo plazo que comuniquen el valor a la gerencia y sus grupos de interés.


La seguridad de la información no se trata de medios, sino de fines. Se trata de principios y no de medios tecnológicos; es una reflexión, que centrada en las personas, nos permite entender las relaciones de confianza que se deben crear alrededor de los procesos de negocio, en los cuales la información y datos correctos, se entregan a las personas correctas. Es una dinámica de formalidad en el uso de la tecnología como habilitador de la acción, sustentada en una cultura de seguridad de la información, que no es otra cosa que un hábito consecuente y reiterado, que le dice a persona lo valioso de la custodia de los datos y la consistencia en la generación de la información.


No podemos avanzar en un fortalecimiento de la seguridad de la información sino nos concentramos en los principios. La tecnología evoluciona, las personas de igual forma, pero los fundamentos permanecen. Así las cosas, que cuando volvamos a revisar nuevamente el avance de la inversión en seguridad de la información, prevalezca la esencia del aseguramiento de la información y no las modas y procesos evolutivos de la tecnología, que si bien son necesarios y claves para el desarrollo de las estrategias de protección, nunca reemplazarán al eslabón más débil de la cadena y fin último de la seguridad: La gente.


Referencias

KUPER, P. (2005) The state of Security. IEEE Security & Privacy. Septiembre/Octubre.

PONEMON INSTITUTE (2010) The state of Web Application Security. Disponible en: http://www.imperva.com/ld/ponemon_web_application_security.asp

domingo, 9 de mayo de 2010

Inseguridad de la información: Confusión de fines y perfección de medios

Recientemente revisando el libro de Chris Lowney, denominado “Vivir Heroicamente” se identifica una frase que claramente describe una estrategia para comprender la dinámica de la seguridad de la información en los últimos diez años: “Albert Einstein observaba que nuestra era podía describirse acertadamente como una en la que hay "perfección de medios" y una "confusión de fines”.

Durante esta primera década del siglo XXI los encargados de la seguridad de la información han confundido los fines de la seguridad con los medios para alcanzarla. Prueba de ello, es la preponderancia que ha tenido la tecnología sobre las personas y los procesos organizacionales. Si bien, se ha observado claramente iniciativas que privilegian la formación de individuos en los temas de seguridad de la información, la magia de las tecnologías de seguridad de la información ha ocupado a la industria, particularmente en el aseguramiento de los perímetros tecnológicos de las empresas, ahora más porosos que antes.

En este sentido, se observa un amplio perfeccionamiento de las tecnologías, haciéndose más sensibles y afinadas con los cambios dinámicos del ambiente y con mayores índices de efectividad frente a las nuevas amenazas y fallas. Sin embargo, el fin último del aseguramiento de la información nos se percibe, ni se avizora como se quisiera tanto en las organizaciones como en las personas.

Las empresas al transformar los medios (las tecnologías de seguridad) en los fines de la estrategia de seguridad de la información, confunden y desdibujan los esfuerzos sistémicos para comprender la inseguridad de la información en la dinámica de la empresa, privilegiando las fallas de seguridad de las máquinas, perdiendo el horizonte de experiencias y expectativas de las acciones y hábitos cotidianos de las personas.

Al privilegiar los medios sobre los fines, la inseguridad se apodera de la arrogancia del analista de seguridad para demostrarle que sus “fierros tecnológicos” sólo representan una parte de su ecuación y que tarde o temprano deberá reconocer que no ha visto el bosque y que los solos árboles no tienen la respuesta al desafío del aseguramiento de la información.

Cuando el analista de seguridad entiende que el fin último es el aseguramiento de la información en la realidad de la persona (como prácticas) y procesos de negocio de las empresas (sistemas de gestión y control), la inseguridad advierte la activación de la inteligencia estratégica que se inicia para desentrañarla de los diversos escondites, de sus diferentes máscaras y disfraces, que si bien no logrará conocerlos todos, si tendrá las bases o patrones para continuar avanzando en el reconocimiento de ésta.

Cuando los responsables de la seguridad de la información se concentran apasionadamente en los fines de la protección de la información, se activa la destrucción creativa que desequilibra a la inseguridad; se reinventan de manera continua la seguridad y se desvanece la “falsa sensación de confianza” que ocupa a los conformes y tradicionalistas de la seguridad, que entienden ésta como medio y no como fin.

Si queremos alcanzar un resultado evidente en la gestión de la inseguridad de la información, debemos entender la brecha entre nuestra realidad y la visión deseada, para construir de esta forma, una ruta de medios ajustados con la exigencia de la inevitabilidad de la falla y la pasión por un fin, que no es otra cosa que “sobreponernos a nosotros mismos, levantar a quienes nos rodean y potenciar nuestros talentos y dones” y así poder responder con oportunidad, cuando nuestra maestra “la inseguridad” nos presente una nueva lección.

Referencias
LOWNEY, C. (2010) Vivir heroicamente. Ed. Norma.