¿La era de los controles? Un entorno de nube y mobile, el duro misterio de saber donde están nuestro
¿La era de los controles?
Un entorno de nube y mobile, el duro misterio de saber donde están nuestros datos
Las necesidades del Negocio han ido trasladando a la industria de la información diversas "ideas" que la han impulsado en una forma cada vez más abrupta a brindar soluciones que aporten mayor velocidad de respuesta en el tratamiento de los datos y mayor disponibilidad de los mismos. Tener las respuestas y la información en todo momento y al alcance de las manos tienen sus costos asociados... y sus riesgos.
Desde los años 90 escuchamos hablar, y en algunos casos los hemos contratado, sobre servicios de housing, hosting, colocation, etc., además de incrementar en las Organizaciones el uso de notebooks y PDAs en la tarea habitual tanto de áreas tecnológicas como administrativas.
Esta tendencia que devino en el Cloud Computing, sumado al hecho de contar con medios móviles cada vez más sofisticados para procesar o accesar información, ha creado nuevas brechas de seguridad y por sobre todo nuevas expectativas de negocio que hacen crecer aún más la tecnología, la dependencia de las empresas y las personas hacia estos servicios o herramientas de procesamiento.
¿Cual es la puja entonces? Considero que actualmente nos encontramos entre la definición de "La era de la nube" o la "Era de los controles". Para aquellos que trabajamos en este entorno y quienes los consumen, podrán ver que tanto desde el aspecto regulatorio como de su propio marco de control del Negocio han crecido sustancialmente las presiones sobre la registración y control del procesamiento de la información.
¿Cuál es el cuidado y porque estamos llegando a esto? No necesariamente cuando se piensa en “servicio” se entiende que debe llevar una parte de aseguramiento en cada proceso del servicio. El objetivo principal buscado es “información disponible y de rápido procesamiento”, dos pautas que atentan drásticamente contra la Confidencialidad y la Integridad de los datos que tratamos, que como sabemos no solo son del Negocio sino que en su gran mayoría "nos los prestan"... Como es el caso de los datos personales.
Personalmente el concepto que trato de difundir es la diferencia entre seguridad y aseguramiento basado en las siguientes definiciones:
Seguridad
Conjunto de medidas y acciones que se aceptan para proteger los datos contra determinados riesgos a que está expuesto.
Aseguramiento
Establecer las medidas necesarias para que los datos sean procesados en forma segura y accedidos por las personas necesarias, se conviertan en información útil para el Negocio y su transformación se realice bajo métodos de control y registración que aseguren su Confidencialidad, Integridad y Disponibilidad.
Como trato de indicarles, los datos ingresados a los sistemas de procesamiento de una Organización se integran y convierten en información necesaria para cada uno de sus procesos de Negocio mediante las distintas transformaciones a las que se ve expuesta dependiendo de la “química” aplicada para cada uno de ellos.
Por lo tanto el secreto que se propone descubrir en este nuevo paradigma, que no es tan nuevo, es el desarrollar servicios y procesos que traten la información convirtiéndola en sabiduría e inteligencia para el Negocio de las Empresas, y esto implica el establecer procesos asegurados que no solo entreguen la información rápidamente sino también con la calidad necesaria para que la respuesta al Negocio sea segura.
¿Cuántas veces nos preguntamos de que depende el éxito? ¿Hacemos una lista de componentes necesarios para el éxito de nuestro Negocio, en base al tratamiento de la información? El aseguramiento de sus procesos de tratamiento ¿Está incluido como un factor necesario para el éxito?
En alguna oportunidad mencioné que esto lo podemos lograr identificando 4 dominios claros sobre los cuales invertiremos nuestros recursos: Gobierno + Gestión de Riesgos + Educación + Cumplimiento. En la medida en que utilicemos más servicios tercerizados para el alojamiento de datos o involucremos mayor cantidad de herramientas mobile a nuestra Organización para el tratamiento de los mismos, mayor es la necesidad en implementar controles.
Esto quiere decir que, para el caso de servicios Cloud por ejemplo, cualquier requisito relacionado con el marco de protección establecido por diferentes normativas y regulaciones conlleva a la necesidad de visualizar en donde debemos aplicar cada uno de los 4 dominios que nos ayudaran a controlar el servicio, donde podemos identificar principalmente que el GOBIERNO debe ser compartido al igual que el CUMPLIMIENTO para todos los componentes.
De igual forma, y como ya está aplicándose en la mayoría de las Organizaciones, los sectores de Seguridad Informática o Seguridad de la Información, imparten el marco normativo y estándares de configuración de seguridad que las áreas de soporte tecnológico implementan en los diferentes equipos mobile.
