Seguridad y negocio
La interconexión de las organizaciones con sus clientes y suministradores, ya sea a escala local, regional, nacional o mundial, nunca ha sido una necesidad tan crítica como en la actualidad. Pero las ventajas que aporta el acceso remoto, la explotación global de nuevos mercados y las reducciones de costes asociadas a Internet vienen acompañadas de un buen número de riesgos de seguridad. Es el lado oscuro de las nuevas posibilidades de comunicación.
En seguridad, todo está cambiando, generando en su evolución nuevas necesidades de gestión para mitigar el impacto potencial de los malintencionados contra las operaciones, la información o la marca de la empresa, además de los propios riesgos que implica garantizar la disponibilidad de los sistemas y la continuidad de negocio. Todas estas cuestiones y otras muchas tienen consecuencias directas en los presupuestos TI, ya que obligan a dotarse del equipamiento de seguridad adecuado, así como a formar a los profesionales y concienciar a los empleados en general. Por ello, la seguridad se ha de abordar como una de las partes clave del negocio, al mismo nivel que otras áreas, como recursos humanos, contabilidad, marketing y ventas; en definitiva, como cualquier otro proceso de misión crítica para la empresa. Y como cualquier otro proceso crítico, la seguridad ha de tener la misma justificación de negocio en términos como planificación o retorno de la inversión (ROI). Comprender la proposición de valor de un buen programa de seguridad es fundamental para la empresa.
Los cambios en la naturaleza de los retos y daños, y la publicidad que suele acompañar a las explotaciones de los hackers han transformado a su vez los fundamentos de la seguridad en cuanto a modelo, objetivos, variaciones y análisis y gestión de riesgos. En lo que se refiere al modelo, los cambios son evidentes. El modelo clásico ‘ciudadela’ consistía simplemente en mantener alejados a los “enemigos” y permitir el acceso sólo a los “amigos”, fortificando así el “castillo”. Pero como en realidad la seguridad nunca fue tan simple, está emergiendo el modelo ‘póliza de seguros’, basado fundamentalmente en el análisis de riesgos y su gestión, de la misma manera que se hace ante otros desafíos físicos, desde los incendios a las inundaciones, terremotos y robos físicos.
Balance de modelos
El modelo ciudadela es binario: la persona que desea acceder o es de los nuestros o es de los enemigos. No hay zonas grises. Eso sí, cualquiera que desee entrar debe ser inspeccionado. Y eso es justo lo que tratan de evitar los hackers y los cibercriminales. El modelo de “póliza de seguros”, sin embargo, implica un equilibrio presupuestario entre problemas específicos y costes de protección, y requiere además la aplicación de políticas y la ayuda de expertos en la materia.
Aunque ambos modelos tienen su sentido, es fácil ver que ninguno se adapta al cien por cien a todas las situaciones y entornos. En el más clásico, algunos de estos “outsiders” considerados a priori enemigos potenciales pueden ser en realidad clientes, empleados, proveedores o cualquier otro tipo de usuario legítimo. Siguiendo el modelo de póliza de seguros, podemos proteger los edificios y el mobiliario, pero descuidar otras partes incluso más primordiales del negocio, como el valor e imagen de la marca, la reputación de la firma o la confianza del cliente. Para cualquier clase de organización, sin embargo, quizá la mejor opción provenga del balance razonable entre ambas alternativas. En la ecuación se han de tener en cuenta factores como la simplicidad, la adecuación al modelo de negocio y los costes.
Antes de nada, conviene fijar los objetivos de la seguridad de red analizando vulnerabilidades y riesgos, tanto generales como los específicamente sectoriales, y su impacto en el negocio. Todos ellos, cada uno con su propia proposición de valor, se pueden encuadrar en las categorías de confidencialidad y privacidad, integridad de la información, no repudio de las transacciones y documentos, confianza y responsabilidad, y disponibilidad.
