domingo, 11 de julio de 2010

Métricas en Seguridad de la Información: Un reto permanente

Hablar sobre métricas en seguridad de la información, es actualizar una reflexión permanente que está en la agenda de los ejecutivos de seguridad. Las métricas, necesarias para evidenciar la gestión de los profesionales de seguridad frente a los temas de aseguramiento de infraestructura, pero no suficientes para dar respuesta al interrogante: ¿qué tanto hemos mejorado nuestra seguridad con respecto al año anterior?

El Dr. Hyden afirma en su libro que “medimos la seguridad para entender la seguridad”. Parece una afirmación algo simple, pero desafiante y exigente para llevarla a la práctica. En la medida que recolectamos datos sobre la seguridad, con un contexto, con un objetivo, sabiendo lo que queremos hacer con ellos, poco a poco se nos revelará aquello que queremos conocer y detallar. Podemos tener grandes reportes con datos y vulnerabilidades identificadas, los cuales carecerán de sentido si no sabemos qué es aquello que nos queremos responder y atender, para continuar nuestro viaje al corazón mismo de la inseguridad en las diferentes relaciones entre personas, tecnología y procesos.

Continúa comentando el académico mencionado previamente, que “el real beneficio de las métricas se revela cuando los datos que se representan llevan a actividades con sentido para la organización, acciones que soporta objetivos y apalancan retos en la empresa”. En este contexto, el valor de las métricas se percibe y se potencia, sólo cuando somos capaces de expresarlas en el lenguaje del negocio y la hacemos parte de la manera como la misma corporación genera valor en su entorno.

Así las cosas, las métricas en seguridad son valoraciones altamente riesgosas, pues al comprender mejor algo que previamente no se conocía, se genera un mayor conocimiento de la situación y su correspondiente responsabilidad y obligación para actuar en conformidad. En este escenario, recolectar información sobre las diferentes variables el programa de protección de la información es comprender por qué se recogen y las decisiones que se tomarán soportadas en ella.

Considerando lo anterior, el desarrollar un programa de métricas en seguridad exige declarar las limitaciones propias de este ejercicio y la comprensión de variables con cambios constantes, incertidumbre y riesgo, que en otras industrias como los seguros, la manufactura y los diseños se manifiestan con la misma intensidad. De acuerdo con lo que presenta el Prof. Hyden en su libro, se advierte al menos tres lecciones sobre las métricas de seguridad en estas industrias a saber: (HYDEN 2010, pág. 20, 21 y 22)

Lección No.1 Sus métricas de seguridad y las subsecuentes decisiones derivadas de la administración de riesgos, mejorarán su seguridad, tanto como su capacidad para recolectar, analizar y entender los datos relacionados con la operación de la seguridad. (Seguros)

Lección No.2 La seguridad es un proceso de negocio. Si usted no está midiendo ni controlando el proceso, usted no estará midiendo ni controlando la seguridad. (Manufactura)

Lección No.3 La seguridad es el resultado de una actividad humana. Un programa efectivo de métricas en seguridad tratará de entender las personas tanto como la tecnología. (Diseños)

Hyden define la medición como el acto de juicio o estimación de las calidades de algo, a través de la comparación con algo adicional. Mientras las métricas, como los estándares de medidas. En este sentido, no son las métricas las que son sensibles en sí mismas, pues responden a hecho concretos sobre aspectos de la seguridad de la información que requieren ser revisados, sino las mediciones que se derivan de ellas, es decir las valoraciones que se efectúan sobre las métricas las cuales son juicios de valor humanos frente a referentes que deberán ser los más adecuados con la realidad de la empresa y su entorno competitivo.

