Resumen: En un mundo global, donde las
amenazas son diversas y altamente imprevisibles debemos pensar más allá de la
tecnología, para hacerlo en términos de riesgo corporativo, uniendo la técnica
con los objetivos empresariales.
Autor del artículo
|
Colaboración
|
|
RAMSÉS
GALLEGO
|
||
Actualizado
|
5 de julio de 2014
|
|
1. VIVIMOS EN UN MUNDO SIN SECRETOS
2. GESTIONAR LOS RIESGOS PARTIENDO DEL VALOR DE LA
INFORMACIÓN3. PROTECCIÓN MÁS ALLÁ DE LA TECNOLOGÍA
4. VISIÓN ACTUAL DE LA GESTIÓN DE RIESGOS
5. HABLAR CON EL NEGOCIO EN SUS MISMOS TÉRMINOS
6. CONCLUSIONES
7. DERECHOS DE AUTOR
1. VIVIMOS
EN UN MUNDO SIN SECRETOS
Vivimos en un mundo en el que el activo más importante de las
corporaciones (después de las personas) es la información.
Una información que tiene un valor intrínseco para el negocio
y, en consecuencia, para los competidores, socios y otros actores del
ecosistema empresarial.
Este mundo, además, es global y las compañías encuentran que
las fronteras tradicionales (el mercado local) son difusas. Curiosamente, la
frontera lógica, el perímetro de defensa que establecía lo que estaba “dentro”
y “fuera” también ha desaparecido ya que una compañía está tan lejos como se
encuentre uno de sus empleados… con un ordenador portátil, un dispositivo
móvil,… con información corporativa.
En este mundo sin secretos, un hacker ya no entra al sistema
de una compañía por diversión, por fama o reconocimiento de la comunidad, sino
porque hay un objetivo detrás: dinero.
Los ataques a las compañías buscan el directorio de
identidades de sus usuarios, los datos de transacciones de tarjetas de crédito
o la lista de sus proveedores principales y los costes de producción están
dirigidos buscando aquella información; porque hay intereses comerciales detrás
de estas iniciativas y porque esta información es valiosa.
Encontramos, en los últimos meses, organizaciones
(criminales) que ofrecen sus servicios a través de páginas web y que invitan a
diseñar un ataque dirigido a una corporación en concreto, centrándose en los
sistemas de esa compañía… y las vulnerabilidades de su infraestructura.
Otros servicios consisten en la creación de un gusano (worm,
en inglés) que filtrará la información semanas más tarde, con la dificultad de
poder seguir las pistas en el tiempo (suponiendo que la víctima disponga de un
programa de gestión de vulnerabilidades, ataques, gestión de alertas de
seguridad y gestión de incidencias).
Existe un mercado negro de captura de información digital y
todo un mercado de comercialización, lamentablemente, alrededor suyo.
Y los empleados a los que hacía referencia antes,
profesionales en movimiento, que requieren aportar agilidad a su gestión y a
los que la compañía ha facilitado herramientas de productividad móvil… no son
del todo conscientes de que en estos dispositivos está el correo corporativo,
la lista de clientes a visitar, los últimos pedidos entrados en el sistema,… Y
es necesario gestionar los riesgos de la movilidad aportando no solo tecnología
sino procesos y procedimientos para evitar fugas de información, ya sea
conscientemente o por error.
La disciplina conocida como DLP (Data Loss Protection, Data
Leak Prevention por sus siglas en inglés), es de capital importancia para las
compañías ya que evitarán que información sensible caiga en manos inadecuadas. Y
si cae, que no tenga ningún valor al encontrarse inservible.
Este mundo sin secretos ha vivido episodios muy mediáticos y
cada semana podemos encontrar noticias relacionadas con ataques dirigidos a
corporaciones, robo de información, pérdida involuntaria de datos (pero
pérdida, al fin y al cabo) y debemos considerar que la percepción del riesgo
es diferente para cada persona dentro de una compañía.
Cada cual piensa que hay acciones que son riesgos asumibles
pero, desgraciadamente, no es su responsabilidad última la de proteger la
información.
Conservo un registro semanal de noticias relacionadas con
ataques, (des)protección de la información y robos digitales a nivel mundial.
Es impresionante. Tenemos que hacer cualquier cosa para evitar el continuar
viviendo en un mundo sin secretos, donde la privacidad de nuestros datos
empresariales, localización geográfica, movimientos bancarios e incluso
aspectos de nuestra vida personal está al alcance de organizaciones con equipos
entrenados para conseguir información sensible.
Incluso un periódico hacía referencia a ataques esponsorizados,
financiados por Gobiernos… no es difícil imaginar algunas (irresponsables)
corporaciones privadas considerando también esta posibilidad. Porque se trata
de dinero.
