sábado, 5 de abril de 2014

Seguridad de la información. Presiones actuales y emergentes de la inseguridad de la información


Introducción 
Las tendencias internacionales manifiestan un cambio paradigmático en los modelos de negocios actuales, motivados por la dinámica y asimetría de los mercados, donde la inestabilidad es la constante y el cambio la norma. En este sentido, se advierten nuevas declaraciones empresariales estratégicas que cambian la forma de pensar en las organizaciones y ocasionan un quiebre en los supuestos fundamentales de su operación: (GUNTHER McGRATH 2013, BOOZ&CO 2013) 
 

Declaraciones Actuales
Declaraciones Nuevas
Desarrollo y aprovechamiento de estrategias competitivas sostenibles
Desarrollo, aprovechamiento y abandono de estrategias competitivas transitorias
Diseño de productos basado en necesidades
Diseño centrado en las personas
Desarrollo de una cultura informática a nivel organizacional
Desarrollo de una cultura digital empresarial
Desarrollo de estrategias por públicos objetivos
Desarrollo de un ecosistema de contenidos y posibilidades
Desarrollar una posición privilegiada en su sector de negocio respecto de otros
Capturar la mayor cantidad de territorio que logre superar a los otros

Tabla No.1 Cambios en los modelos de negocio

Revisando las declaraciones actuales y nuevas, vemos que las primeras están asociadas con un juego de consolidación de estrategias formalmente diseñadas, que posiblemente no evolucionan con el tiempo y su entorno, y que permanecen aún cuando su contexto dé muestras de cambios radicales e inesperados que están fuera de su capacidad de anticipación.  

Las segundas son sensibles a las fluctuaciones del entorno y siguen una tendencia basada en las motivaciones y expectativas de las personas, lo cual supone una capacidad de gestión de la información, para desarrollar y capturar fuentes de valor novedosas y estacionales, las cuales son aprovechadas para tomar control de territorios emergentes y superar a sus competidores, no necesariamente en su campo de especialidad, sino allí donde las posibilidades están y hacen la diferencia. (VOLLMER, EGOL, SAYANI y PARK 2014) 

Así las cosas, las empresas que deseen permanecer en las turbulentas aguas de los cambios inesperados y retos emergentes, deberán contar con una manera distintiva de proveer valor frente a las expectativas de las personas, desarrollar capacidades exclusivas de actuación (cosas que saben hacer muy bien, que sus clientes le reconocen y los otros no pueden imitar) y mantener un ejercicio de coherencia y armonía entre las dos, con el fin de competir usando diferentes aproximaciones en múltiples categorías y mercados. (BOOZ&CO 2013)

Si lo anterior es correcto, el concepto de la información clave para empresa se enfrenta a una realidad contraria a la doctrina actual de protección de la misma, donde se entiende la gestión de este activo como residente en sitios conocidos, procesado en máquinas identificadas y accedido por personal autorizado y confiable. 

Esta nueva realidad de negocios supone un mayor nivel de exposición, colaboración, entrega, intercambio y flujo de información, lo cual demanda repensar los esquemas actuales de seguridad y control, fundados en reglas y procedimientos ajustados a una entorno tranquilo y predecible, por unos que reconozcan la dinámica de la gestión de la información, las necesidades y expectativas de los clientes generalmente asociadas con movilidad, acceso y capacidad para compartir. 

Cambio de enfoque: de la restricción a la facilitación
En este nuevo contexto de los negocios y la avalancha de nuevas posibilidades tecnológicas, la seguridad de la información debe evolucionar para ajustarse a los retos que le impone la dinámica empresarial y la necesidad permanente generar nuevas ventajas competitivas. Salir de la zona cómoda conocida de sus controles tradicionales y renovar el entendimiento de la protección de la información en una realidad abierta, móvil, con terceros y eminentemente social.

