domingo, 23 de octubre de 2011

El fraude a través de medios tecnológicos. Más que predicciones, algunos pronósticos sobre su evolución


Introducción

Con frecuencia escuchamos hablar sobre el fraude, sobre como personas desarrollan actos intencionales o causados por omisión para engañar a otros, con resultados que generalmente terminan con una pérdida para alguien y una ganancia para un delincuente. El fraude es tan antiguo como la humanidad, la capacidad de traicionar, adulterar, falsificar, suplantar, de efectuar una acción con “dolus”, es decir, con ardid, treta o artimaña, está enraizada en cada una de los seres humanos en mayor o en menor medida, según su estructura de bienes libremente elegidos y su inclinación natural a lo menos bueno.

En ese sentido, tratar de establecer un patrón o perfil de los defraudadores pasa primero por identificar algunas situaciones que se presentan alrededor de las personas, que pueden llevar a la materialización de un fraude. Sin perjuicio de lo anterior, es importante anotar que los indicadores que se presentan a continuación son sencillamente una lista de consideraciones y alertas extraídas de las mejores prácticas internacionales, que generalmente han coincidido con una posterior ejecución de actividades ilícitas que terminan en apropiaciones de bienes tangibles o intangibles en las organizaciones y daños concretos en ellas.

Banderas rojas o alertas sobre el fraude

De acuerdo con la ACFE – Association of Certified Fraud Examiners, ésta son algunas banderas rojas (indicadores o alertas que pueden facilitar la materialización de un fraude) detalladas en su informe anual sobre el fraude a nivel global:

• Problemas de adicción (sustancias psicoactivas o problemas con el juego)
• Dificultades financieras o altas deudas personales
• Viviendo más allá de sus propios medios
• Divorcio reciente o problemas familiares (con los hijos, hermanos, etc)
• Problema legales pasados (no relacionados con el fraude)
• Irritabilidad inusual, sospechosa o defensiva
• Frecuentes reclamos acerca de pago de cuotas o préstamos
• Frecuentes reclamos acerca de la falta de autoridad
• Reusar o no busca alcanzar una promoción en la empresa
• Inusual asociación cercana con vendedores o clientes
• Presión excesiva de la familia o sus pares para tener éxito
• Presión excesiva por su rendimiento dentro de la organización
• Control excesivo relacionado con el trabajo, falta de voluntad para compartir asignaciones o aceptar la supervisión
• Inestabilidad en las circunstancias de la vida (cambios frecuentes de trabajo, cambios frecuentes de residencia, etc)
• Renuencia a tomar vacaciones
• Actitud negociante permanente (sagaz y sin escrúpulos)
• Historia de otros problemas relacionados con su trabajo (por ejemplo, bajo rendimiento o problemas éticos)

Si analizamos con detalle esta lista (parcial de alertas) encontramos que muchas de ellas hacen relación con situaciones y contextos personales que llevan a los individuos a ejecutar conductas que ponen a prueba su estructura de valores y principios. Cualquiera de las condiciones detalladas, debe someterse a un análisis detallado dado que cada persona y realidad son diferentes y muchas veces, lo que aparentemente es una alerta de los que pueda estar sucediendo, puede ser una condición de excepción para un individuo particular.

Como quiera que estos síntomas manifiestan conductas que llaman la atención para la gerencia de las organizaciones, es importante anotar que se hace necesario revisar igualmente, aquellas garantías que la empresa debe brindar a sus colaboradores, para generar un ambiente sano y psicológicamente estable que permitan el ejercicio adecuado del desarrollo individual y profesional de sus empleados.

El perfil de defraudador

En consecuencia con lo anterior, es importante anotar que, si bien es claro que debemos tener precaución frente a los juicios de valor ante situaciones o alertas como las mencionadas anteriormente, es igual de importante establecer aquellas características propias y más relevantes de las personas que pueden llegar a cometer un fraude. En este sentido, la firma KPMG en su estudio sobre la caracterización del defraudador publicado en 2011, anota de manera específica, algunas de ellas, como resultado de la encuesta realizada a nivel global. Ellas son:
• Generalmente son hombres
• Entre 36 y 45 años de edad
• Cometen el fraude en contra de su propio empleador
• Generalmente trabajan en el área de Finanzas o en un cargo relacionado con las finanzas
• Por lo general es un representante de la Dirección
• Cuenta con más de 10 años de servicio en la empresa
• Es una persona que a menudo comparte con otros.

Es interesante observar que los resultados muestran claramente que aquellas personas con mayor tiempo en la organización son más proclives a conductas ilícitas, posiblemente porque conocen con claridad los aciertos y debilidades de las medidas de control, y adicionalmente, saben hasta donde pueden llegar sin llegar a comprometerse y salir sin ninguna implicación. Igualmente, el rango de edad que se establece, nos habla de una persona que técnicamente ya ha alcanzado su madurez profesional y busca establecer un futuro más reposado y tranquilo, por lo cual contar con solidez y libertad financiera se vuelve algo clave para ellos y sus familiares.