Considerando lo anterior, Jaquith (2007, pág.30) confirma que si bien se establece un sistema de métricas basado en estándares como el ISO 27001 es un reto interesante, no es lo más adecuado dado que las mediciones asociadas con éste, estarán focalizadas en aspectos que son auditables y requerimientos de control, más que en la incorporación de las prácticas mismas; estará muy sesgada por criterios subjetivos de valoración, dado que se requiere definir qués y cómos propios con la dinámica de la organización y sus estructuras de negocio, y finalmente, las métricas se enfrentarán al problema de la valoración, las cuales el mismo estándar no ofrece orientación al respecto.

De manera complementaria Brotby, establece en su publicación que “se mide para poder administrar”. Esto es, negociar un conjunto de recursos, acordar unos comportamientos requeridos y rendir cuentas. En consecuencia para determinar la información requerida para medir y monitorear un proceso de seguridad se requiere dar respuesta al menos a las siguientes preguntas: (BROTBY 2009, pág.73)
1. ¿Qué es lo que será administrado?
2. ¿Cuáles son sus objetivos?
3. ¿Qué decisiones se deben tomar?
4. ¿Qué información es requerida para tomar dichas decisiones?
5. ¿Qué procesos pueden proveer la información requerida?

Los tres autores coinciden en que las métricas en seguridad de la información son acuerdos propios de las organizaciones en los cuales las buenas prácticas y/o estándares nos permiten comprender la brecha que tenemos frente a los ideales y no representan un ejercicio mandatorio o imprescindible para alcanzar modelos certificables frente a nuestra gestión de riesgos relacionados con la información.

El contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas, nos permite generar mayor visibilidad del programa de protección de activos de información, que el uso mismo de un estándar per se.

No queremos con esta reflexión insinuar o desvirtuar las grandes bondades de las prácticas de seguridad de la información disponibles a la fecha, sino más bien darles su debido lugar dentro de la exigente y constante manifestación de la inseguridad en cada uno de nuestros procesos organizacionales, como esos libros abiertos de sabiduría y consejo, que siempre están disponibles para continuar afinando nuestras acciones de tratamiento del riesgo y afinando nuestro olfato para enfrentar a la inseguridad de la información, haciendo de las mediciones una consecuencia de nuestro mejor entendimiento de esta realidad.

Referencias
HYDEN, L. (2010) IT Security metrics. A practical framework for measuring security & protecting data. McGraw Hill.
BROTBY, K. (2009) Information security management metrics. A definitive guide to effective security monitoring and measurement. CRC Press.
JAQUITH, A. (2007) Security metrics. Replacing fear, uncertainty, and doubt. Addison Wesley

lunes, 5 de julio de 2010

Innovación, Cambio y Estrategia: Tres elementos claves para potenciar la función de seguridad de la información

Durante estos días de múltiples noticias sobre balances de mitad de año, de revelación de indicadores de gestión, surgen muchas inquietudes sobre qué deben hacer las organizaciones para lograr lo que se han propuesto para este periodo de 365 días. En este sentido, luego de revisar tres libros, uno sobre innovación, otro sobre el cambio y un tercero sobre estrategia, se advierte con claridad que son estas tres palabras las que deben marcar el paso de todos aquellos que se atreven a hacer sus sueños realidad y que han decidido dejar una huella profunda en el mundo.

En este contexto, los responsables de la seguridad deberán hacer lo propio, pues la magia de la inseguridad de la información, como maestra de aquellos, nos recuerda a cada instante que debemos caminar por la ruta del desaprender, como requisito de la estrategia, la base para el cambio y la fuente de la innovación. Cada vez que nos enfrentemos al reto de la inseguridad, son los tres elementos antes mencionados los que deben animar nuestra reflexión para avanzar y desafiar los movimientos de nuestra maestra.

