domingo, 25 de marzo de 2012

Privacidad de los datos. Más que un aspecto de cumplimiento

Introducción 
En un mundo cada vez más interconectado, de información instantánea y servicios en la nube; la sobrecarga de la información y la pérdida de privacidad son amenazas que ya no pueden pasar desapercibidas. En este contexto, el concepto de privacidad y las tensiones naturales con las exigencias corporativas son elementos que requieren analizarse, para reconocer los límites y balances que deben existir para mantener una coexistencia que permita por un lado, asegurar un adecuado manejo de la información y por otro, mantener y fortalecer un cuidado estricto sobre la información personal. 

Revisando algunos estudios internacionales (ERNEST AND YOUNG 2012) se establece que la administración de la privacidad en las organizaciones se encuentra influenciada al menos por tres elementos claves: el fraude, la economía y las regulaciones. 

El fraude, el cual generalmente es materializado a través de múltiples individuos o eventos, con acceso a información personal con propósitos criminales, políticos o de monitoreo, es una tendencia que revela la fragilidad interna de las empresas frente a los estándares de ética, los valores personales y la cultura corporativa. 

De otra parte, la economía, como aspecto complementario al anterior, propone un ambiente de incertidumbre, de inestabilidad, que confronta la seguridad financiera y valores personales atentando contra el balance natural de las necesidades humanas, es otro detonador que revela la necesidad de acceso a información para mantener el seguimiento de los hábitos financieros de los individuos. 

Finalmente, las regulaciones, que como menciona el estudio, es un ejercicio de nunca terminar, demanda un esfuerzo importante por parte de las empresas, para mantener un ambiente de control conocido y confiable, que permita generar la confianza requerida tanto para la empresa en su relación con los inversionistas, como para los individuos en el contexto del manejo de sus datos. 

Así las cosas y como quiera que esta realidad de la privacidad y la seguridad de la información de las personas, es un reto propio de una sociedad de la información y el conocimiento, se hace imperioso encontrar referentes, experiencias y buenas prácticas que nos permitan abordar y sintonizar las garantías constitucionales de los ciudadanos, con las posibilidades y necesidades de los estados para potenciar sus capacidades de seguridad y control.  

Privacidad de los datos 
Entrar en los terrenos de la privacidad es reconocer los derechos y deberes que los ciudadanos tienen respecto de la información personal. En este sentido el NIST – National Institute of Standard and Technology (2010) define la información de identificación personal (PII – Personal Identifiable Information) como “(…) cualquier información acerca de un individuo gestionada por una agencia, incluyendo (1) cualquier información que pueda ser usada para distinguir o seguir la identidad de un individuo, como puede ser su nombre, número de seguro social, fecha y lugar de nacimiento, apellido de la madre o registros biométricos; y (2) cualquier otra información que vincule o asocie a un individuo, como puede ser información médica, educacional, financiera y laboral.” 

Esta definición establece con claridad la exigencia que cualquier empresa tiene con el manejo y uso de la información, frente a las garantías constitucionales que cada ciudadano tiene con respecto a su información. Esto, es que cada organización deber atender no sólo atender las exigencias regulatorias que existen respecto de la información personal, sino desarrollar los mecanismos y estrategias que permitan su adecuada administración, lo que generalmente incluye aspectos como su recolección, uso, procesamiento, almacenamiento y revelación. 

Si bien, en el mundo existen diferentes iniciativas relacionadas con la protección de los datos personales, es claro que las organizaciones y los estados están recientemente tomando atenta nota de estas consideraciones. El estudio de tendencias en privacidad realizado por una empresa de consultoría internacional (ERNEST AND YOUNG 2012), establece que el 73% de las empresas entienden claramente las regulaciones relativas a la privacidad y sus impactos a nivel corporativo, sin embargo, sólo un 30% tiene implementados mecanismos reales que permitan monitorear y mantener los controles relacionados con la privacidad de los datos. 

Ante el escenario jurídico colombiano la Corte Constitucional ha venido consolidando jurisprudencia sobre el tema por más de 10 años, lo cual establece el desarrollo de un derecho fundamental denominado hábeas data. Dicho derecho, es un reconocimiento de la autodeterminación informática de las personas, cuyo eje fundamental está asociado con el conocer, rectificar y actualizar la información del titular en cualquier medio o condición que se encuentre la misma. 