Éste es el mundo sin secretos en el que vivimos. Esta es la
cambiante cara del riesgo.
2. GESTIONAR
LOS RIESGOS PARTIENDO DEL VALOR DE LA INFORMACIÓN
Hemos de proteger las compañías desde una gestión de riesgos
global, considerando las posibilidades de pérdida, robo o envío por error de la
información y habilitar las contramedidas correspondientes.
Y todo esto ha de ocurrir teniendo en cuenta el valor de la
información que estamos protegiendo. Cuánto vale y cuál es el valor que la
organización le da. El negocio ha de valorar la información. En consecuencia el
flujo lógico de la protección de la información es:
- Los propietarios de los datos han de cuantificar cuál es su valor.
- Los profesionales TIC tendrán que protegerla en consecuencia.
3.
PROTECCIÓN MÁS ALLÁ DE LA TECNOLOGÍA
Hemos desplegado la
nueva protección perimetral. Una serie de “appliances” que mejoran el acceso y
gestionan la identidad federada de nuestros socios de negocio.
I estamos plenamente satisfechos
del nuevo cuadro de mando que nos muestra las métricas e indicadores de cómo
está funcionando el entorno, la salud del sistema… la tecnología.
Sólo la tecnología. Pero la empresa de hoy necesita una
visión que vaya más allá de las soluciones técnicas, más allá de la tecnología.
Necesita que se hable en los términos que el negocio es capaz
de entender, en el lenguaje en el que se miden buena parte de los objetivos de
la corporación:
- Rentabilidad
- Agilidad
- Beneficio
- “Time-to-market”
No hay ninguna duda de que la dependencia que tienen los
actuales negocios de la tecnología es profunda, y que ésta aporta ventajas que
de otra manera sería difícil conseguir.
4. VISIÓN
ACTUAL DE LA GESTIÓN DE RIESGOS
Los principios de gestión de riesgos de una organización no
han cambiado; quizá el entorno y el contexto, pero no los fundamentos básicos:
- Conocer cuál es la postura del negocio frente al riesgo
- El factor de exposición
- El riesgo asumible por una entidad
I es debido a esto que considero debemos cambiar la tendencia
de aproximarnos a la gestión de riesgos desde un punto de vista únicamente
tecnológico que solamente nos aporta fantásticas consolas de gestión con
indicadores gráficos, de tendencias, etc.
Tenemos un reto que hemos de tratar como estratégico. Hemos
de poder considerar:
- Cómo afecta cualquier evento al último objetivo del negocio.
- Traducir
el riesgo técnico en riesgo de negocio.
La visión actual puede propiciar que si un activo tecnológico
falla, veamos esa cuestión únicamente como un impacto en la infraestructura,
como un error técnico. Pero estaríamos cometiendo un grave error si solo lo
viéramos en esa dimensión.
Cuando hay un error en la base de datos, en la aplicación de
salida de material, en la herramienta que registra clientes, en realidad, el
impacto es para el negocio, para la finalidad por la cual aquel activo fue
creado. En consecuencia, es el negocio el que se resiente y el riesgo es
corporativo, de la empresa y no únicamente un problema con las TIC (Tecnologías
de la Información y las Comunicaciones).
Un profesional que sea responsable de la gestión de riesgos
en una compañía, deberá tener las habilidades para poder unir sus indicadores
técnicos con aquello que es importante para la organización:
- Un período de indisponibilidad de la base de datos podría resultar en que las mercancías, o los camiones que las transportan, no salgan a tiempo y, consecuentemente, no se alcancen los objetivos de la compañía.
- Un fallo en el proceso (no solo se trata de tecnología) de acreditación de nuevos clientes podría implicar fallos en la facturación y la pérdida de imagen corporativa, etc.
Hay muchos ejemplos similares. De hecho, todos los ejemplos
deberían de ser abordados con métricas del negocio, de productividad, de
rentabilidad.
Hemos de tener en cuenta, además, que para que exista riesgo
se han de dar cuatro circunstancias:
- Que exista una amenaza
- Que ésta aproveche una vulnerabilidad
- Que exista la probabilidad de que eso ocurra
- Que si ocurre tenga un impacto
Si no se dan estas cuatro variables, no existe riesgo.
5. HABLAR
CON EL NEGOCIO EN SUS MISMOS TÉRMINOS
En el mundo tecnológico, para poder hablar con el negocio en
sus mismos términos, hemos de considerar cual sería el impacto en la operativa
diaria, cómo se verían afectadas las operaciones de la compañía si se
produjera, por ejemplo, un ataque.
No es importante el número exacto de correos spam que hemos
recibido o el número de palabras de paso que son débiles, sino la respuesta a
las preguntas:
- ¿Cómo afecta esto a la compañía?
