martes, 9 de julio de 2013

Del riesgo tecnológico al riesgo corporativo: una nueva realidad


Resumen: En un mundo global, donde las amenazas son diversas y altamente imprevisibles debemos pensar más allá de la tecnología, para hacerlo en términos de riesgo corporativo, uniendo la técnica con los objetivos empresariales.
 

Autor del artículo
Colaboración
RAMSÉS GALLEGO
 
 
Actualizado
 
5 de julio de 2014
 


1. VIVIMOS EN UN MUNDO SIN SECRETOS
2. GESTIONAR LOS RIESGOS PARTIENDO DEL VALOR DE LA INFORMACIÓN
3. PROTECCIÓN MÁS ALLÁ DE LA TECNOLOGÍA
4. VISIÓN ACTUAL DE LA GESTIÓN DE RIESGOS
5. HABLAR CON EL NEGOCIO EN SUS MISMOS TÉRMINOS
6. CONCLUSIONES
7. DERECHOS DE AUTOR
 

1. VIVIMOS EN UN MUNDO SIN SECRETOS

Vivimos en un mundo en el que el activo más importante de las corporaciones (después de las personas) es la información.

Una información que tiene un valor intrínseco para el negocio y, en consecuencia, para los competidores, socios y otros actores del ecosistema empresarial.

Este mundo, además, es global y las compañías encuentran que las fronteras tradicionales (el mercado local) son difusas. Curiosamente, la frontera lógica, el perímetro de defensa que establecía lo que estaba “dentro” y “fuera” también ha desaparecido ya que una compañía está tan lejos como se encuentre uno de sus empleados… con un ordenador portátil, un dispositivo móvil,… con información corporativa.

En este mundo sin secretos, un hacker ya no entra al sistema de una compañía por diversión, por fama o reconocimiento de la comunidad, sino porque hay un objetivo detrás: dinero.

Los ataques a las compañías buscan el directorio de identidades de sus usuarios, los datos de transacciones de tarjetas de crédito o la lista de sus proveedores principales y los costes de producción están dirigidos buscando aquella información; porque hay intereses comerciales detrás de estas iniciativas y porque esta información es valiosa.

Encontramos, en los últimos meses, organizaciones (criminales) que ofrecen sus servicios a través de páginas web y que invitan a diseñar un ataque dirigido a una corporación en concreto, centrándose en los sistemas de esa compañía… y las vulnerabilidades de su infraestructura.

Otros servicios consisten en la creación de un gusano (worm, en inglés) que filtrará la información semanas más tarde, con la dificultad de poder seguir las pistas en el tiempo (suponiendo que la víctima disponga de un programa de gestión de vulnerabilidades, ataques, gestión de alertas de seguridad y gestión de incidencias).

Existe un mercado negro de captura de información digital y todo un mercado de comercialización, lamentablemente, alrededor suyo.

Y los empleados a los que hacía referencia antes, profesionales en movimiento, que requieren aportar agilidad a su gestión y a los que la compañía ha facilitado herramientas de productividad móvil… no son del todo conscientes de que en estos dispositivos está el correo corporativo, la lista de clientes a visitar, los últimos pedidos entrados en el sistema,… Y es necesario gestionar los riesgos de la movilidad aportando no solo tecnología sino procesos y procedimientos para evitar fugas de información, ya sea conscientemente o por error.

La disciplina conocida como DLP (Data Loss Protection, Data Leak Prevention por sus siglas en inglés), es de capital importancia para las compañías ya que evitarán que información sensible caiga en manos inadecuadas. Y si cae, que no tenga ningún valor al encontrarse inservible.

Este mundo sin secretos ha vivido episodios muy mediáticos y cada semana podemos encontrar noticias relacionadas con ataques dirigidos a corporaciones, robo de información, pérdida involuntaria de datos (pero pérdida, al fin y al cabo) y debemos considerar que la percepción del riesgo es diferente para cada persona dentro de una compañía.

Cada cual piensa que hay acciones que son riesgos asumibles pero, desgraciadamente, no es su responsabilidad última la de proteger la información.

Conservo un registro semanal de noticias relacionadas con ataques, (des)protección de la información y robos digitales a nivel mundial. Es impresionante. Tenemos que hacer cualquier cosa para evitar el continuar viviendo en un mundo sin secretos, donde la privacidad de nuestros datos empresariales, localización geográfica, movimientos bancarios e incluso aspectos de nuestra vida personal está al alcance de organizaciones con equipos entrenados para conseguir información sensible.

Incluso un periódico hacía referencia a ataques esponsorizados, financiados por Gobiernos… no es difícil imaginar algunas (irresponsables) corporaciones privadas considerando también esta posibilidad. Porque se trata de dinero.