En este sentido, la transformación que se advierte en la gestión y gerencia de la seguridad de la información supone entender su modelo vigente y movilizarse hacia uno evolutivo acorde con los desafíos que impone la sociedad actual: (SECURITY BUSINESS INNOVATION COUNCIL REPORT 2013)


Modelo actual de la seguridad de la Información
Modelo evolutivo de la seguridad de la información
Basado en mitigación del riesgo (reducción)
Basado en gestión del riesgo (aceptación)
Orientado a los activos de información críticos
Orientado al funcionamiento confiable de procesos críticos
Fundado en el aseguramiento del perímetro tecnológico definido
Fundado en el cambio de comportamiento de las personas frente a la información
Basado en procedimientos y guías de seguridad y control
Basado en reglas y acuerdos de uso fundados en los impactos
Soportado en acciones preventivas y sancionatorias
Soportado en acciones de monitoreo activo y de pronóstico

Tabla No.2 Modelo actual y evolutivo de la seguridad de la información

De acuerdo con la tabla anterior, podemos entender que el enfoque de mitigación del riesgo, es una estrategia, que si bien responde a una exigencia corporativa, que guarda en su inconsciente, que dicho riesgo desaparezca, es susceptible de una pérdida de confianza permanente cuando la amenaza advertida por razones que, muchas veces no se pueden explicar, se materializa. 

En este momento surge la pregunta natural del primer nivel ejecutivo: ¿acaso no hiciste un conjunto de actividades para mitigar el riesgo? y la respuesta es por lo general, “Es que no tuvimos en cuenta otros escenarios”.

Movilizar los esfuerzos hacia una gestión del riesgo, es aceptar un umbral de riesgo conocido, que se declara de manera abierta y es aceptado por el primer nivel de la empresa. Esto es, se conocen los linderos de los riesgos en los procesos críticos de negocio, las estrategias que se aplican para mantenerse dentro del umbral definido, las actividades que se aplican y el monitoreo del nivel de su exposición. Aceptar el umbral de riesgo, es entender igualmente que se puede materializar, así la gestión que tengamos frente al mismo es lo que hará la diferencia frente a su constante entendimiento y monitoreo activo.

A la fecha la gerencia de la seguridad de la información insiste en un enfoque preventivo y de sanciones para motivar un cambio de comportamiento frente al tratamiento de la información. Como quiera que esta orientación, ha alcanzado importantes logros en el pasado (estático, conocido y con datos en reposo), hoy se enfrenta a una realidad con alta movilidad, con propuestas audaces (generalmente para compartir información) y participación de terceros.

En este sentido, se advierte una alta exposición de la empresa y sus individuos frente al tratamiento de la información. Si bien, continuará existiendo información catalogada como confidencial y sensible, caso particular de patentes, secretos industriales y métodos especializados, también se empieza a revelar la generación de patrones y vistas novedosas de la información, cuyo uso inadecuado o no autorizado, puede generar impactos que comprometan la reputación y viabilidad de la empresa en el mediano y largo plazo.

Nótese que ya no es formalmente el tema del acceso a la información el motivador principal de la relaciones entre las personas y las organizaciones, sino el uso de la misma, lo cual define un nuevo concepto y declaración para los ejecutivos en seguridad de la información: “Deben verse a sí mismos primero como líderes de negocio y luego como ejecutivos con especialidad en seguridad y gestión del riesgo”. (Adaptado de: GRIMSLEY 2012).

En consecuencia, los ejecutivos de seguridad de la información que quieran ser exitosos en las condiciones actuales de incertidumbre, asimetría de mercados y movilidad deberán: (GRIMSLEY 2012)

  • Tomar decisiones de negocio, no de seguridad.
  • Trabajar con y a través de otros para alcanzar sus objetivos
  • Ser un puente entre áreas y no una barrera para el negocio
  • Conocer su industria y los retos propios de la misma
  • Cambiar su lenguaje y comunicarse en términos del negocio

Escenario de riesgos: de contextos conocidos a vencidarios y actores emergentes
De acuerdo con los analistas de Gartner (2013) para el 2020, habrá múltiples posibilidades y escenarios que las organizaciones pueden enfrentar. No será un momento tranquilo y habrá que explorar nuevas propuestas, nuevos caminos para descubrir las mutaciones de la inseguridad de la información en un mundo dominado por la movilidad, las operaciones con terceros, las redes sociales y las tensiones informáticas entre naciones. 

