Cualquier profesión nace de una forma particular de ver el mundo, hasta incluso nuestros sentidos se basan en la percepción de una porción en particular pero limitada de todo lo que ocurre a nuestro alrededor. El entrenamiento como profesional de la seguridad de la información no es la excepción: fundamentalmente, se aprende a percibir el mundo en función del riego y su análisis, y todo lo demás es consecuencia de realizar ese cambio de mentalidad.
Es por eso que más allá de todas las cuestiones diplomáticas, políticas, sociales y económicas relacionadas al denominado escándalo de las filtraciones de información confidencial que tanta atención mediática están recibiendo, difundidas a través del sitio WikiLeaks, como profesionales de la seguridad de la información deberíamos preguntarnos: ¿cuál es el riesgo de que esto ocurra en mi organización?
Tratemos de ver la cuestión desde los tres pilares sobre los que se apoya cualquier estrategia asociada a las tecnologías de la información, esto es: “Personas”, “Tecnologías” y “Procesos”.
Desde el punto de vista de las personas, es notable que en algunos medios hay quienes consideran un “héroe” a la persona que produjo las filtraciones… sin duda, una gran motivación: ¿quién no desearía ser elevado en consideración por encima de sus pares, y mucho más aún a una categoría tan honorable y tan poco común en nuestros días?
Ahora bien, desde el punto de vista de la seguridad de la información, ¿qué diferencia existe entre la conceptualización de héroe que se le da a esa persona, y la que se le da en el día a día a quien, por ejemplo, descubre la forma de evitar una política corporativa para instalar una aplicación prohibida, distribuyendo esta información entre sus más allegados? En definitiva, la motivación psicológica pareciera ser muy similar, y por cierto no es la única que podríamos describir si analizamos qué tipo de situaciones podrían presentarse alrededor de la violación de políticas, procesos y procedimientos asociados a la seguridad de la información.
Bien lo estudió hace ya varios años Michel Foucault: todo poder engendra contra-conductas y resistencias; y si bien esto no es evitable, al menos es bueno estar advertidos, y tomar precauciones.
El castigo por sí solo no es una forma útil de luchar contra las resistencias. Sin duda, la mejor estrategia es convencer, lo cual está directamente relacionado con comunicar y negociar; no creo que puedan existir estos tres conceptos por separado, y no conozco ningún caso en los que la aplicación de unos sin los otros haya funcionado sostenidamente en el tiempo.
Obtener el compromiso de la gente requiere de un esfuerzo mayor al que conduce a redactar y publicar documentos con políticas de seguridad, pero es imprescindible si queremos garantizar que esas políticas tendrán un impacto positivo y duradero en la organización.
Y en el mismo sentido, determinar qué personas son las más aptas para desarrollar cada función en una organización, más allá de las cuestiones netamente técnicas, se transforma en una ventaja competitiva cuando advertimos los beneficios que ofrece el enfoque estratégico de estas cuestiones.
Desde el punto de vista de la tecnología, pareciera que el tema se reduce a algún tipo de análisis de costo versus beneficio o de retorno de la inversión, en función del cual se determinaría qué tanto es justificable invertir en función de lo que se desea proteger y su valor para la organización.
Convengamos que en función de los niveles de riesgo que se observan habitualmente en el promedio de las empresas de la región, la sola realización de ese tipo de análisis en las organizaciones implicaría un gran avance respecto a la situación actual.
Sin embargo, con eso no basta: invertir en tecnología y asegurar que esa inversión está alineada al negocio de la organización, es solamente una parte del problema; también es necesario entender de qué forma es mejor aplicar esas inversiones, para obtener el mayor beneficio tecnológico posible.
Por último, cuando se analiza una cuestión desde el punto de vista sistémico y sus procesos asociados, se entiende que detrás de cada error existe un proceso mejorable, y es hacia ahí donde deben enfocarse los principales esfuerzos.