 Como quiera que la privacidad es un derecho fundamental y que su protección depende de un ejercicio razonable de prácticas de seguridad y control que permita su adecuado tratamiento, se hace necesario identificar todos aquellos sitios o fuentes donde se pueda tener información de carácter personal, para establecer el marco general de cumplimiento requerido que asegure el compromiso de la gerencia frente a esta realidad.  

Ciclo de vida de la seguridad y la privacidad 
Para ello, SHAW propone un ciclo de vida para la privacidad y la seguridad de la información, como una forma de establecer un tenor concreto de las responsabilidades, exigencias y cumplimiento que las organizaciones deben considerar cuando de atender las obligaciones, riesgos y tratamiento de la información se requiere, no sólo para verificar que se consideran las regulaciones del caso, sino para comprender que tanto la seguridad como la privacidad son disciplinas complementarias, que hacen de su aplicación una forma de elevar la confianza de los grupos de interés frente a sus intereses empresariales. 

El ciclo propuesto establece cinco pasos:  
1. Identificar y revisar los estatutos y regulaciones aplicables a la organización 
Este primer paso demanda que las organizaciones cuenten con un observatorio permanente de regulaciones y leyes de cada una de las regiones o sectores donde opera la empresa, de tal forma que desarrolle un diagnóstico concreto sobre las condiciones actuales de su cumplimiento frente a las prácticas corporativas respecto del tema.  

2. Identificar y analizar las fuentes potenciales de responsabilidad Esta fase pretende que la organización establezca un análisis exhaustivo de activos de información existente, que permita determinar el alcance de las responsabilidades y el ejercicio de controles requerido por la empresa. Esta identificación pasa por el análisis de hardware, software, aplicaciones (ambientes de pruebas, calidad y producción), redes y facilidades que las empresas utilizan para la transmisión de datos, propietarios y custodios de información.  
3. Aplicación de políticas y valoraciones de riesgos Por un lado esta etapa busca revelar las políticas de seguridad y control de la organización y cómo estas son aplicadas y verificadas en el contexto del inventario de activos de información previamente identificado. De igual forma, este marco de actuación frente a la protección de la información debe contar con un tono claro de la gerencia, que imprima la relevancia del tema en las agendas estratégicas de los ejecutivos de primer nivel, así como en la cultura de sus empleados. Así mismo, las valoraciones de riesgo deben mantener una vista integrada del nivel de exposición de la organización frente a eventos de falla parcial o total, con el fin de mantener una postura proactiva frente a las amenazas y vulnerabilidades que puedan afectar el modelo de generación de valor del negocio.  

4. Diseño, aplicación y validación de los controles de seguridad y privacidad de la información Una vez identificados los riesgos y sus impactos sobre los activos de información relevantes para la empresa, se hace necesario identificar o diseñar las medidas de mitigación de los mismos y asegurar la efectividad de éstas. En particular, se cuentan con listas de controles generalmente aceptados en documentos como: 
* NIST Special publication 800-53. Recommended security controls for Federal Information Systems and Organizations 
* ISO 27002 
* COBIT de ISACA. 
En particular en esta etapa se requiere una especial coordinación entre los objetivos de los controles que se seleccionen de tal forma que se ajusten tanto a las necesidades de privacidad como a las de seguridad, de tal forma que el mínimo de controles que se apliquen, ofrezcan una vista estandarizada, confiable y verificable del ambiente de control requerido para los datos claves de la empresa.  

5. Asegurar el cumplimiento, los procesos de auditoría y certificación Una vez implementados el conjunto mínimo de controles y su uso en la operación diaria de la empresa, éstos deben ser monitoreados y verificados frente a los objetivos de seguridad y privacidad de la empresa, así como de los requisitos legales de cumplimiento normativo nacional o internacional. Para ello, esta fase exige un seguimiento y reporte periódico de monitoreo interno de la efectividad de los controles, sin perjuicio de evaluaciones y auditoría externas que se planteen por parte de entes de supervisión y vigilancia para conocer el estado de modelo de seguridad, control y privacidad de la organización. 