Gartner advierte sobre cuatro  (4) escenarios para analizar:

  • Escenario 1: Riesgos regulados
  • Escenario 2: Gobierno de coaliciones
  • Escenario 3: Vigilancia del vecindario
  • Escenario 4: Matriz de control

El escenario de riesgos regulados, advierte el incremento de regulaciones por parte de los gobiernos respecto de la protección de la información. Temas como privacidad, infraestructuras críticas, comportamientos de las personas en las redes sociales, uso de dispositivos móviles tendrán normas que ajusten los comportamientos de los individuos respectos de un adecuado tratamiento de la información. De igual forma, los ataques a infraestructuras tecnológicas podrán ser considerados actos de guerra, creando tensiones que puedan derivar en conflictos internacionales mediados por armas informáticas conocidas o desconocidas.

El gobierno de coaliciones, sugiere que los atacantes continuarán enfocados en las organizaciones, buscando nuevas formas de ataques o engaños, usando técnicas avanzadas de evasión (en inglés AET – Advanced Evasion Techniques) (MCAFEE 2014) o las conocidas amenazas persistentes avanzadas, generalmente enfocadas en las personas. Los ataques estarán organizados por colectivos, hacktivistas o mercenarios que buscarán violentar la tranquilidad de las empresas, para causar daño a las operaciones de los negocios y comprometer su modelo de generación de valor.

La vigilancia del vecindario esencialmente sugiere un momento de anarquía dominado por las personas y sus interacciones, considerando un contexto con poca regulación e intervención gubernamental. Se conformarán milicias electrónicas para enfrentar las acciones de los grupos hacktivistas, provocando una auto-organización de las empresas para generar una sociedad con prácticas de protección de información, que operan de manera coordinada. La confianza será un valor que estará comprometido de manera general tanto en las organizaciones como en las personas.

La matriz de control estará representada por los entes gubernamentales que buscarán proteger a los individuos, creando distracciones y limitando oportunidades para efectuar negocios. Será un momento donde el incremento de ataques a las personas (basados en redes oscuras y botnets), motivará la actuación de los estados para controlar este fenómeno, endureciendo su posición frente al respeto y dignidad de las personas respecto de su información. El monitoreo activo y el análisis de datos serán la norma mantener una vista cercana de los que ocurre en desarrollo de las actividades sociales.  

Ante estos análisis las empresas y personas deberán tomar nota y actuar en consecuencia. En esta medida el responsable empresarial de la seguridad de la información, deberá modelar los actores emergentes, preparar las infraestructuras tecnológicas, elaborar un plan que incremente la resistencia a los ataques en las personas y reconocer los nuevos flujos de información, con el fin de anticipar amenazas emergentes y prepararse para recibir las nuevas lecciones de la inseguridad de la información.


Arquetipos comunes para las funciones y responsabilidades en seguridad de la información
Considerando los cambios en los modelos de negocio y los escenarios desafiantes planteados por los analistas, cumplir con el reto de anticiparse a los riesgos emergentes que afecten la confiabilidad de las operaciones y proteger el modelo de generación de valor de la empresa, se hace cada vez más desafiante y por lo tanto, motivador para mantenerse alerta y atento a los cambios que se plantean en la dinámica de las organizaciones.

En este sentido, los especialistas del CIO Executive Board – CEB (2013), han diseñado un estudio base de cuatro (4) arquetipos de patrones relacionados con el ejercicio de la función de seguridad de la información (operaciones, gobierno, operaciones y gobierno, operaciones, gobierno y aspectos legales), que nos puede dar orientación sobre donde se encuentra ubicada la práctica actual, no para establecer un modelo de madurez sobre esta función, sino para mirar que tanto sea ajusta el ejercicio actual de los ejecutivos de seguridad de la información y cuáles son los énfasis que se tienen en el desarrollo de la misma.