Llama la atención que es el área financiera donde en mayor medida se identifican los casos de fraude, pues al estar allí la circulación de especies monetarias y la forma como la organización efectúa sus operaciones, se vuelve más detallado y más agudo el análisis de los posibles delincuentes para efectuar sus actividades ilícitas. En este contexto, los controles internos de operación y las estrategias de seguridad y control son un elemento fundamental para mantener un ambiente monitorizado, asegurado y con trazabilidad de lo que ocurre (un detalle de las actividades de control se puede encontrar en el informe de la ACFE mencionado previamente). Con esto la idea, es reducir las ocasiones o escenarios que motiven actividades que puedan afectar la caja de la organización.

Revisando la naturaleza del fraude

Identificar el perfil de posible delincuente y contextualizarlo aún en un ejercicio organizacional son actividades que dan cuenta de la necesidad de seguir de cerca las tendencias que la inseguridad misma nos plantea en el entorno corporativo y de actuación general. De igual forma, se hace cardinal, estudiar cada uno de los fraudes para adelantar las caracterizaciones de las pérdidas en sí mismas, que nos permitan afinar aún más las estrategias para cerrarle la brecha a aquellos que aún persistan en apropiarse de los bienes de las organizaciones.

En consecuencia y siguiendo los resultados del estudio realizado por la firma Deloitte sobre el fraude a nivel global, podemos advertir una priorización de la naturaleza de los fraudes identificados, que revelan tendencias sugestivas, que nos permiten visualizar los gustos y motivaciones de los defraudadores o mejor aún, sus movilizadores más frecuentes para concretar sus actos. Los resultados son:
1. Robo de activos físicos
2. Robo de información
3. Fraude en la contratación
4. Corrupción y soborno
5. Fraudes externos

Como se puede apreciar los tres primeros resultados nos manifiestan que son los activos físicos, los temas de la información y la contratación los que con mayor frecuencia son materializados por los delincuentes. Esto nos indica que cada vez más se hace imperioso contar con buenas prácticas para el tratamiento de la información, para evitar que caiga en las manos equivocadas y con ella se puedan motivar actuaciones que lleven a pérdidas significativas en las empresas. No es de extrañar, que todo aquello donde se manejen grandes volúmenes de dinero sea susceptible de incidentes de fraude. En este sentido, los controles y buenas prácticas de contratación se vuelven factores críticos de éxito para alcanzar mayor transparencia y agilidad en las empresas y mitigar la brecha de posibles ilícitos que se quieran o puedan plantear.

Es importante anotar, que no es posible tener un contexto organizacional sin incidentes o sin fraudes, pues la ocasión para el riesgo siempre se presenta en mayor o menor medida y siempre habrá personas con debilidades de personalidad y con estructuras de valores débiles, los cuales serán terreno fértil para la inseguridad y la inclinación propia de nuestra naturaleza caída.

Fraude a través de los medios tecnológicos

De otra parte, como toda evolución natural de los fenómenos delincuenciales, éstos han encontrado en la tecnología un vehículo eficaz para materializar sus acciones, pues la velocidad, la presencia anónima que se tiene, el alcance de sus actos y la limitada preparación de los entes de policía judicial, configuran un escenario motivador para repensar nuevamente sus estrategias y avanzar en el desarrollo de nuevos modelos para defraudar a los individuos y organizaciones.

En consecuencia, las acciones relevantes que se puedan adelantar por parte de los entes investigadores para dar con la identificación y modus operandi de los delincuentes a través de medios tecnológicos, es un reto que implica reconstruir un escenario de fraude y encontrar las evidencias informáticas relacionadas con el mismo. Si bien, las organizaciones hoy cuentan con diferentes elementos de seguridad y control en sus operaciones, cuando no trasladamos al mundo de internet, éstos pierden claramente su efectividad, dada la heterogeneidad de ambientes y configuraciones existentes que posiblemente no sigan las buenas prácticas que se exigen frente al aseguramiento de las infraestructuras y aseguramiento de flujos de información.

Amén de lo anterior, el reporte de la encuesta global de fraude 2011 realizado por la firma Ernst & Young corrobora esta situación, cuando establece que una tercera parte de los participantes en la encuesta advierten de los altos costos que implica la revisión exhaustiva de correos electrónicos (u otra información electrónicamente almacenada) con el fin de ofrecer asesoría legal efectiva, dejando a las organizaciones un sabor agridulce de lo que requiere hacer para procesar o judicializar a un posible delincuente en la organización. El mismo informe anota que se evalúa la disminución de los presupuestos en estos temas dado que en muchas ocasiones estos esfuerzos resultan infructuosos frente al resultado final de proceso jurídico y la reparación para la organización.

En línea con lo comentado previamente, los delincuentes utilizan igualmente los medios sociales informáticos para generar expectativas, rumores o desinformación que le permitan tener una posición más estratégica para avanzar en sus métodos de fraude. En este escenario, las redes sociales son el medio más expedito para generar situaciones premeditadas que impacten la imagen y buen nombre de las empresas. Mal utilizadas son tácticas de inteligencia que pueden desviar la atención o generar tráficos de información sensibles que comprometan las prácticas de negocio de las empresas y por ende, su posicionamiento dentro de un sector empresarial.