- ¿Cómo impacta esto negativamente a los objetivos empresariales?
Los indicadores tecnológicos son importantes en la medida en
que representen algo para la dirección de la compañía.
Creo que los informes de 25 páginas que entregamos cada mes a
la dirección ejecutiva de la compañía, en los que mostramos estadísticas,
tendencias, gráficas, números relativos a la tecnología… no se leen más allá de
la segunda Página. Porque hablan de números técnicos y no de mercado. Son
números tácticos i no información estratégica.
Pasar de la táctica a la estrategia es de capital importancia
en la gestión de riesgos.
Los profesionales responsables de la seguridad de una
compañía necesitan sentirse más cerca del negocio. No son “un equipo de
personas que hacen cosas con ordenadores”, pero sí “un equipo humano con
habilidades técnicas que no solo puede asegurar el negocio, sino agilizarlo
dándole ventajas competitivas mediante la tecnología”.
6. CONCLUSIONES
Desde mi punto de vista, no hay ningún proyecto organizativo,
ninguna iniciativa empresarial que no responda a una de las siguientes
variables (o una combinación de ellas):
- Mitigar el riesgo
- Reducir los costes
- Mejorar el servicio
- Alinear las inversiones de TI
Esto lo designo como los cuatro “mandamientos corporativos”.
Y el primero, curiosamente, es “mitigar el riesgo”.
En un mundo sin secretos, global, donde las amenazas son
diversas, cambiantes y, debido a esto, altamente imprevisibles, debemos pensar
más allá de la tecnología, más allá de las soluciones técnicas, herramientas y aplicaciones.
Debemos pensar en movernos más allá del riesgo tecnológico y
pasar a pensar en riesgo corporativo, uniendo la técnica con los objetivos
empresariales.
Nos lo debemos como profesionales y se lo debemos a nuestras
corporaciones. Es la promesa de mitigación de los riesgos empresariales. Una
nueva, necesaria y agradecida realidad.
7.
DERECHOS DE AUTOR
Imágenes bajo licencia 123RF internacional.
La presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el
autor:
+12.46.31.png)
Ramsés Gallego posee formación universitaria en Ciencias Empresariales y Derecho. Una
dilatada carrera de más de 15 años en las áreas de Gobierno y Gestión del
Riesgo. En la actualidad es Security Strategist & Evangelist de Dell
Software desde donde define y ejecuta la visión y estrategia de la compañía
en materia de seguridad. Anteriormente, estuvo CA Technologies durante 8
años y fue Regional Manager de SurfControl, en ambos casos con responsabilidad
en España y Portugal. Recientemente, Ramsés fue Director General de Entelgy
Catalunya y Chief Strategy Officer de su práctica de
seguridad. Ramsés ha participado en el Comité de Certificación CISM y CGEIT de
ISACA durante varios años y ha sido Presidente de la Conferencia ISRM (Information
Security & Risk Management) para todo el mundo con eventos en Las Vegas,
Ámsterdam, Viena y, este año, en Barcelona.
Ha
formado parte del Comité Organizador del evento SecureCloud 2010 en Barcelona y
2012 en Frankfurt y ha pertenecido al equipo que planificó el primer World
Congress de ISACA que se celebró en Washington en junio 2011. Ha redefinido,
junto a un equipo de expertos, el cuerpo de conocimiento de la certificación
CISM y ha tenido el honor de pertenecer al Comité de Innovación y Prácticas de
ISACA desde donde se presentan diversos entregables e investigación para la
comunidad y en los que Ramsés ha participado y, en algún caso, es coautor.
Ramsés es vicepresidente de ISACA y presidente del capítulo de Barcelona, donde también ha sido Research Director y Strategic Planning.
Poseedor
de varias certificaciones que aportan una combinación de alto valor,
CISM (Certified Information Security Manager), CGEIT (Certified
in the Governance of the Enterprise IT) y CISSP (Certified
Information Systems Security Professional), ha obtenido también una de las
primeras certificaciones en España de conocimiento de seguridad en la nube,
CCSK (Certificate of Cloud Security Knowledge). Ramsés está acreditado
igualmente en buenas prácticas de gestión como ITIL y COBIT Foundations, posee
la certificación de gestión de proyectos por la Universidad de Stanford
(SCPM, Stanford Certified Project Manager) y es un profesional
acreditado Six Sigma Black Belt.
Ponente
habitual en eventos internacionales, ha visitado en 2012 más de 23 ciudades en
18 países diferentes evangelizando alrededor de las disciplinas Cloud,
Governance y Risk Management. Acaba de recibir el galardón
John Kuyers Award como 'Best Speaker' de ISACA y ha recibido reconocimientos
similares en varios países.
Ramsés
vive en Barcelona con su mujer y dos adorables hijos.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.