Énfasis
Operaciones
Gobierno
Operaciones y gobierno
Operaciones, gobierno y aspectos legales
Responsabilidades
·  Seguridad informática
·  Monitoreo y análisis de eventos
·  Respuesta a incidentes y análisis forense
·  Gestión de vulnerabilidades y amenazas
·  Establecer el nivel de apetito al riesgo
·  Gestión de riesgos de seguridad de la información
·  Cumplimiento de TI
·  Riesgos de TI
·  Protección de la información
·  Clasificación de la información
Adicional a los que se tiene en operaciones y gobierno:
·  Gestión de riesgos de seguridad con terceras partes
·  Gestión de identidades y accesos
·  Diseño de arquitecturas de seguridad
·  Notificación de brechas de privacidad
·  Protección de la información
· Descubrimiento electrónico (Soporte electrónico de litigios)
·  Monitoreo y análisis de eventos
·  Respuesta a incidentes y análisis forense
·  Clasificación de información
·  Gestión de vulnerabilidades y amenazas

Tabla No.3 Arquetipos de la función de seguridad de la información (Tomado y traducido de: CEB 2013)

Si revisamos el arquetipo orientado a las operaciones, es claro que el énfasis estará en los controles de tecnología, en las tecnologías de seguridad, su implementación y aseguramiento como forma de responder a las expectativas de la gerencia sobre la protección de la información. Este escenario está dominado por un lenguaje técnico especializado, con una alta especialización de perfiles para la configuración y aseguramiento de la gestión tecnología de seguridad, gestión de incidentes, correlación de eventos y análisis forense, los cuales generalmente exigen un alto nivel de formación técnica y actualización permanente frente a los cambios de las mismas.

En el arquetipo basado en gobierno, el lenguaje dominante es de los riesgos de la información, el de la protección del modelo de generación de valor de la empresa, el de la búsqueda de estrategias de protección del valor de la empresa, desde las prácticas de gestión segura de la información, el aseguramiento del cumplimiento normativo en el contexto del gobierno corporativo y en el entendimiento del umbral de riesgo conocido que la empresa declara. Este escenario requiere perfiles que comprendan las necesidades de los negocios, sus flujos de información y objetivos estratégicos, para brindar orientaciones que sean livianas, sencillas y efectivas para lograr un funcionamiento confiable de la organización.

La combinación de operaciones y gobierno, mezcla dos mundos con responsabilidades algunas veces incompatibles. En las operaciones se tiene el control de los dispositivos de seguridad informática, cuyas normas de operación y control se definen desde el gobierno de la seguridad de la información, lo cual ocasiona una colisión entre quien planea y verifica y el que actúa y opera. Esta mezcla desenfoca al área de seguridad de los retos corporativos, pues estará concentrada más en una operación limpia y clara de la infraestructura tecnológica (aún más si está en manos de terceros) y menos atenta a las inestabilidades del entorno que puedan afectar la operación del negocio y por tanto, destruir el valor de la empresa.

El arquetipo que combina la vista anterior y le agrega los aspectos jurídicos, revela aún más la necesidad del área de seguridad de la información de estar atenta a los cambios legislativos y normativos, con el fin de ajustar su práctica frente al entorno regulado donde opera la organización.

No solamente se tienen las limitaciones presentadas anteriormente, sino el reto de incorporar la comprensión de un derecho como lo es la privacidad, que claramente desborda el entendimiento del área de seguridad de la información, retándola para combinar la práctica conocida de protección de la información con un objetivo corporativo, con la exigencia gubernamental y su modelo de sanciones frente al incumplimiento de las expectativas de los ciudadanos respecto de la protección de sus datos personales.

Así las cosas, cualquiera que sea el arquetipo que prevalezca en una organización o la forma como se encuentre organizada la función de seguridad de la información ésta deberá atender como mínimo los siguientes elementos: (HARKINS 2013, pág.2)

  • La mutación del entorno de amenazas
  • La explosión de información y de dispositivos portátiles
  • El soporte electrónico a litigios jurídicos
  • Las regulaciones financieras y las propias de cada industria
  • La protección de la privacidad en entornos digitales

Reflexiones finales
Si bien la presión organizacional sobre la función de tecnología de información para apoyar la efectividad y eficiencia del negocio (KHAN y SIKES 2014), será cada vez mayor, no menos será el interés del primer nivel ejecutivo sobre la protección de la información clave, dado el ambiente abierto y proclive a compartir donde opera.

En este sentido, se hace necesario comprender no solo el sector al cual pertenece la empresa, sino el ecosistema donde opera, con el fin de avanzar en el entendimiento de la convergencia tecnológica de los medios sociales, la computación móvil, la computación en la nube y la información (HOWARD, PLUMMER, GENOVESE, MANN, WILLIS y MITCHELL SMITH 2012), para proponer un modelo de seguridad de la información liviano, sencillo y efectivo que responda a la agilidad que el negocio demanda para capturar nuevos territorios y crear las nuevas tendencias.