Éste es el mundo sin secretos en el que vivimos. Esta es la cambiante cara del riesgo.

 

2. GESTIONAR LOS RIESGOS PARTIENDO DEL VALOR DE LA INFORMACIÓN

Hemos de proteger las compañías desde una gestión de riesgos global, considerando las posibilidades de pérdida, robo o envío por error de la información y habilitar las contramedidas correspondientes.

Y todo esto ha de ocurrir teniendo en cuenta el valor de la información que estamos protegiendo. Cuánto vale y cuál es el valor que la organización le da. El negocio ha de valorar la información. En consecuencia el flujo lógico de la protección de la información es:

  • Los propietarios de los datos han de cuantificar cuál es su valor.
  • Los profesionales TIC tendrán que protegerla en consecuencia.

 

3. PROTECCIÓN MÁS ALLÁ DE LA TECNOLOGÍA

Hemos desplegado la nueva protección perimetral. Una serie de “appliances” que mejoran el acceso y gestionan la identidad federada de nuestros socios de negocio.

I estamos plenamente satisfechos del nuevo cuadro de mando que nos muestra las métricas e indicadores de cómo está funcionando el entorno, la salud del sistema… la tecnología.

Sólo la tecnología. Pero la empresa de hoy necesita una visión que vaya más allá de las soluciones técnicas, más allá de la tecnología.

Necesita que se hable en los términos que el negocio es capaz de entender, en el lenguaje en el que se miden buena parte de los objetivos de la corporación:
 
  • Rentabilidad
  • Agilidad
  • Beneficio
  • “Time-to-market”
 

No hay ninguna duda de que la dependencia que tienen los actuales negocios de la tecnología es profunda, y que ésta aporta ventajas que de otra manera sería difícil conseguir.

 

4. VISIÓN ACTUAL DE LA GESTIÓN DE RIESGOS

Los principios de gestión de riesgos de una organización no han cambiado; quizá el entorno y el contexto, pero no los fundamentos básicos:
 
  • Conocer cuál es la postura del negocio frente al riesgo
  • El factor de exposición
  • El riesgo asumible por una entidad

 

I es debido a esto que considero debemos cambiar la tendencia de aproximarnos a la gestión de riesgos desde un punto de vista únicamente tecnológico que solamente nos aporta fantásticas consolas de gestión con indicadores gráficos, de tendencias, etc. 

Tenemos un reto que hemos de tratar como estratégico. Hemos de poder considerar:
 
  • Cómo afecta cualquier evento al último objetivo del negocio.
  • Traducir el riesgo técnico en riesgo de negocio.
 

La visión actual puede propiciar que si un activo tecnológico falla, veamos esa cuestión únicamente como un impacto en la infraestructura, como un error técnico. Pero estaríamos cometiendo un grave error si solo lo viéramos en esa dimensión.

Cuando hay un error en la base de datos, en la aplicación de salida de material, en la herramienta que registra clientes, en realidad, el impacto es para el negocio, para la finalidad por la cual aquel activo fue creado. En consecuencia, es el negocio el que se resiente y el riesgo es corporativo, de la empresa y no únicamente un problema con las TIC (Tecnologías de la Información y las Comunicaciones).

Un profesional que sea responsable de la gestión de riesgos en una compañía, deberá tener las habilidades para poder unir sus indicadores técnicos con aquello que es importante para la organización:
 
  • Un período de indisponibilidad de la base de datos podría resultar en que las mercancías, o los camiones que las transportan, no salgan a tiempo y, consecuentemente, no se alcancen los objetivos de la compañía.
  • Un fallo en el proceso (no solo se trata de tecnología) de acreditación de nuevos clientes podría implicar fallos en la facturación y la pérdida de imagen corporativa, etc.

 

Hay muchos ejemplos similares. De hecho, todos los ejemplos deberían de ser abordados con métricas del negocio, de productividad, de rentabilidad.

Hemos de tener en cuenta, además, que para que exista riesgo se han de dar cuatro circunstancias:
 
  • Que exista una amenaza
  • Que ésta aproveche una vulnerabilidad
  • Que exista la probabilidad de que eso ocurra
  • Que si ocurre tenga un impacto
 

Si no se dan estas cuatro variables, no existe riesgo.

 

5. HABLAR CON EL NEGOCIO EN SUS MISMOS TÉRMINOS

En el mundo tecnológico, para poder hablar con el negocio en sus mismos términos, hemos de considerar cual sería el impacto en la operativa diaria, cómo se verían afectadas las operaciones de la compañía si se produjera, por ejemplo, un ataque.

No es importante el número exacto de correos spam que hemos recibido o el número de palabras de paso que son débiles, sino la respuesta a las preguntas:
 
  • ¿Cómo afecta esto a la compañía?
  • ¿Cómo impacta esto negativamente a los objetivos empresariales?
 