Si las organizaciones toman este ciclo y lo incorporan como un ejercicio sistemático propio y relevante para los objetivos de negocio de la empresa, habrá menos sorpresas en el futuro inmediato frente a incidentes que afecten la reputación y los planes estratégicos de la empresa, generando un ambiente propicio para consolidar relaciones de confianza con inversionistas y terceros interesados que confirmen como anota GAFF y SMEDINGHOFF (2012), que “la seguridad de la información ya no es solamente una buena práctica de negocio, sino un requerimiento legal”.  

Reflexiones finales 
Cuando desarrollamos modelos de seguridad de la información en las organizaciones, la identificación de activos de información se adelanta alrededor de aquellos objetos claves de negocio, con el fin de entender la generación de valor de la empresa y cómo protegerla; que por lo general no toma en consideración elementos propios de las obligaciones legales propias de la información, sólo aquellas que le son pertinentes para sus relaciones con socios de negocio. 

En este sentido, cuando hablemos de seguridad de la información o privacidad, no debe existir una separación de prácticas en el tratamiento de la información, sino el reconocimiento de una vista convergente entre derechos y principios de protección, que buscan establecer un referente natural de confesión de deberes y derechos de los individuos frente a la recolección, uso, retención, transferencia y disposición final de la información. Esto es, construir un marco general de controles mínimos que permitan darle tranquilidad a la gerencia frente a los requisitos de cumplimiento legal y normativo, así como de disponer de mecanismos de verificación que permitan que los individuos puedan hacer uso efectivo de sus derechos constitucionales. 

Como quiera que el reto de la privacidad en nuestra sociedad actual requiere un entendimiento mucho más elaborado del que actualmente tenemos, es preciso continuar incorporando dentro de los ordenamientos jurídicos los aspectos técnicos requeridos para darle un sentido efectivo a los derechos fundamentales que cada persona tiene frente a la información y de igual forma, nutrir las prácticas de seguridad de la información con los componentes constitucionales para repensar la protección de la información más allá de los aspectos de cumplimiento, sino en el contexto del perfeccionamiento del estado social y democrático de derecho. 

Referencias
ERNEST AND YOUNG (2012) Privacy trends 2012. The case for growing accountability. Insights on IT Risk. January. Disponible en: http://www.ey.com/Publication/vwLUAssets/Privacy_trends_2012/$FILE/Privacy-trends-2012_AU1064.pdf (Consultado: 24-03-2012)
GAFF, B. y SMEDINGHOFF, T. (2012) Privacy and data security. IEEE Computer. March.
SHAW, T. (2011) Information security and privacy. A practical guide for global executives, lawyers and technologists. American Bar Association. ABA Section of Science and Technology. 
NIST (2010) Guide to protecting the confidentiality of Personally Identifiable Information. April. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf (Consultado: 24-03-2012).

sábado, 10 de marzo de 2012

Seguridad de la información: Tres conceptos distintos y un sólo responsable verdadero

Introducción
Revisando un documento de Gartner publicado en octubre de 2010, denominado “Security Governance and operations are not the same” se aclara una realidad estructural de la seguridad de la información que da cuenta de la vista tripartita que se desarrolla para darle sentido a la confianza que una organización requiere frente a la protección de su información.

Como quiera que por mucho tiempo, se ha mantenido una relación muy cercana de los temas de seguridad de la información con las temáticas técnicas, se hace necesario desarrollar una dogmática básica para comprender desde la óptica de la inseguridad, el gobierno, la administración y operación de la seguridad de la información, no como simples elementos conceptuales, sino como reales evidencias prácticas que nos permitan conectar la declaración formal de la información como un activo, así como las prácticas operacionales que definen la confiabilidad de la infraestructura tecnológica.

De acuerdo con el documento previamente citado, el gobierno de la seguridad de la información debe asegurar que la relación entre el negocio y la seguridad siga los principios de la segregación funcional, toda vez que este último, le permite a la organización asegurar un flujo de información declarado y sobre manera trazable, limitando en la medida de lo posible posibles conflictos de interés que se pudiesen manifestar desde la operación.