Lo anterior se confirma en el reporte global sobre el fraude 2011 desarrollado por la firma Kroll, donde se advierten estrategias utilizando la tecnología o internet para afectar la imagen de las firmas y ocasionar daños emergentes que comprometan la estabilidad de las empresas. Particularmente se habla del caso de la British Petroleum y el incidente internacional del derrame de crudo en el Golfo. En este sentido, el informe afirma:

“(…) En 2010, BP recibió un ataque online por cómo manejaba el derrame en el Golfo de México. Además de campañas en su contra en blogs y en Facebook, la compañía debió luchar contra mensajes enviados desde una cuenta falsa de Twitter, el aparentemente “real” BPGlobalPR. En un punto, la cuenta de relaciones públicas falsa en Twitter tenía más seguidores que la real. El desafío para BP fue responder a un ataque desde varios flancos en Internet. No había un único ISP ni sitio web para ocuparse de los varios ataques. (…)”

Avances interdisciplinarios para entender el fraude a través de medios tecnológicos

Todos estos elementos comentados nos hablan claramente que existe una nueva evolución del fraude y la inseguridad en los diferentes contextos empresariales; que la delincuencia continua observado y aprovechando los adelantos informáticos y las oportunidades que ofrecen los desarrollos tecnológicos, para evolucionar rápidamente, sin dejar margen de reacción a los entes de seguridad y control tanto de las empresas como de los estados.

Pese a lo mencionado, se vienen adelantando importantes avances a nivel jurídico, criminológico y criminalístico que nos permiten avizorar nuevas condiciones y actividades para enfrentar a la delincuencia en un mundo digital e interconectado. El entendimiento jurídico de las escenas asociadas con crímenes de alta tecnología comienza a arrojar los primeros resultados, los cuales se advierten en nuevas propuestas de regulación que buscan asegurar mejor la información y los datos, para lo cual las organizaciones debe tomar las medidas del caso, no para interpretar dicha norma, sino para afianzar sus prácticas en este sentido.

Como parte de este análisis interdisciplinario, se viene generando propuestas para continuar cercando a los delincuentes, para decirles que estamos preparados para enfrentar los retos propios de una delincuencia organizada e interconectada. Es así que, trabajos como el de los doctores VASIU nos permiten continuar aprendiendo y repensando los elementos legales a considerar frente al fraude a través de medios tecnológicos. Dichos elementos:
• El conocimiento e intención de cometer fraude
• El acceso a un computador protegido o excediendo su autorización
• La obtención de un beneficio para el que comete el fraude

Nos muestran que es posible avanzar en una vista sistémica de la inseguridad, de las motivaciones de los facinerosos informáticos y sus técnicas apalancadas en tecnologías emergentes.

Fruto de estos avances se han venido formulando leyes en los diferentes países que poco a poco permean las agendas legislativas y ponen de manifiesto que las inseguridad de las calles y los “raponazos” callejeros, son tan relevantes como la inseguridad de la información en internet y los “raponazos” electrónicos que día a día ocurren en la “ciudad” que es Internet.

Reflexiones finales

Así las cosas y como quiera que la mente humana puede desarrollar las más bellas expresiones de alegría, cariño y generosidad, así como diseñar y explotar las más oscuras, egoístas y perversas intenciones, se hace necesario hacer un llamado a todas las naciones para que se desarrolle un frente común de contención y acción que haga de internet un lugar más sano y generoso con todos sus habitantes, con las prácticas de negocio y con los niños, población que generalmente es la más vulnerable.

Debemos propender y confirmar que nuestras acciones en internet, son tan reales como nuestras actuaciones en la vida cotidiana y por tanto, no podemos soslayar nuestros principios y valores habituales por el solo hecho de estar “conectado a internet”. La cultura de que “todo se puede” en internet, no debe ser la norma que se erija frente a la transformación social que exige nuestra actual sociedad, pues de hacerlo estaríamos avocados a una degeneración del tejido humano que afectaría las buenas intenciones y las posibilidades que trae consigo la tecnología para las empresas, los individuos y las naciones.

Ackoff en su libro “Differences that make a difference” establece que una cosa es hacer un pronóstico (en inglés forecast) y otra hacer una predicción. Mientras un pronóstico es una declaración de un futuro esperado basado en una proyección de qué ha pasado y qué pasa hoy, una predicción es una declaración de un futuro esperado que no está basado en hechos y datos, sino en las creencias acerca de lo que se prevé, sus causas o generadores. En otras palabras, la predicción puede ser sobre cosas que no han ocurrido en el pasado y los pronósticos basados en estadísticas y métodos de proyección normalizados y verificables.

En este contexto, todos los reportes e informes que hemos comentado en este documento nos hablan sobre pronósticos acerca del fraude en sus diferentes manifestaciones, como una forma de establecer líneas de investigación y acción que nos permitan caminar cerca de los movimientos conocidos de los delincuentes. Predecir las tendencias y comportamientos del fraude en un mundo gobernado por las comunicaciones y la información instantánea, es una apuesta abierta y sin límites para encontrar en la inseguridad de la información nuevas razones para continuar aprendiendo, es decir, lanzarnos a experimentar la incertidumbre y declarar que no sabemos.

