domingo, 26 de septiembre de 2010

Bases de datos: ¿inseguras?. Algunas reflexiones básicas

Recientemente la Independent Oracle Users Group's (IOUG) (ver referencias) liberó un estudio realizado con 430 de sus miembros sobre la seguridad en los datos, donde se revelan cinco puntos claves que muestran porqué falla la seguridad en las bases de datos. Los cinco puntos son:

1. Las organizaciones no saben aún donde residen sus datos sensibles
2. El monitoreo de la seguridad sigue siendo aún irregular y no sistemático
3. Los usuarios privilegiados se siguen ejecutando sin un adecuado control y seguimiento
4. Los parches en las bases de datos se despliegan y aplican lentamente
5. Existe un evidente retraso en la aplicación de técnicas de cifrado sobre las bases de datos

Cuando se advierten estas cinco conclusiones sobre la seguridad de la bases de datos, encontramos que son situaciones que en la mayoría de ellas se encuentran asociadas con ineficientes prácticas de seguridad de la información que exponen la información y a la organización a posibles fallas o vulnerabilidades que pueden ser explotadas tanto por atacantes internos como externos.

El estudio afirma que las organizaciones no saben donde residen sus datos sensibles. Esta es una realidad en muchas empresas a nivel internacional, la cual se manifiesta en una inadecuada o inexistente clasificación de la información. Esto es, que las corporaciones no se toman el tiempo para adelantar el análisis de riesgos propios de los flujos de información en sus negocios, de tal manera que puedan identificar aquella información que por su confidencialidad requiera niveles de protección diferentes a las demás.

Esta situación se agrava aún más cuando las prácticas de seguridad de la información no son constantes, lo que lleva a una aplicación sistemática de comportamientos inapropiados con la información que pueden ser, ingenuos por el desconocimiento del nivel de confidencialidad de la información o definitivamente intencionales, sabiendo que por la ausencia de controles e indefiniciones frente al tratamiento de la información, es posible filtrarla con la complicidad de un limitado seguimiento y control propio de los participantes en los procesos de la compañía.

Lo anterior confirma la segunda conclusión del estudio: el monitoreo sigue siendo irregular e inconstante. La seguridad de la información cuando se traduce en una inestable y débil gestión de reconocimiento de la inseguridad en los procesos de negocio, allana el camino para la materialización de incidentes de seguridad con consecuencias inesperadas, dado que no se conoce el alcance ni impacto de cada uno de los componentes del proceso y su interrelación con las otras áreas de negocio.

Esta situación, exige de las organizaciones modernas, la incorporación de prácticas de control interno, que le permitan afianzar el reconocimiento de los riesgos en el tratamiento de la información para así, hacer de ciclo de vida de la información, una experiencia conocida y apropiada por todos y cada uno de los colaboradores empresariales.

Ya la tercera conclusión, sobre la falta de monitoreo de los usuarios privilegiados es un llamado de atención al sistema de control interno informático de las organizaciones. Mientras los administradores de las bases de datos, así como los administradores de servidores o dispositivos de telecomunicaciones, mantengan su hálito de “intocabilidad” por su clara función crítica en el funcionamiento de los sistemas informáticos de las organizaciones y no se acojan a las prácticas de seguridad y control, que exige básicamente la trazabilidad de sus operaciones, así como la aplicación de guías de aseguramiento de cada uno de sus dispositivos, mantendremos una gestión parcial de seguridad que podrá ver claramente lo que los usuarios desarrollan en las aplicaciones, pero una vista borrosa e inexacta de lo que los usuarios privilegiados aplican o ejecutan sobre los componentes básico de la infraestructura computacional de las empresas.

Hablar de parches y aplicación de los mismos es hablar de una operación de cirugía de alta precisión, pues esto implica conocer muy bien las aplicaciones y la manera como ellas funcionan en los diferente servidores. Cuando de aplicar un parche se trata, se hace necesario establecer una “ventana de tiempo” para que en un ambiente controlado y donde las aplicaciones no estén funcionando, se pueda instalar éstos y ver los comportamientos de la máquina y del software base, así como de las aplicaciones. Estas últimas son las que ante una actualización pueden dejar de funcionar o hacerlo de manera errática, lo cual implica un trabajo conjunto con los líderes funcionales de éstas con el fin de asegurar que la solución sigue funcionando como se tiene previsto.