Sin perjuicio de que existan múltiples vistas para modelar una organización para la seguridad de la información, se requiere comprender la expectativas y entendimientos políticos que el aseguramiento de la información demanda en el contexto de las necesidades del negocio. En este sentido, a continuación detallamos, utilizando como soporte la publicación de Gartner, los tres elementos que deben traducir y transformar la lectura y comprensión de la alta gerencia frente a la protección de la información en su contexto del negocio.

Gobierno de la seguridad de la información
El gobierno de la seguridad de la información lo define Gartner como “los procesos que aseguran las acciones apropiadas y razonables que deben ser tomadas para proteger los recursos de información de la organización”. Si bien esta definición, es claramente una invitación para una comprensión funcional de la organización, debemos anotar que se queda corta frente al reto de transformación corporativo que la seguridad debe asumir más allá de los riesgos y controles.

La función de gobierno de la seguridad de la información demanda de su estratega, movilizarse en las tendencias propias del negocio donde opera, los movimientos y retos emergentes que enfrenta el modelo de generación de valor de la empresa y anticiparse frente a los riesgos y amenazas que pueden comprometer la vista estratégica corporativa y no sólo, asegurar los procesos.

Si bien no desechamos la propuesta de los consultores internacionales mencionados, si queremos ampliar el espectro de su comprensión para ir de una vista claramente funcional del ejecutivo de la seguridad de la información, hacia una más de “socio estratégico” que no sólo advierte las inadecuadas prácticas sobre la información en los procesos negocios, sino que revela un panorama de pronósticos y detalles que están enraizados en los “espacios en blanco” que visualiza la junta directiva de la organización. (CANO 2011)

En consecuencia el texto de Gartner establece como responsabilidades del gobierno de seguridad de la información:
• Actuar como un comité de coordinación para los proyectos más significativos
• Efectuar seguimiento al progreso de los planes de remediación de los riesgos (particularmente en de los informes de auditoría)
• Revisar el reporte de métricas, solicitar nuevas métricas, si es requerido.
• Monitorear el desempeño operacional de las tecnologías de seguridad
• Proveer un escenario para el CISO (Chief Information Security Officer) con el fin de focalizar los esfuerzos dentro las unidades de negocios, a través del comité de gobierno de seguridad de la información.
• Establecer y mantener líneas efectivas de responsabilidad, propiedad y autoridad frente a los activos de información.
• Actuar como un mediador o árbitro para conciliar los conflictos sobre los requerimientos de seguridad de la información entre los diferentes actores de la organización.

Consecuente con las precisiones desarrolladas alrededor de la definición inicial de gobierno, se echan de menos otros elementos claves que complementen la vista de procesos. En este sentido, se sugieren las siguientes responsabilidades complementarias que motivan una reflexión extendida del ejercicio de gobierno de la seguridad de la información:
• Identificar y analizar el modelo de generación de valor de la empresa
• Comprender y detallar los riesgos y amenazas que impactan el modelo de generación de valor de la empresa
• Proponer un escenario de análisis de impactos, que defina las posibles actuaciones corporativas para proteger el valor actual de la empresa y anticiparse frente a sus amenazas.

No obstante, el gobierno de la seguridad de la información, en nuestra definición complementaria, representa un ejercicio de alquimia entre la política corporativa, los intereses superiores de los accionistas y la realidad de la protección de la información, se requiere que dichos planteamientos encuentren un suelo abonado y fértil en la implementación del mismo en el contexto de los procesos empresariales. (COMMONWEALTH OF AUSTRALIA 2007)

Administración o gerencia de la seguridad informática
En este contexto, aparece el concepto de administración o gerencia de la seguridad tecnológica o seguridad informática. Este concepto reconoce en la realidad de la arquitectura de los procesos de la empresa, que dan sentido al modelo de generación de valor de la empresa, las actividades requeridas para incorporar la distinción de seguridad en la dinámica de las personas que participan en ellos. Para los investigadores del documento comentado, la gerencia o administración de la seguridad de la información, se traduce como la “implementación del programa de seguridad de la información presidido por el comité de gobierno de seguridad de la información”.