Habida cuenta de lo anterior, el escenario de riesgos de la información será más retador para el ejercicio de protección frente a las amenazas del entorno, demandando una alta participación de las áreas y su personal, toda vez que el nuevo perímetro de seguridad y control se encuentra en cada uno de los individuos, lo cual implica diseñar y asegurar que los nuevos “cortafuegos humanos” deberán estar entrenados para hacerse resistentes a los ataques y reconfigurarse conforme el entorno cambie, aumentando su sensibilidad para detectar nuevos vectores de ataque que afecten los objetivos del negocio.

Por tanto, las técnicas orientadas por el monitoreo  y respuesta activa (MacDONALD 2013), serán capacidades requeridas para mantener una postura de seguridad de la información que se arriesga a aprender de sus errores y se lanza explorar nuevos patrones de amenaza, con el fin de provocar un pensamiento inusual, que genere quiebres en la práctica de seguridad y control vigente en la organización. Esto es, desaprender de lo conocido y vivir con la incomodidad de hacer “mejores preguntas”.

Así las cosas, la función de seguridad de la información tendrá como maestra a la inseguridad de la información, como laboratorio de operaciones las inestabilidades de los mercados y como libro texto las expectativas de los ejecutivos de la organización, con el fin de motivar un proceso educativo acelerado, que como anota John Ruskin sobre la educación, no es un proceso para hacerle aprender algo que no sabía, sino un reto para convertirla en alguien que no existía.


Referencias
BOOZ&CO (2013) What’s drives a company’s success? Highlights of survey findings. Survey report. Disponible en: http://www.strategyand.pwc.com/global/home/what-we-think/reports-white-papers/article-display/what-drives-a-companys-success (Consultado: 4-04-2014).
VOLLMER, C., EGOL, M., SAYANI, N. y PARK, R. (2014) Reimagine your enterprise. Make human-centered design the heart of your digital agenda. Strategy& Research Report. Disponible en: http://www.strategyand.pwc.com/global/home/what-we-think/reports-white-papers/article-display/reimagine-your-enterprise (Consultado: 4-04-2014)
GUNTHER McGRATH, R. (2013) The end of competitive advantage. How to keep your strategy moving as fast as your business. Harvard Business Review Press.
HARKINS, M. (2013) Managing risk and information security. Protect to enable. Apress Open. 
SECURITY BUSINESS INNOVATION COUNCIL REPORT (2013) Transforming information security. Future-Proofing process. EMC-RSA. Disponible en: http://www.emc.com/collateral/white-papers/h12622-rsa-future-proofing-processes.pdf (Consultado: 5-04-2014)
GRIMSLEY, H. (2012) The successful security leader. Strategies for success. ISBN: 9781481218764
PROCTOR, P., HUNTER, R., BYMES, F. C., WALLS, A., CASPER, C., MAIWALD, E. y HENRY, T. (2013) Security and risk management scenario planning, 2020. Gartner Report
CEB (2013) Common archetypes of security functions. Implementation tool. Disponible en: https://www.irec.executiveboard.com (Requiere membresía)
KHAN, N. y SIKES, J. (2014) IT under pressure: Mckinsey Global Survey results. Disponible en: http://www.mckinsey.com/Insights/Business_Technology/IT_under_pressure_McKinsey_Global_Survey_results?cid=other-eml-alt-mip-mck-oth-1403 (Consultado: 5-04-2014)
HOWARD, C., PLUMMER, D. C., GENOVESE, Y., MANN, J., WILLIS, D. A. y MITCHELL SMITH, D. (2012) The nexus of forces: Social, Mobile, Cloud and Information. Gartner report. Disponible en: https://www.gartner.com/doc/2049315 (Consultado: 5-04-2014)
MacDONALD, N. (2013) Prevention Is Futile in 2020: Protect Information Via Pervasive Monitoring and Collective Intelligence. Gartner Research.
MCAFEE (2014) The security industry’s dirty little secret. Research Report. Disponible en: http://www.mcafee.com/us/resources/reports/rp-security-industry-dirty-little-secret.pdf (Consultado: 5-04-2014)