Aplicar un parche, no es instalar un archivo ejecutable en un servidor y esperar a que se termine su realización; es todo un procedimiento formal en la organización donde participan tanto el área de tecnología de información como el área de negocio, para asegurar que las condiciones y acciones requeridas para que el proceso de actualización se dé y que ante cualquier eventualidad se tienen previstos los mecanismos de “vuelta atrás” y respaldos, que permitan mantener la operación y excepcionar si es necesario, la aplicación del parche en la máquina. Es claro que una situación como la anterior, exige de la organización una revisión de la aplicación afectada, con el fin de evaluar y revisar su código para ver alternativas de afinamiento según se requiera.

Finalmente el estudio nos habla sobre el uso de las técnicas de cifrado, las cuales son ampliamente conocidas y las cuales cuentan con aplicaciones de implementación tanto en bases de datos como en aplicaciones, con el fin de asegurar la confidencialidad en el tratamiento de la información en los diferentes escenarios en los que la información fluye.

El uso de cifrado de la información en las bases de datos o en sobre cualquier información bien sea en servidores de alto desempeño o en dispositivos móviles, lleva consigo un impacto en desempeño propio de la aplicación de los algoritmos utilizados. Mientras la operacionalización de las técnicas de cifrado se apalanquen en el uso intensivo del procesador, siempre habrá un costo base en el tiempo de respuesta, que estará disminuido en la manera como cada implementador del algoritmo lo desarrolle. Así las cosas, en las bases de datos conocidas este es un costo que debe ser considerado en el momento del diseño de la seguridad de la misma, siempre y cuando esta fase, haga parte de la puesta en operación de un sistema manejador de bases de datos.

Las conclusiones del estudio realizado por la Independent Oracle Users Group's (IOUG), demuestran una vez más que la seguridad de la información aún continua siendo una realidad “externa” a la gestión propia de la tecnología de la información en las organizaciones, lo cual genera el escenario ideal para que la maestra inseguridad encuentre nuevas razones para mostrarnos que mantiene su posición vigilante ante nuestra inconstancia y falta de aseguramiento de acciones preventivas que nos permitan anticiparnos a las lecciones propias de la fallas de seguridad.

En consecuencia, debemos reconocer que si queremos, podemos aumentar la predictibilidad de la operación de las tecnologías de información, no sólo desde las buenas prácticas de seguridad inmersas en los procesos de negocio, sino dentro del colectivo cultural y social de los participantes de la empresa, quienes son los que al final del día hacen la diferencia en la gestión de la seguridad de la información.

Referencias:
http://www.darkreading.com/shared/printableArticle.jhtml?articleID=227500653
http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

domingo, 5 de septiembre de 2010

Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad

Son muchas las estrategias que hoy por hoy los responsables de la seguridad de la información intentan para persuadir a la alta gerencia con su discurso de protección de activos, las cuales van desde cuantificación de la materialización de las vulnerabilidades, análisis de impactos por pérdidas de imagen e implicaciones económicas de alguna sanción por algún incumplimiento normativo. (BAYUK 2010, pág.4) En este contexto, los ejecutivos de la seguridad de la información, buscan de alguna manera integrar sus planes en la agenda estratégica de la compañía para hacerse visible, no sólo por las consabidas brechas de seguridad que tarde o temprano se presentarán en la empresa, sino como elemento crítico para apalancar las ventajas competitivas de la corporación.

En este sentido, se advierten en la realidad de los programas de seguridad de la información elementos como incorporación de mejores prácticas, análisis beneficio-costo, historias o anécdotas en otras empresas del sector o estudios de referenciación que revisan la función de seguridad de la información en el contexto de los costos organizacionales y el personal requerido para dar cumplimiento al desarrollo de los habilitadores de riesgo y cumplimiento normativo, que no es otra cosa que apalancar las funciones de control interno o aseguramiento de los flujos de información de negocio de la empresa.