Referencias

ACKOFF, R. (2011) Differences that make a difference. Editorial Triarchy Press.
VASIU, L. y VASIU, I. (2004) Dissecting computer fraud: from definitional issues to a taxonomy. Proceedings of the 37th Hawaii International Conference on System Sciences. Disponible en: http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.108.9517 (Consultado: 23-10-2011)
KROLL (2011) Global Fraud Report. Mayo. Disponible en: http://www.krollconsulting.com/media/pdfs/Kroll_Global_Fraud_Report_May_2011_Spanish_Final.pdf (Consultado: 23-10-2011)
ERNST & YOUNG (2011) Global Fraud Survey. Disponible en: http://www.ey.com/Publication/vwLUAssets/EY_11th_GLOBAL_FRAUD_Survey/$FILE/EY_11th_GLOBAL_FRAUD_Survey.pdf (Consultado: 23-10-2011)
DELOITTE (2011) Global Fraud Survey 2011. Disponible en: http://www.deloitte.com/assets/Dcom-Lebanon/Local%20Assets/Documents/FAS/Deloitte%20%20GCC%20Fraud%20%20Survey%202011.pdf (Consultado: 23-10-2011)
KPMG (2011) Who is the tipical fraudster? Disponible en: http://www.kpmg.com/EE/en/IssuesAndInsights/ArticlesPublications/Documents/Forensic-Fraudster-Survey-WEB.pdf (Consultado: 23-10-2011)
ACFE (2010) Report to nations on occupational fraud and abuse. 2010 Global Fraud Survey. Disponible en: http://www.acfe.com/uploadedFiles/ACFE_Website/Content/documents/rttn-2010.pdf (Consultado: 23-10-2011)

lunes, 17 de octubre de 2011

3765 Lecciones aprendidas: Más que pecados de obra u omisión


Revisando los resultados de la investigación realizada por la Digital Forensic Association denominada “The Leaking Vault 2011”, encontramos nuevas y renovadas razones para insistir en el estudio y profundización de la inseguridad de la información, como la fuente misma de ideas para continuar asegurando la información en las empresas.

Este estudio analizó más de 3765 incidentes reportados en más de 33 países a nivel global entre el año 2005 y 2010, identificando interesantes hallazgos que nos sugieren marcos de acción para mantenernos cerca de la inevitabilidad de la falla, bien por fenómenos eminentemente tecnológicos como por comportamientos inadecuados.

A continuación mencionamos algunos resultados relevantes del estudio con el fin de plantear ciertas reflexiones que nos permitan intentar acercarnos al fenómeno de la fuga y/o pérdida de la información y entender mejor su asimetría en el contexto empresarial.

• Los vectores más representativos para la pérdida y/o fuga de información son los computadores portátiles, las técnicas de hacking y los documentos impresos.
• Se perfila el web como un nuevo vector para pérdida y/fuga de la información.
• Dejar los portátiles y documentos impresos desatendidos son comportamientos que potencian la pérdida y/o fuga de la información
• No se cuenta con la trazabilidad de los documentos desde que la información se genera hasta su disposición final.
• El malware es la técnica más utilizada para crear entornos que materialicen la pérdida y/o fuga de la información.
• La pérdida de información está generalmente asociada con personal externo o terceros contratados, mientras la fuga de la información, tiene una fuerte asociación con empleados de las empresas.
• Existe un bajo reporte público de las brechas de seguridad (pérdida y/ fuga de información) por parte de las empresas en los diferentes países.
• Se identifica una tendencia de exposición de datos relacionados con registros médicos en la muestra analizada.
• Dentro de los datos que generalmente se exponen con las brechas de seguridad son: Número de seguro social, Número de licencia de conducción, número de la tarjeta de crédito, número de la cuenta bancaria, fecha de nacimiento y datos médicos.

Considerando estos hallazgos retomemos algunas meditaciones que generalmente se detallan en diferentes medios y documentos sobre esta realidad de la pérdida y/o fuga de la información.

El estudio indica que los portátiles, las técnicas de hacking y los documentos impresos son los vectores de ataque más comunes y responsables por más del 90% de los incidentes. En este sentido, sin considerar las técnicas de hacking, son nuestros comportamientos frente al aseguramiento de los portátiles y los documentos impresos, el que genera la mayor vulnerabilidad y oportunidad para que la inseguridad se materialice en diferentes contextos de la realidad organizacional y personal.

Cuántas veces hemos enviado una impresión con documentos clasificados como sensibles o restringidos, cuántas veces hemos dejado el computador portátil desatendido, cuántas veces nos siguen recordando la necesidad de asegurar estos comportamientos y aún continuamos abriéndole posibilidades a los atacantes para que se hagan dueños de la información clave de la empresa o creando el entorno para que, incluso nuestra información personal sea utilizada con fines ilícitos o fraudulentos. Si bien la fuga y/o pérdida de la información no podrá erradicarse por completo, si podemos mantener un umbral cerrado y conocido que nos permita cercar a la inseguridad de la información en terrenos conocidos y claramente abiertos para que la impunidad no sea la protagonista cada vez que se revele un evento de éstos.