La seguridad de la información posee un marco definido y probado para la gestión integral de los aspectos principales que la conforman (Confidencialidad, Integridad, Disponibilidad), que es el sistema de gestión definido por la norma ISO 27001; alrededor de este sistema de gestión, es posible aplicar e integrar otras normas y recomendaciones sobre aspectos específicos como la continuidad del negocio, el gobierno de IT o la gestión de servicios de IT, por nombrar solamente algunas, pero sin duda que el marco de referencia que ofrece ISO 27001 es lo suficientemente completo como para que su implementación a nivel organizacional requiera de varios años hasta alcanzar su madurez.
La clasificación de la información y la aplicación de controles son ejemplos de lineamientos que necesitan ser traducidos en prácticas particulares para cada organización, e incorporados en la cultura para que sus efectos sean duraderos y máximos en función de los recursos y los objetivos planteados.
No está de más señalar que si dijimos que para la implementación de políticas de seguridad era necesario el compromiso de los usuarios, al hablar de procesos y sistemas de gestión es necesario que el primer órgano comprometido con su implementación, sea la Alta Dirección de la organización; idealmente, antes de escribir el primer renglón de una política, proceso o procedimiento relacionado a la seguridad de la información, sería necesario enfocar todos los esfuerzos en conseguir el compromiso (y su materialización) de los niveles directivos más altos de la organización.
Quizás las dos formas más evidentes y directas en que se demuestra el compromiso en los niveles directivos sean la asignación de recursos y el ejemplo.
Muchas veces menospreciamos el poder que dar el ejemplo tiene sobre una organización; las figuras directivas definen los límites de lo posible no solamente a través de las políticas de seguridad que firman, sino también desde sus propios dichos y acciones.
La fuga de información es consecuencia de muchos factores: a veces es un medio para otros fines, a veces es un indicador de otros riesgos potenciales más severos, pero siempre es una indicación de una falla sistémica en distintos niveles de la organización.
También es cierto que hay quienes persiguen otro tipo de beneficios a través de acciones que violan las políticas de seguridad, como por ejemplo económicos, que parecerían más difíciles de prevenir.
En cualquier caso, la combinación de técnicas, herramientas y sistemas de gestión que integren enfoques desde el punto de vista de las personas, los procesos y las tecnologías, han probado ser los más efectivos hacia lo mejor que podemos aspirar en cuanto a la seguridad de la información: reducir el riesgo a un mínimo aceptable para la continuidad (y el crecimiento!) del negocio de la organización.
Tratemos de analizar el conflicto ocasionado por WikiLeaks a la luz de las consideraciones que volcamos en este artículo: ¿cuál era el compromiso de quienes filtraron la información? ¿Qué tecnologías estaban en funcionamiento para impedir que esto ocurriese? ¿Existía un análisis de riesgo que regulara la aplicación de esas tecnologías? ¿Qué procesos, procedimientos y controles se encontraban implementados? Para muchas de estas y otras preguntas quizás nunca obtengamos la respuesta, pero sí la primera reacción difundida es la creación de un órgano dedicado al control de la información, creo que cada uno podrá sacar sus propias conclusiones.
En el ámbito de las empresas, también cabría preguntarse: ¿Cuántas veces actuamos luego de que se presentan los incidentes? ¿Qué tan proactivos somos al momento de prevenir? ¿Qué tanto más positivos podríamos ser para el negocio si actuáramos antes, y no después, de un incidente?
En definitiva, la fuga de información es consecuencia de muchos factores: a veces es un medio para otros fines, a veces es un indicador de otros riesgos potenciales más severos, pero siempre es una indicación de una falla sistémica en distintos niveles de la organización.
También es cierto que hay quienes persiguen otro tipo de beneficios a través de acciones que violan las políticas de seguridad, como por ejemplo económicos, que parecerían más difíciles de prevenir.
En cualquier caso, la combinación de técnicas, herramientas y sistemas de gestión que integren enfoques desde el punto de vista de las personas, los procesos y las tecnologías, han probado ser los más efectivos hacia lo mejor que podemos aspirar en cuanto a la seguridad de la información: reducir el riesgo a un mínimo aceptable para la continuidad y el crecimiento del negocio de la organización.