Así las cosas, los responsables de seguridad de la información saben que su integración con la estrategia corporativa, no depende exclusivamente de cómo los mecanismos tecnológicos de seguridad se comportan en las diferentes unidades de negocio (valga la pena aclarar, que deben funcionar de acuerdo con lo previsto y acordado con las áreas), sino de cómo alinear sus esfuerzos para hacerse una distinción transversal en la compañía, embebida en la cultura de los negocios, articulado con los sistemas de gestión organizacional y reconocidos por los terceros o grupos de interés en su relación comercial y estratégica.

Sobre este particular un reciente estudio realizado por KAYWORTH, T. y WHITTEN, D. (2010) advierte: “(…) la falta de integración entre el grupo de seguridad de la información y los negocios resulta en una política de seguridad y presupuestos que no reflejan las reales necesidades de la organización. En este contexto, la seguridad de la información tiende a ser reactiva, las decisiones de inversión se mueven por prioridades de corto plazo más que estratégicas o de largo plazo, recibiendo muy poca atención por parte de los ejecutivos de la empresa.(…)”.

Este resultado no nos sorprende, pues lo que hace es ratificar lo que de múltiples formas ha venido ocurriendo hace algunos años, donde la seguridad de la información se confunde con implementación de tecnologías de seguridad, haciendo de esta última distinción, una marca que generalmente tiene alta gerencia de lo que es esta función. Adicionalmente podemos agregar que esta percepción técnica generalizada de la seguridad, es también de nuestra propia práctica, que orientada por los nuevos desarrollos tecnológicos, nos dejamos tentar sin considerar, en algunos casos, los impactos de éstas en los negocios de la empresa. Podríamos decir que los altos ejecutivos de la empresa ven al área de tecnologías de la información y por ende, a la de seguridad de la información, como la sección de la inversión en “juguetes novedosos y costosos” que buscan generar un poco de más confianza en las operaciones de la empresa, pero no mayor valor para el negocio.

En consecuencia, la transformación y renovación de esta percepción de la alta gerencia en los seguridad de la información debe pasar no solamente por una estrategia tecnológica, sino social y cultural que implique una distinción complementaria de los riesgos en los activos de información de la empresa. Es decir, desarrollar un liderazgo de alto nivel sobre la protección de los activos, como parte de la práctica gerencial de la empresa, una visibilidad ejecutiva de la seguridad en los comités directivos y una cultura de seguridad de la información anclada en los supuesto propios de la empresa, que no solamente la perciba como algo que existe en el exterior, sino que se construye y vive en su interior.

Para lograr, lo propuesto en el párrafo anterior, no se requiere amplios esfuerzos en estrategias de gestión del cambio, sino articular tres elementos fundamentales detallados en el estudio de KAYWORTH, T. y WHITTEN, D. (2010) que son:
  • Balancear el aseguramiento de los activos de información con la necesidad de apalancar el negocio
  • Mantener el cumplimiento
  • Asegurar la alineación cultural

En este sentido, dicen los autores que se podrá desarrollar una estrategia efectiva de seguridad de la información que permita a los ejecutivos de la empresa salir de las “historias de horror y miedo” (concepto acuñado por BAYUK 2010) de la seguridad (como son los incidentes de seguridad), para entrar en la etapa del reconocimiento estratégico del valor de la seguridad de la información, como una forma de comunicarse con sus grupos de interés y los mismos procesos de negocio, y asegurar que la información que fluye entre las diferentes áreas, está disponible, controlada, gobernada y ágilmente procesada para que las metas de la organización se transformen en realidades evidentes y visibles tanto para los accionistas como para sus empleados.

Comprender la función de seguridad de la información como una forma de apalancar la manera como la empresa genera valor y lo comunica a sus clientes y demás interesados, debe llevar a los responsables de la seguridad de la información a cuestionarse sobre el enfoque de su estrategia de seguridad de la información más allá del aseguramiento de los perímetros porosos, de las acciones proactivas de identificación y manejo de vulnerabilidades, de los programas de sensibilización e interiorización de la seguridad y de la misma estrategia de cumplimiento legal y normativo, para reenfocar las conversaciones sobre la seguridad de la información más en términos de logros y servicios de apoyo a las estrategias de negocio, que en los componentes de tecnología que los hicieron posibles.