Por ello, ya se trate de un proveedor interno como de un proveedor externo, vamos a poder ver como parte de la Gestión Operativa de componentes y servicios de tratamiento de información va a ir migrando en su mayoría hacia una Gestión de Control.
Cuando nos proponen establecer controles debemos poder entender que no necesariamente deben cambiar los procesos, pero lo que si puede cambiar es la forma de registrarlos. Esto ayuda a poder identificar los puntos de control sin necesidad de cambiar un proceso, evitando entorpecer la operatoria general causando pérdida de tiempo.
Poder visualizar las diferentes situaciones bajo el concepto “Cliente – Proveedor” desde el Negocio, permite a las Organizaciones establecer un balance entre los esfuerzos y los recursos cuando se trata de sectores internos. Pensemos esto como una intención de compartir esfuerzos y que en lugar de tener áreas asociadas al costo, estas en realidad forman parte del Plan de Negocios ya que proveen “aseguramiento” a cada uno de los procesos que hacen a la Organización.
El aseguramiento de la información aporta a la calidad de servicios o productos que comercialice la Organización, y en consecuencia mejoran los resultados esperados. La única forma de asegurarnos estos resultados es mediante la monitorización y control de cada uno de los procesos claves del Negocio.
¿Qué significa controlar?
1. Identificar cuáles son los objetivos de control
2. Saber con qué herramientas nativas o alternativas contamos
3. Formalizarlas, agregándolas a nuestros procedimientos normativos
4. Identificar herramientas que puedan registrar controles sin implementar
Tengamos en cuenta que en la tercerización la responsabilidad no se transfiere, se comparte. Por ello cada vez que pensemos en delegar parte o toda la operatoria a nuestro cargo, también estaremos delegando a quien nos brinde el servicio nuestro conocimiento, cultura por sobre la operación delegada y principalmente una operación asociada a requisitos regulatorios y del Negocio que nuestro proveedor debe cumplir tanto como nosotros.
El vínculo solidario en la necesidad de cumplimiento en nuestra relación de Cliente con el Proveedor no es más que reemplazar nuestros procesos y manuales de operación por procesos y registros de control.
Los avances tecnológicos y las herramientas de comunicación también han servido como impulsores tangenciales para el crecimiento de la necesidad de los controles. La tecnología actual nos va dejando cada vez más herramientas que posibilitan a los usuarios manejar información fuera de entornos controlados. Y la velocidad tecnológica no siempre va acompañada de la concientización en materia de Seguridad de la Información.
Las notebooks, netbooks, tablets y sobre todo teléfonos móviles se han convertido en repositorios de información que puede ser muy valiosa o muy costosa para nuestra Empresa. Lo cierto es que, para cada proceso de Seguridad de la Información, se debe considerar la seguridad de los dispositivos móviles de forma integral, pensando en qué debemos hacer si desaparece un dispositivo y minimizando la exposición de información confidencial, sensible o interna.
Las regulaciones legales actuales sobre la protección de datos personales, así como marcos regulatorios como PCI-DDS o la Comunicación “A” 4609 del B.C.R.A., son el motivo para no pensar que solo se trata de la información que perdemos. Quedar expuesto legalmente puede ser un impacto significativo para cualquier Organización.
Como todo es “cultura”, principal y fundamentalmente debe hacerse una campaña de concientización al usuario en el uso profesional del dispositivo, sobre todo teniendo en cuenta que por “hábitos y costumbres” los dispositivos portátiles se “transforman” en equipos de uso personal de los usuarios, quienes habitualmente tienen otorgados permisos de administrador sobre el equipo confiado.
Lo más difícil de los controles no es implementarlos, sino impulsarlos. Efectuar los controles necesarios sobre el Negocio benefician al Negocio y a su entorno operativo, lo aseguran en sus resultados de calidad y económicos y le permiten establecer un entorno confiable y medible que le asegure también su permanencia en el tiempo. Por ello, el primer precursor de los controles debería de ser “El Negocio”, ya que es su aliado necesario para la tecnología y regulaciones que corren, no importa cuál sea su industria.
Conclusión
Aplicar controles en la justa medida de la Organización facilita el delegar la operación, sobre todo si consideramos esta opción para mejorar el enfoque en el Negocio, además de reducir la carga en el cumplimiento al tener predefinidos los registros surgidos de los controles y una mitigación de riesgos efectiva como resultado de establecer un monitoreo periódico.
Fabián Descalzo
Certificado en Dirección de Seguridad de la Información (Universidad CAECE)
Analista de Seguridad Informática - Auditoria y Control de Información
ITIL V3 Certified - ISO 20000 Internal Audit Certified