Con la alta interacción que tenemos ahora con el WEB y las posibilidades de descarga y carga de información en sitios alternos, la información tiene un flujo inesperado y muchas veces no controlado que genera brechas de seguridad que pueden llegar a comprometer el buen nombre de la empresa o la persona. Tómese un momento para pensar qué pasaría si información de un nuevo producto, o una nueva patente se expone en un sitio en internet y es accedida por terceros sin autorización. Qué pasaría si fotos comprometedoras, que tenemos al interior de nuestros equipos, fuese transportada y expuesta sin nuestra autorización en un perfil de facebook. Estas y otras situaciones nos deben mantener alerta y consciente del aseguramiento de la información y de los protocolos que ésta debe seguir cuando se autorice su movimiento dentro o fuera del dominio de la organización o persona.

De otra parte, los atacantes, sabiendo que las personas son susceptibles de movilizar cuando aparecen nuevos servicios, atractivas ofertas en internet y, sobre manera propuestas de acceso a información privilegiada con pocas exigencias, desarrollan a través de código malicioso estrategias y entornos que buscan tener el control de la máquina o dispositivo de almacenamiento de información con el fin de acceder sin autorización a información personal o corporativa. Esta técnica se aprovecha, nuevamente y en gran medida, de nuestros comportamientos inadecuados frente a la protección de nuestros equipos portátiles o de escritorio. La falta de higiene informática es una de las responsable del gran número de infecciones y plagas informáticas, que pasan entre otras por botnets, gusanos, software espía dado que tenemos una “falsa sensación de seguridad” pues al conectarnos a internet creemos que no somos objetivo de interés de los intrusos, cuando en realidad es todo lo contrario.

Es muy revelador encontrar que la pérdida de información está asociada con los terceros de confianza de la empresa. Con frecuencia encontramos acuerdos de confidencialidad firmados con los contratistas a los cuales poco se les hace seguimiento o auditoría, generando espacios de incertidumbre en el manejo mismo de la información sensible de las empresas. Si bien es importante tener estrategias contractuales para mantener la responsabilidad del tercero frente al manejo de la información, cobra mayor relevancia poder  incluir dentro del modelo de seguridad de la información de la empresa la forma como las empresas contratistas deben darle tratamiento a la información y asegurar el seguimiento y aplicación de las directrices que sobre el particular se den.

De otra parte, se anota que la fuga de información se presenta con mayor frecuencia relacionada con el personal interno de la empresa. Este hallazgo nos habla de muchas posibilidades para analizar. Por un lado, podemos pensar en los aspectos éticos y de cumplimiento de los empleados, elementos propios de la lealtad empresarial, no necesariamente asociados con consideraciones legales, sino de identidad corporativa. Por otro, una falta de consciencia de los empleados de la empresa frente al manejo de la información y sus implicaciones; frente a su personal y con sus grupos de interés. Por tanto, si bien las organizaciones adelantan esfuerzos ingentes para incorporar la cultura de riesgos en el tejido social empresarial, se hace necesario insistir en la comunicación del valor de la información como activo estratégico de las corporaciones y elemento fundamental para soportar la ventaja competitiva de la empresa.

Si bien, en los países desarrollados se viene dando una tendencia por revelar las brechas de seguridad que se han presentado en las organizaciones, como una forma de responsabilidad social y empresarial con sus clientes, en nuestros países en vía de desarrollo, no logramos despegar del todo para seguir esta buena práctica. Por el momento, los reportes de incidentes de seguridad se conocen por “chismes” o “comentarios de pasillo” que se filtran en conversaciones con terceros en los sitios menos indicados: ascensores, restaurantes, filas de acceso a bancos, salas de espera, en general en sitios públicos o por descuidos de pantallas de computadores sin filtros de privacidad que exponen un “secreto” de alguna empresa o persona.

Como bien nos dice la sabiduría popular: “no hay nada oculto entre cielo y tierra que no se llegue a saber”, si debemos establecer los canales oficiales para que la información fluya de la manera más adecuada, en el contexto indicado y sin juicios de valor, para que se informe conforme se es requerido y con los detalles necesarios. No se trata de esconder lo que ha ocurrido, sino de entregar de la mejor forma la información para continuar avanzando en las estrategias de aseguramiento de la información en los procesos de negocio de las empresas.

Ver en un informe internacional que en el análisis de los incidentes se encuentra en la mayoría de las ocasiones información relacionada con datos médicos es realmente inesperado. Estamos acostumbrados a que las brechas de seguridad expongan datos corporativos, secretos industriales o elementos claves de estrategias de empresas, pero que en su mayoría sean datos relacionados con los registros de los galenos sí que es novedad. Esta tendencia en los países desarrollados se explica por la alta relación que existe de estos datos con el acceso a información complementaria de la persona: cuentas bancarias, estados de préstamos, pago de impuestos, identificación personal, entre otras, que son claves para establecer estrategias de suplantación y generar fraudes a nombre de terceras personas.

Si bien lo anterior nos debe llamar la atención frente a los efectos que esto tiene en la vida de las personas, estamos a tiempo para que en nuestras economías emergentes se tomen las medidas requeridas frente a la protección de datos personales, como una primera iniciativa que asegure y fortalezca las prácticas de seguridad y control frente al tratamiento de esta información. Así mismo, sea esa la motivación para que cada uno de nosotros continúe aprendiendo que la información es un activo esencial de nuestra relación social en el siglo XXI y la moneda fundamental de nuestra interacción en un mundo interconectado y abierto como lo es internet.