De otra parte, los responsables de la seguridad de la información, sabiendo que es fundamental mantener la segregación funcional con sus pares de la seguridad informática, deben comprender que su trabajo no termina cuando una tecnología de seguridad se instala y asegura lo que ha prometido, sino que allí debe iniciar la construcción de la nueva distinción de seguridad de la información, más allá de la técnica puesta en operación, sino en la percepción de la confianza y aseguramiento de los activos de información que entregue y comunique el valor mismo de la estrategia de la compañía en el proceso de negocio, que haga evidente una experiencia útil y estratégica tanto para los clientes como para el proceso.

Dicho lo anterior, los profesionales de la seguridad de la información no deben hacer cumplir de manera inflexible las reglas y estándares propios de los sistemas de gestión de la seguridad de la información, sin comunicar en el lenguaje del negocio, el porqué estas existen y cómo se articulan con el hacer mismo de los procesos de la empresa. Por tanto, la comunicación del valor de la seguridad de la información en un contexto estratégico y táctico, se centra en las personas, sus habilidades, actitudes y las manera como ellas interactúan con el resto de las áreas y sus procesos, y cómo las prácticas de protección de los activos de información son parte de su manera de actuar y hacer.

Si bien las consideraciones técnicas de la seguridad de la información se deben asegurar y funcionar conforme lo que se tiene previsto para hacer realidad, una percepción de la seguridad de la información requerida en los procesos de negocio, el lenguaje que se utilice para insertarla en la comunicación del valor para los negocio, deberá ser el más adecuado y ajustado con las prácticas de los negocios y las metas corporativas. El área de seguridad no debería hablar de sus “clientes”, como sino fuese parte del negocio mismo; más bien, debe ser alguien que acompaña y se hace parte del proceso como colega o par que aprende junto con aquello que genera valor, para hacerlo diferente y novedoso, comunicando y cumpliendo su promesa de valor de apalancar los resultados de la empresa de manera confiable.

Los responsables de la seguridad de la información que quieran avanzar en una estrategia efectiva de seguridad de la información, no deberán descuidar los diferentes elementos mencionados en esta reflexión, sabiendo que en un entendimiento sistémico de la realidad de la organización podemos mejorar día a día el entendimiento de la inseguridad de la información en los procesos de negocio y descubrir, en la puesta en práctica del programa de seguridad de la información, que la seguridad perfecta no existe y que caminamos “en medio de la noche” con una luz encendida: un monitoreo proactivo.

A continuación el detalle de los tres mecanismos de administración de riesgos para una efectiva estrategia de seguridad de la información sugerida por KAYWORTH, T. y WHITTEN, D. (2010):

Mecanismos de integración organizacional
• Estructuras organizacionales formales
  • Unidades organizacionales responsables de la seguridad de la información
  • Existencia de un ejecutivo responsable de la seguridad de la información
  • Función de auditoría interna
• Estructuras de coordinación
  • Comité directivo de seguridad de la información
  • Enlaces de seguridad de la información (oficiales de seguridad de la Inf.)
  • Separación entre seguridad de la información y seguridad informática
• Coordinación de procesos
  • Enfoque de seguridad de la información Top-Down
  • Seguridad de la información embebida en los procesos críticos de la organización
  • Aplicación flexible de estándares uniformes

Mecanismos de alineación social
• Culturales
  • Programas de sensibilización e interiorización en seguridad de la información
  • Desarrollo de redes informales de aliados estratégicos de la seguridad de la información
  • Desarrollo mentoría y asesoría en seguridad de la información para las áreas de la empresa
• Liderazgo
  • Compromiso ejecutivo basado en el reconocimiento de la información como un activo clave de la organización.

Competencia Técnica (El detalle propuesto en este tema es aporte del autor del blog y no hace parte del artículo original mencionado previamente)
  • Continuidad de Tecnológica
  • Control de acceso
  • Integridad de la información
  • Cumplimiento legal y normativo
  • Gobierno de la seguridad de la información

Referencias
KAYWORTH, T. y WHITTEN, D. (2010) Effective information security requires a balance of social and technology factors. MIS Quarterly Executive. Vol.9, No.3. September.
BAYUK, J. (2010) Enterprise security for the executive. Setting the tone from de top. Praeger.