La innovación en seguridad de la información supone una mente creativa, que constantemente se pregunta el porqué de las cosas, nunca está satisfecha con las explicaciones de los proveedores y demanda de ellos, formas diferentes de enfrentar los retos de la inseguridad. De igual forma, busca de manera constante combinar dominios y fuentes de análisis, como la incorporación de prácticas de otras disciplinas como el derecho, la seguridad física, las matemáticas, las ciencias sociales, entre otras, pues sabe que allí encontrará elementos que le permitirán ver mejor o replantear el reto mismo de las fallas de seguridad. (Adaptado de: PONTI 2010, pág. 72 y 73)

Cuando somos capaces de innovar, de retirar nuestras propias autorestricciones y lanzarnos a experimentar las consecuencias de este acto, es posible liberar la energía potencial de ideas y acciones que la seguridad requiere para enfrentar a la inseguridad. Esta connotación, exige de los diseños organizacionales de la función de seguridad espacios seguros para pensar diferente y traducir en la práctica, empoderamiento de los profesionales del área y sobre manera mucha alineación con los objetivos de negocio, para que el impacto de lo que se proponga maximice su competitividad y la fuerza de la función de seguridad.

De otro lado, el innovar supone un cambio. Un cambio que debe estar apalancado en una movilización de esfuerzos alrededor de una visión compartida, que permita a la creatividad, encontrar terreno fértil para que sus semillas germinen. Mientras el responsable de la seguridad no sea el abono natural para pensar de manera diferente la seguridad de la información, ésta no estará en la zona de impacto que la organización necesita para ser diferente y hacer de sus procesos de negocio una zona confiable para gerencia y sus grupos de interés.

Cambiar, deja de ser un proceso de las organizaciones, para convertirse en una necesidad permanente de las mismas. El cambio generalmente se indica cuando se desarrolla una crisis, un momento de verdad. En seguridad de la información el cambio es una crisis permanente, gracias a que la inseguridad todo el tiempo está generando nuevas formas de hacernos ver que tenemos mucho que aprender. Así las cosas, el cambio en la función de seguridad de la información es una exigencia permanente que evita a toda costa la zona de confort para los profesionales del área y la tentación de “la falsa sensación de seguridad”.

Consolidar a la seguridad de la información como una ventaja competitiva de la organización, como un activo negocio que hace la diferencia, exige hacer de la práctica de seguridad un referente interno en la forma como comprendemos los riesgos de la información en los flujos de negocio, del conocimiento propio de nuestras limitaciones y de la habilidad para hablar el lenguaje de la dirección. Si esta consideración se inscribe en los planes de desarrollo de las áreas de seguridad de las empresas, otro será el futuro de los Chief Information Security Officers, pues no estarán buscando razones para justificar la importancia de la seguridad en los negocios, sino haciendo parte de la búsqueda de nuevos horizontes y escenarios de crecimiento de las corporaciones.

Pensar de manera estratégica, requiere tener una visión intuitiva e irreverente de lo que vemos y queremos de nuestro futuro. Bien se dice que planear, es lanzarnos a experimentar las corrientes inesperadas y propias de los vientos en las alturas como lo hacen las aves, pues de la misma forma en seguridad se exige que busquemos fuera del statu quo opciones y alternativas para disparar las rentabilidades de los negocios. La seguridad de la información más allá de un servicio, debe transformarse en una realidad de las expresiones y declaraciones de las juntas directivas, que vean en esta función un proceso de madurez organizacional, que crea estándares de industria que diferencia y posicionan a la organización más allá de sus propuestas de negocio.

Hablar de innovación, cambio y estrategia en seguridad de la información es declarar que estamos dispuestos a dar la batalla permanente y efectiva a la inseguridad de la información, que estamos atentos y alertas para conocer y confrontar las consecuencias de lecciones de las fallas, errores y vulnerabilidades de la tecnología y sobremanera, que nuestra decisión para alcanzar la madurez y evolución en el gobierno de la seguridad de la información, estará soportada en la visión estratégica, sistémica y de futuro que la organización quiere alcanzar.

Referencias
PONTI, F. (2010) Los siete movimientos de la innovación. Editorial Norma
HARVARD BUSINESS (2009) Surviving Change. A manager’s guide. Harvard Business Press.
HAX, A. (2010) The Delta model. Reinventing your business strategy. Springer Verlag