El documento no detalla en qué consiste un programa de seguridad de la información, ni detalla los alcances del mismo, pero si podemos advertir que dicho programa debe contemplar el plan de prácticas de seguridad de la información apalancado en los empleados de la empresa, los planes de tratamiento de riesgos de seguridad de la información, las tecnologías de seguridad requeridas para generar una operación confiable, donde la información previamente clasificada, fluya según sea requerido.

Gartner establece que el responsable de la gerencia o administración de la seguridad informática debe realizar al menos las siguientes actividades:
• Desarrollar e implementar una política de seguridad de la información
• Diseñar y administrar una arquitectura de seguridad tanto para las aplicaciones como empresarial.
• Diseñar y adelantar campañas de interiorización y concientización relativas a la seguridad de la información.
• Establecer y promover un ciclo de vida de los usuarios o lo que en términos modernos se conoce como gestión de identidades (incorporación, desincorporación y administración de roles de administración de usuarios)
• Establecer proyectos de nuevas propuestas de tecnologías de seguridad informática.
• Proveer orientación y direccionamiento sobre riesgos y controles para proyectos no relacionados con seguridad de la información.
• Monitorear la operación de las tecnologías de seguridad informática configuradas y disponibles.
• Probar, validar y asegurar la infraestructura de seguridad informática.

Al revisar estas responsabilidades propuestas, claramente vemos el enfoque táctico de la seguridad que orientada por los riesgos y controles, requiere coordinar con diferentes equipos de trabajo la forma como se comportan la infraestructura de seguridad, de tal forma que pueda contar con las métricas requeridas por el gobierno de la seguridad de la información, para entregar la vista consolidada de la “confianza” que la organización puede desarrollar frente a la protección de sus activos de información.

Las personas que están ubicadas en el escenario de la gerencia de la seguridad de la información, deben comprender el negocio y sus necesidades frente al aseguramiento de la información. En este punto de la estructura de seguridad, la capacidad de negociación y habilidades de comunicación son habilidades claves y requeridas para lograr que las decisiones en la gerencia media sean consistentes con las distinciones estratégicas y definiciones corporativas frente a la vista del gobierno de la seguridad de la información.

Operación de la seguridad informática
Finalmente y no menos importante, el documento detalla lo relacionado con la operación de la seguridad informática. Amén de lo anterior, Gartner precisa este concepto operacional como “las actividades que se dan en el día a día que buscan mitigar los riesgos de seguridad informática en el nivel técnico.” Si bien esta declaración nos presenta efectivamente el concepto natural esperado, debemos anotar que, los que se encuentran en la operación son parte del eslabón clave, para capitalizar las lecciones aprendidas de la organización frente a la atención de los incidentes de seguridad.

Esto es, los profesionales que se encuentran en la realidad técnica y formal de la operación de los dispositivos técnicos, son testigos de primera fila de los impactos corporativos de las fallas parciales o totales propias de la materialización de la inseguridad de la información. En este sentido, son los llamados para alimentar la experiencia de la gerencia de la seguridad informática, para crear un círculo virtuoso entre lo táctico y lo operacional, que no desprecia ninguna de sus interacciones, sino que enriquece la vista táctica de la forma como la organización entiende y recompone la seguridad de la información de manera dinámica.

En consecuencia y sabiendo que existen múltiples actividades asociadas con la parte operacional de la seguridad informática, Gartner sugiere algunas de ellas:
• Aplicar y desplegar los parches de seguridad sobre los productos y herramientas.
• Monitoreo activo del ambiente frente a las amenazas y vulnerabilidades
• Proveer conocimiento y experiencia cierta para las políticas de seguridad de la información corporativas y del desarrollo de los procedimientos propios de la operación de la seguridad
• Desarrollar, mantener, monitorizar e implementar la arquitectura técnica de seguridad informática.
• Implementar los cambios de configuración en las plataformas corporativas de seguridad informática en concordancia con los procedimientos de administración de cambios.
• Monitorización – sobre consolas nativas, sistemas de correlación de eventos y otras herramientas de análisis para observar amenazas, vulnerabilidades y cambios en el ambiente que afecten el perfil de riesgo empresarial.
• Cumplir con los acuerdos de niveles de servicio de seguridad definidos.
• Planear y participar de manera activa en la respuesta a incidentes.
• Incorporar y desincorporar las identidades digitales y los permisos de acceso.