El informe no indica con detalles aspectos relacionados con las redes sociales, móviles (ahora tabletas, dispositivos de lectura, entre otros) o computación en la nube como otros drivers para las brechas de seguridad de las empresas y las personas, sin embargo es claro que estos tres elementos son parte de los nuevos vectores de la pérdida y/o fuga de la información, pues al estar en permanente movimiento y sin un aparente control, el ciclo de vida de la información no tendrá elementos suficientes para mantener la trazabilidad de las operaciones o tratamiento que se le haga a ésta, dejando la puerta abierta a inesperados eventos que ya empiezan a manifestarse en el mundo actual.

En consecuencia, este estudio, que de manera exhaustiva y formal revela tendencias que intuitivamente conocíamos, nos pone de manifiesto que la ecuación de la inseguridad se conjunta alrededor de la información, la inevitabilidad de la falla y los medios informáticos, con un multiplicador o inhibidor fundamental como son los comportamientos humanos.

En este sentido, que todas estas lecciones aprendidas de los 3765 incidentes puedan empezar a modificar el ADN corporativo de la cultura de las organizaciones frente al tratamiento de la información y nos haga a cada uno de nosotros sensibles a los movimientos de nuestra maestra la inseguridad, para que nuestros próximos “pecados” frente uso de la información, bien sean de obra u omisión, sean un nuevo comienzo para pensar diferente y superar las rutinas defensivas propias de aquellos que “buscan culpables” y no nuevas oportunidades para aprender.

domingo, 9 de octubre de 2011

ISACA Latin CACS 2011 - Una experiencia para desafiar una región

Introducción

Se comenta en los medios informativos y por los analistas económicos internacionales que Latinoamérica es y será un destino natural para los capitales y oportunidades de los grandes inversionistas del mundo. Los temas de minería, explotación de hidrocarburos, biodiversidad y nuevos capitales humanos calificados, hacen de las Américas un lugar privilegiado para desarrollar nuevas iniciativas en el contexto de los negocios emergentes basados en servicios financieros, telecomunicaciones, servicios de consultoría, investigación y desarrollo, entre otros.

En este contexto, poder asistir a uno de los eventos latinoamericanos más importantes en temas de auditoría, seguridad y control en sistemas de información, es una forma de comprender la dinámica de una región que atenta a los cambios globales y sus crisis, es capaz de mantener el paso firme frente a los retos de cumplimiento, aseguramiento y gobierno corporativo que su contexto le demanda.

Durante los días 3 al 5 de octubre de 2011, Puerto Rico fue sede de presentaciones y talleres que se desarrollaron en el contexto del LatinCACS que anualmente programa ISACA para todos los interesados de la región que quieren comprender mejor los retos que la dinámica empresarial demanda frente a las tecnologías de información y comunicaciones.

La jornada académica estuvo animada por temas relevantes para las empresas de la región como son la “gestión del valor de TI”, la seguridad en los sistemas SCADA, la computación en la nube, la ciberseguridad y la ciberdefensa y los temas de privacidad de los empleados. Cada de uno de estas temáticas, desarrolladas por destacados profesionales de la región revelan la necesidad de avanzar con celeridad en cada uno ellas, como factores direccionadores del desarrollo de las empresas y naciones hacia mejores y mayores estándares de productividad y rentabilidad corporativas.

Gestión del valor

Cuando se habla de la gestión del valor de TI, es importante aclarar que podemos invocar los conceptos de ISACA en su modelo de VAL IT, así como otros relevantes en otras disciplinas administrativas que van a contribuir a un mejor entendimiento de este reto de las organizaciones actuales. Es claro, que la alta gerencia de las empresas reconoce en TI un elemento clave dentro de su gestión, pero que aún no desarrolla su potencial para elevar sus conversaciones a nivel de las juntas directivas.

En este contexto las conferencias desarrolladas en el evento, plantearon entre otras tesis, un concepto de valor como la relación existente entre la satisfacción de las expectativas de las partes interesadas y los recursos utilizados para ello. Esta definición, establece el reconocimiento de las esperanzas o deseos de la alta gerencia sobre el negocio, para a la luz de los riesgos de servicios, proyectos e innovación, la empresa cuente con un factor diferenciador que le permita apalancar su modelo de generación de valor.

De igual forma, cuando de construir, desarrollar, comunicar y proteger el valor, la tecnología cuenta con un factor fundamental, que si bien parece desalineado con la estrategia de negocio, encuentra en ella la fuente misma de las ideas que le permita evolucionar de ser un proveedor de servicios a un aliado de negocio. Esta última frase, que frecuentemente se escucha en los eventos internacionales, es el gran desafío de los gerentes o vicepresidentes de tecnología: poder educar a la gerencia en cómo la tecnología genera diferencia, más que cómo ésta es capaz de generar mayores ahorros.

De la mano con lo anterior, otro renombrado profesional en gobierno de TI, profundizó lo ya planteado en el contexto de la competitividad de los países, particularmente los latinoamericanos. Para este especialista, la competitividad la define “el que menos pierde en el contexto de un mercado” o dicho de otra forma “aquella empresa que genera resultados arriba del promedio de manera sostenida”. En el escenario actual de incertidumbres y desbalances macroeconómicos mundiales, la tecnología de información funge como un habilitador de alianzas y encuentros entre diferentes empresas, con el fin de marcar la diferencia ya no sólo individual, sino colectiva en el contexto de las realidades internacionales.