Los indicadores tecnológicos son importantes en la medida en que representen algo para la dirección de la compañía.

Creo que los informes de 25 páginas que entregamos cada mes a la dirección ejecutiva de la compañía, en los que mostramos estadísticas, tendencias, gráficas, números relativos a la tecnología… no se leen más allá de la segunda Página. Porque hablan de números técnicos y no de mercado. Son números tácticos i no información estratégica.

Pasar de la táctica a la estrategia es de capital importancia en la gestión de riesgos.

Los profesionales responsables de la seguridad de una compañía necesitan sentirse más cerca del negocio. No son “un equipo de personas que hacen cosas con ordenadores”, pero sí “un equipo humano con habilidades técnicas que no solo puede asegurar el negocio, sino agilizarlo dándole ventajas competitivas mediante la tecnología”.

 

6. CONCLUSIONES

Desde mi punto de vista, no hay ningún proyecto organizativo, ninguna iniciativa empresarial que no responda a una de las siguientes variables (o una combinación de ellas):
 
  • Mitigar el riesgo
  • Reducir los costes
  • Mejorar el servicio
  • Alinear las inversiones de TI
 

Esto lo designo como los cuatro “mandamientos corporativos”. Y el primero, curiosamente, es “mitigar el riesgo”.

En un mundo sin secretos, global, donde las amenazas son diversas, cambiantes y, debido a esto, altamente imprevisibles, debemos pensar más allá de la tecnología, más allá de las soluciones técnicas, herramientas y aplicaciones.

Debemos pensar en movernos más allá del riesgo tecnológico y pasar a pensar en riesgo corporativo, uniendo la técnica con los objetivos empresariales.

Nos lo debemos como profesionales y se lo debemos a nuestras corporaciones. Es la promesa de mitigación de los riesgos empresariales. Una nueva, necesaria y agradecida realidad.

 

7. DERECHOS DE AUTOR

Imágenes bajo licencia 123RF internacional.

 

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

 

 

Sobre el autor:

 

 

Ramsés Gallego posee formación universitaria en Ciencias Empresariales y Derecho. Una dilatada carrera de más de 15 años en las áreas de Gobierno y Gestión del Riesgo. En la actualidad es Security Strategist & Evangelist de Dell Software desde donde define y ejecuta la visión y estrategia de la compañía en materia de seguridad. Anteriormente, estuvo CA Technologies durante 8 años y fue Regional Manager de SurfControl, en ambos casos con responsabilidad en España y Portugal. Recientemente, Ramsés fue Director General de Entelgy Catalunya y Chief Strategy Officer de su práctica de seguridad. Ramsés ha participado en el Comité de Certificación CISM y CGEIT de ISACA durante varios años y ha sido Presidente de la Conferencia ISRM (Information Security & Risk Management) para todo el mundo con eventos en Las Vegas, Ámsterdam, Viena y, este año, en Barcelona.

Ha formado parte del Comité Organizador del evento SecureCloud 2010 en Barcelona y 2012 en Frankfurt y ha pertenecido al equipo que planificó el primer World Congress de ISACA que se celebró en Washington en junio 2011. Ha redefinido, junto a un equipo de expertos, el cuerpo de conocimiento de la certificación CISM y ha tenido el honor de pertenecer al Comité de Innovación y Prácticas de ISACA desde donde se presentan diversos entregables e investigación para la comunidad y en los que Ramsés ha participado y, en algún caso, es coautor. Ramsés es vicepresidente de ISACA y presidente del capítulo de Barcelona, donde también ha sido Research Director y Strategic Planning.

Poseedor de varias certificaciones que aportan una combinación de alto valor, CISM (Certified Information Security Manager), CGEIT (Certified in the Governance of the Enterprise IT) y CISSP (Certified Information Systems Security Professional), ha obtenido también una de las primeras certificaciones en España de conocimiento de seguridad en la nube, CCSK (Certificate of Cloud Security Knowledge). Ramsés está acreditado igualmente en buenas prácticas de gestión como ITIL y COBIT Foundations, posee la certificación de gestión de proyectos por la Universidad de Stanford (SCPM, Stanford Certified Project Manager) y es un profesional acreditado Six Sigma Black Belt.

Ponente habitual en eventos internacionales, ha visitado en 2012 más de 23 ciudades en 18 países diferentes evangelizando alrededor de las disciplinas Cloud, Governance y Risk Management. Acaba de recibir el galardón John Kuyers Award como 'Best Speaker' de ISACA y ha recibido reconocimientos similares en varios países.

Ramsés vive en Barcelona con su mujer y dos adorables hijos.

 



No hay comentarios:

Publicar un comentario