Si bien esta enumeración no pretende agotar las actividades propias de la operación de la seguridad informática, si resulta indicativa de la misma y el nivel de aseguramiento que se requiere para que ésta funcione de manera estándar y repetible, con el fin de generar confiabilidad y menor incertidumbre sobre qué ocurre con los activos de información en los procesos de negocio de la empresa.

Al correr el velo de los tres conceptos previamente presentados que, claramente articulados, definen una estrategia para “gobernar, gerenciar y operar” la seguridad de la información, se establece la imperiosa necesidad de complementar dicha propuesta con una formulación alterna que interrogue y asista al ejecutivo de la seguridad de la información, para conquistar la tentación de la falsa sensación de seguridad.

Una propuesta complementaria
La propuesta establece mantener un escenario de análisis basado en posibilidades, más que en probabilidades en cada uno de los conceptos. Esto es, para la vista del gobierno, el detalle de escenarios posibles que afecten el valor de la empresa, que permitan establecer el tono ejecutivo de la seguridad requerido y la vista preventiva que prepare a la organización cuando el 0,01% de probabilidad del riesgo se materialice.

Para la vista de la gerencia de la seguridad de la información, se busca configurar y detallar un mapa de riesgos posibles, de acuerdo con los flujos de información en los procesos, los cambios normativos o ajustes en las estrategias corporativas, que demanden una renovación del panorama de aplicación de los procesos. Esto es, trabajar de manera coordinada con los negocios para tener una matriz de riesgos extendidos, basado en eventos probables en los flujos de información frente a sus relaciones e integraciones corporativas, para tratar de ver asimetrías y comportamientos inesperados que puedan configurar situaciones no conocidas, para sí desarrollar respuestas oportunas para eventos no previstos.

En la operación, dado que cualquier eventos inesperado se presenta con relativas periodicidad, siempre y cuando no exista una forma clara de operar y atender una situación que califique como fuera de la “normalidad”, la invitación a desarrollar ejercicio de pruebas de vulnerabilidades internas y externas informadas o ciegas, que mantengan un “mínimo de paranoia bien administrado”, para que la sangre caliente de las infraestructura, no se debilite y mantenga el vigor permanente frente a la inevitabilidad de la falla.

Reflexiones finales
Así las cosas y como quiera que esta revisión base de tres conceptos para enfrentar la inseguridad de la información, es una excusa conceptual y académica para enfrentar el reto de la práctica empresarial de la seguridad, se hace necesario entender que la seguridad de la información, como concepto emergente de un sistema y particular para una organización y sus relaciones de sujeción específica, es una manifestación empresarial que al igual que algunas realidades teológicas, establecen tres personas con naturaleza distinta, que definen un solo responsable verdadero.

No podemos avanzar en la construcción de una práctica real de confianza de la organización en el contexto de los activos estratégicos de información, sin reconocer que la verdad o revelación se esconde en el “grial” del modelo de negocio empresarial, que permanentemente busca alcanzar “espacios en blanco” con un escenario en movimiento.

Referencias
McMILLAN, R. y SCHOLTZ, T. (2010) Security Governance and Operations are not the same. 8 de octubre de 2010. Gartner Research. Disponible en: http://www.gartner.com/id=1448116 (Requiere suscripción)
COMMONWEALTH OF AUSTRALIA (2007) Leading practices and guidelines for enterprise security governance. Disponible en: http://www.dbcde.gov.au/__data/assets/pdf_file/0016/41308/Leading_practices_and_guidelines_for_enterprise_security_governance_revision_1.pdf (Consultado: 10-03-2012)
CANO, J. (2011) Gerencia de la seguridad de la información. Evolución y retos. ISACA Journal Online. No.5. Disponible en: http://www.isaca.org/Journal/Past-Issues/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx (Requiere suscripción)