La tecnología de información y comunicaciones como fuente de creatividad y coordinación de iniciativas empresariales debe responder rápidamente a los cambios, so pena de convertirse en el mediano o largo plazo en un “commodity” perfectamente copiable y sustituible, dado su fuerte influencia y uso para fortalecer elementos como velocidad, calidad y costos que benefician la operación de las corporaciones. Así las cosas, la tecnología de información, como quiera que ésta debe ser funcional y operacional frente a los retos del día a día de las empresas, también se hace necesario repensar sus aproximaciones conceptuales y lenguajes corporativos, para que asegurando la disponibilidad de la infraestructura, pueda proteger el valor de la empresa, incrementar la agilidad de la transformación de la organización y ascender en su discurso al cuerpo empresarial de las juntas directivas.

El reto de los SCADA

Por otra parte los sistemas SCADA o Supervisory Control and Data Adquisition, son elementos fundamentales de las infraestructuras críticas de las naciones como son entre otras: los sistemas de distribución de energía, de derivados de los hidrocarburos, de funcionamiento de acueductos y otros servicios, así como de sistemas de transporte y emergencia de muchos países. Estos sistemas, por demás complejos e finamente interconectados con la realidad de tableros de distribución, válvulas de presión, medidores de temperatura o sistemas cerrados de televisión o control de acceso, establecen un reto de gobierno frente a la seguridad de la información de una empresa.

Estos sistemas, que si bien están automatizados y articulados con sistemas de información especializados, poco a poco han venido siendo objeto de ataques informáticos básicos y sofisticados, generando en las diferentes empresas encargadas de éstos, una incertidumbre creciente que obliga a sus responsables a una revisión completa del aseguramiento de los mismos. Dentro de los riesgos más relevantes para esta infraestructura tenemos: código malicioso, revelación no autorizada de datos críticos, modificación y manipulación no autorizada de datos sensibles, negación del servicio, acceso no autorizado a los registros de auditoría y modificación de los mismos.

Si bien para el mundo de los sistemas de información tradicionales, del trinomio de la seguridad de la información (confidencialidad, integridad y disponibilidad) las confidencialidad y la integridad son, en su orden, elementos claves para asegurar, en los sistemas SCADA dada la necesidad de funcionamiento permanente y generación de información en tiempo real, la disponibilidad se vuelve la fuente misma de las actividades para el aseguramiento de estos sistemas.

Sin perjuicio de lo anterior, los eventos recientes relacionados “armas informáticas” desarrolladas para poner en tela de juicio las protecciones hasta el momento desarrolladas para los sistemas de control, como es el caso de Stuxnet, un código malicioso capaz de tomar control de sistemas de control y telemetría, nos muestra que se hace necesario repensar el modelo de seguridad y control de estos sistemas y formular estrategias que correspondan con el reto de su operación ahora en redes IP y con exposición en las redes nacionales.

Dentro de las mejores prácticas establecidas para estos sistemas tenemos: monitoreo y aseguramiento de los registros de auditoría, biometría, firewalls, sistemas de detección de intrusos, detección y eliminación de código malicioso, criptografía asimétrica, control de acceso basado en roles y sobre manera, una alta sensibilización del personal que opera esta plataforma con el fin de asegurar el correcto entendimiento de la responsabilidad frente a la protección de estos sistemas y los impactos de eventos inesperados no sólo para la organización, sino para la nación.

Las reflexiones en la nube

Adicionalmente, fueron muchos momentos dedicados para comprender la computación en la nube y sus diversas aplicaciones e impactos. Muchos profesionales de Latinoamérica ven esta tendencia una importante posibilidad y forma de generar factores diferenciadores con tecnología, mucho de ello apalancado por el factor costos, pero se hace necesario una revisión juiciosa y sosegada para evaluar frente a las necesidades y retos empresariales, los riesgos que implica necesariamente entregar la información y los datos a terceros.

Por un lado las reflexiones se orientaron por el lado de la clasificación de la información, la protección de la misma y las implicaciones del tráfico transnacional de información personal (muchas veces no consentida) que genera incertidumbres para las empresas y los reguladores de las naciones. Por otro, se cuestionó los modelos actuales de seguridad y cumplimiento que podría derivar en movimientos de firma de auditores o personas certificadas a diferentes puntos del mundo para asegurar que el Cloud Service Provider o proveedor de servicios en la nube, cumple con lo establecido en el contrato y hace su mejor esfuerzo para limitar los impactos de posibles incidentes que se presenten.

En este escenario, se concluye que aún no se alcanza la madurez necesaria de la evolución de este modelo, de tal forma que aquellos que tomen la decisión de subirse a la nube, deberán estar alertas frente al tratamiento de incidentes que se presenten allí, los elementos de análisis forenses que se deban generar y los incumplimientos normativos, bien por acción u omisión se pudiesen presentar frente a la realidad de la información de las organizaciones. Existen algunos referentes internacionales que se sugieren para continuar aprendiendo de estos retos como son la guía de controles del Cloud Security Alliance y la guía de aseguramiento de control de ISACA IT Control for Cloud Computing.

