martes, 15 de octubre de 2013

De qué hablamos cuando hablamos de seguridad de la información?


El manejo de información plantea diversos desafíos que normalmente se agrupan bajo el término de "seguridad". Uno enseguida los asocia con los sistemas informáticos, pero es interesante tener presente que existen desde tiempos inmemoriales. Veamos ejemplos según una clasificación habitual. a) Confidencialidad: impedir el acceso a personas no autorizadas (pergaminos bajo llave). b) Autenticación: determinar quién es el interlocutor antes de revelarle información (documento de identidad). c) No repudio: cómo impedir que una persona niegue su participación o connivencia respecto de un documento (firmas manuscritas, sello real). d) Control de integridad: cómo asegurarse de que cierta información es genuina y no fue modificada.

Ahora bien, es indudable que con la llegada de la era digital, los riesgos que todos estos problemas conllevan se han visto exacerbados. Considere la posibilidad de robar información (ejemplo de confidencialidad). Otrora esto implicaba hacerse de papeles, biblioratos, documentos, y buscar la forma de sacarlos inadvertidamente. Hoy en día un pen drive o un celular pueden llevarse una cantidad de datos millones de veces más grande sin llamar la atención. Más aún, puede hacerse de modo 100% invisible si es a través de internet, la red inalámbrica de la empresa o cualquier otro medio electrónico de comunicación. También estamos peor en cuanto al tiempo necesario para copiar información. Lo que antes era memorizar, copia a mano o fotocopiar, ahora implica esperar solo unos segundos para llevarse varios GB de datos. Y tomar unas fotografías es muy fácil y discreto con un celular.

De todo, menos glamorosa
Los esfuerzos e inversiones en seguridad tienen un problema congénito: no son glamorosos, no lucen, no se notan. Como la limpieza. Más aún, son hasta algo molestos. Piense en cómo enlentece su Windows el antivirus, el fastidio de las contraseñas que vencen, los protocolos de seguridad para embarcar en los aeropuertos, etc. Gastar en más seguridad suena poco sexy cuando el mismo dinero se puede destinar a promocionar mejor los productos, mejorar su calidad, innovar o desarrollar un canal. Habitualmente se percibe a la seguridad como algo que "los de TI nos deben proporcionar". La combinación de presiones que otras gerencias ejercen sobre el departamento de TI para agregar valor y la dedicación frecuente a "apagar incendios" de dicho departamento forman el caldo de cultivo perfecto para las fallas de seguridad.

No es un problema de TI
Las graves consecuencias potenciales de los problemas mencionados justifican a priori que la seguridad deba ser una preocupación de todas las gerencias y no solamente "una cuestión para los de TI". Que se preste la atención debida a estos asuntos no es algo que se dé por sí solo. La recomendación básica es que exista un responsable bien establecido, que no necesariamente tiene que ser un profesional de TI. Por supuesto que es necesario involucrar a los expertos para conocer las nuevas amenazas y las formas de enfrentarlas, pero tan importante como esto es comprender cómo pueden afectar al negocio para así determinar cuánto y dónde es conveniente invertir. Hay tres fases básicas de la gestión de la seguridad, que se recomienda repasar periódicamente. Sus aspectos técnicos están muy estudiados y estandarizados mediante normas, certificaciones y buenas prácticas; lo más difícil es la ponderación de los efectos para el negocio y las inversiones consecuentes, para lo cual se requiere profundo conocimiento de la empresa en cuestión. Las fases son: a) Evaluación de riesgos: entender cuáles son las fallas que pueden darse y cómo afectarían al negocio. b) Análisis de riesgos: cuantificar de algún modo el impacto negativo para el negocio que puede tener cada una de las fallas anteriores. c) Mitigación de riesgos: definir las respuestas adecuadas para las amenazas identificadas; es decir, buscar el mejor compromiso entre el grado de seguridad que se alcanza y el costo total de lograrlo, teniendo en cuenta el impacto negativo que las amenazas tendrían de materializarse.

El factor humano Más sobre
Wikileaks
Habitualmente se dedica mucho esfuerzo a los problemas de orden más técnico, como prepararse contra ataques de negación de servicio, hackers, intentos de adivinar contraseñas, criptografía, dispositivos que bloquean tráfico considerado improductivo, innecesario o peligroso, protección contra software maligno (virus, spyware, malware en general) y un largo etcétera. Pero en la práctica, y abunda la evidencia, los problemas vienen más por el lado de las personas. Tanto por el uso negligente de los recursos como por actos malintencionados, y es llamativa la poca atención relativa que se pone a esta clase de riesgos (¿no le vienen a la mente casos como el de Wikileaks y Snowden?). Este desbalance obedece a que a) es más fácil tratar con lo técnico que con lo humano; b) particularmente si esta responsabilidad recae "en los de TI"; c) prevenir los ataques internos refiere mucho a la cultura, clima organizacional, prácticas de RR.HH., en definitiva asuntos muy complejos y discrecionales. En línea con esto y a modo de recomendación, puedo decir que los mejores planes de seguridad que he visto implementados dividen la participación entre profesionales de TI y de la dirección de RR.HH.

No hay comentarios:

Publicar un comentario