Repensando la defensa de las naciones

Acciones internacionales como las creadas por Anonymous en diferentes países latinoamericanos revela un creciente interés en ese nuevo reto de gobernabilidad de las naciones denominado ciberseguridad y ciberdefensa. Luego de un largo exilio de los temas de defensa nacional, concentrados en realidades de campo operacional y de inteligencia tradicional, las naciones comienzan a comprender que existe un nuevo campo de acción y una nueva forma de impactar la realidad. Esta realidad convocada desde las redes sociales, interconectada con dispositivos móviles y reflejados en servidores y equipos en la nube, nos muestra el empoderamiento de las nuevas generaciones frente a una realidad digital que nos supera y nos cuestiona.

La ciberseguridad, como desarrollo de prácticas operacionales de protección y control, y la ciberdefensa, como la capacidad desarrollada por las naciones para defender sus activos de información estratégicos e infraestructura crítica nacional, son conceptos que poco a poco se deben incorporar en el lenguaje de los profesionales de gobierno de TI, no como una forma extendida de gobernar la tecnología de información en el contexto nacional, sino como una disciplina independiente que apalanca la gobernabilidad de una nación, la protección de los ciudadanos y las instituciones en un contexto global.

Si hoy a nivel internacional es una norma tener buenas prácticas en temas de gobierno corporativo, las naciones deben concretar esfuerzos para desarrollar estructuras que le permitan gobernabilidad a las naciones en el siglo XXI en un contexto digital; es decir, más allá de un nombre e identidad nacional, se hace necesario desarrollar programas nacionales de prácticas de protección de información, reconocimiento de las fronteras y condiciones de seguridad y control de la nación y sobre manera, la declaración abierta y fundamental que eleve a la información, como un bien jurídico y estratégico de la nación en todas sus actividades.

Si bien los países desarrollados han venido avanzando en el desarrollo y operación de planes para la ciberseguridad y ciberdefensa, es necesario que nuestra región inicie su camino en esta aventura, que implica necesariamente repensar el estado-nación en las consideraciones constitucionales de las naciones, para comprender que la defensa de nación no solamente cubre aire, mar, tierra, sino la red y sus confines, como una nueva frontera para proteger los derechos de los ciudadanos y de las nuevas generaciones que ahora viven en internet.

La privacidad: un derecho individual y corporativo

Finalmente y no menos importante, tenemos los temas de privacidad, protección de datos personales y la realidad del acceso a la información privada de los empleados en las empresas. Los retos jurídicos que esto implica, recaen en los avances jurisprudenciales de los países latinoamericanos donde el derecho de “habeas data”, se conjuga en primera persona (natural) frente al “conocer, actualizar y rectificar” que de igual forma tienen las personas jurídicas en los ordenamientos constitucionales latinoamericanos.

Si bien, podemos desarrollar contextos de acceso seguro, acordados y revisados con los titulares del dato, ellos jamás renuncian a su derecho constitucional de privacidad, que en cualquier momento podrán invocar, si ven vulnerados sus derechos frente a la información que sobre ellos, un tercero tiene acceso. No podemos ignorar, que frente a este debate del acceso o no a la información personal, existe la condición natural de los agentes de inteligencia de los gobiernos, los organismos de seguridad del estado y las solicitudes judiciales que autorizan a entes de policía judicial, como actores fundamentales que requieren, bajo el imperio de la ley, asegurar la información necesaria para actuar en derecho frente a las amenazas o retos de seguridad nacional.

Sin un consenso aparente en estas reflexiones, pronto Colombia tendrá una nueva ley de protección de datos personales que exigirá a cada una de las empresas desarrollar un manual de prácticas que muestre su compromiso y aseguramiento frente al acceso a los datos personales que manejen las organizaciones. Esto necesariamente deberá generar un esfuerzo colectivo de las empresas, que orientado por un nuevo desafío de cumplimiento, deben abordar la problemática de la protección de la información de manera general y, ahora en particular, para los datos de carácter personal.

Este tipo de iniciativas frente a la privacidad de la información no son nuevas en la región, sin embargo son generalmente inadvertidas por las áreas de tecnologías de información y seguridad de la información, dado el limitado monitoreo de los avances normativos en la materia que ejercen tanto el área jurídica como el área de tecnología. En este sentido, una relación más fluida entre las dos disciplinas y un trabajo interdisciplinario entre ellas, podrá generar nuevas y sostenibles ventajas competitivas frente a los retos empresariales donde la tecnología de la información es parte fundamental de la estrategia para desequilibrar los mercados.

Reflexiones finales

Así las cosas y aunque durante los días del evento se presentaron otros temas, igualmente relevantes para enriquecer el trabajo de los profesionales de seguridad y control, así como para los auditores de tecnología de información y altos ejecutivos empresariales, las reflexiones aquí representadas crearon en la audiencia memorias y enlaces frente a su realidad actual, para persuadir y motivar nuevas fronteras y retos corporativos y así, encontrar con cada uno de sus ejecutivos y profesionales, eso que deseamos y aquello que queremos ser: cruzar el umbral de la inercia corporativa y lanzarnos a escribir el futuro con letra imprenta y misteriosamente cursiva.