Objetivos y proposición de valor
Una de las primeras aplicaciones de seguridad de la información y de red es garantizar la confidencialidad de los datos y la privacidad, que podrían verse comprometidas cuando se exponen a personas no autorizadas, con los consecuentes daños y pérdidas económicas directos o por incumplimiento normativo. Este mismo fenómeno se produce cuando se desvela información fuera de contexto, impactando la toma de decisiones de compra o de negocio. El primer valor de negocio de la seguridad es, por tanto, garantizar la confidencialidad y el control de la propiedad y uso de la información.
Tan importante como lo anterior es la integridad de los datos. Si los dos primeros factores aseguran que los datos no se exponen de forma inapropiada, la integridad garantiza que, con independencia de su forma final, la información no ha sido alterada de un modo no autorizado durante su ciclo de vida, lo que incluye auditar su origen y los cambios que se han realizado en ella, cuándo y por quién. La importancia de la integridad queda clara como ejemplo en el caso de una transacción importante con información financiera que será la base de la toma de decisiones de negocio o legales y cuyos datos de origen o sus sucesivos registros hubieran sido falsificados. O si un hacker accede a una base de datos de una firma farmacéutica y altera la información allí contenida. Las ramificaciones de la integridad de la información son tan enormes como los daños y responsabilidades que acarrea su violación.
Otro objetivo clave de la seguridad de red es garantizar la prueba de que todas las partes implicadas en una transacción o documento han participado realmente en su creación, tratamiento, modificación o recepción, aunque hayan estado distantes físicamente entre sí durante el proceso. Este objetivo, conocido como no repudio del documento, es tan importante en el mundo electrónico como en el mundo del papel impreso, desde ordenes de compra a facturas y contratos de todo tipo. Por ello, supone la base técnica de toda la legislación de firma y comercio electrónicos. Aunque es un área madura para el pirateo informático, los esquemas de no repudio de documentos en red generalmente tienen los mismos parámetros y garantías que las firmas físicas.
La confianza o credibilidad es el cuarto valor que la seguridad aporta al negocio. Cualquier conocimiento que tengamos sobre cualquier tema se basa en un sinfín de documentos impresos y online, registros, archivos, emails, artículos de prensa, resultados de búsqueda y otras muchas fuentes de información que consideramos creíbles y que colectivamente afectan a las acciones que podamos tomar en esa materia. Además del propio contenido, siempre atribuimos a una información un cierto grado –mínimo o elevado– de fiabilidad, confianza y credibilidad en función de diversas variables y fundamentalmente de su fuente. Y tal confianza da una dimensión crítica a los datos. En la vida empresarial, por ejemplo, sin duda daremos más credibilidad a una cifra de un documento si sabemos que ha sido introducida por el departamento de recursos humanos o de contabilidad que a un comentario oído en un pasillo sobre el sueldo de un determinado empleado o una compra, respectivamente. La fia
En seguridad, todo está cambiando, generando en su evolución nuevas necesidades de gestión para mitigar el impacto potencial de los malintencionados contra las operaciones, la información o la marca de la empresa, además de los propios riesgos que implica garantizar la disponibilidad de los sistemas y la continuidad de negocio. Todas estas cuestiones y otras muchas tienen consecuencias directas en los presupuestos TI, ya que obligan a dotarse del equipamiento de seguridad adecuado, así como a formar a los profesionales y concienciar a los empleados en general. Por ello, la seguridad se ha de abordar como una de las partes clave del negocio, al mismo nivel que otras áreas, como recursos humanos, contabilidad, marketing y ventas; en definitiva, como cualquier otro proceso de misión crítica para la empresa. Y como cualquier otro proceso crítico, la seguridad ha de tener la misma justificación de negocio en términos como planificación o retorno de la inversión (ROI). Comprender la proposición de valor de un buen programa de seguridad es fundamental para la empresa.
Los cambios en la naturaleza de los retos y daños, y la publicidad que suele acompañar a las explotaciones de los hackers han transformado a su vez los fundamentos de la seguridad en cuanto a modelo, objetivos, variaciones y análisis y gestión de riesgos. En lo que se refiere al modelo, los cambios son evidentes. El modelo clásico ‘ciudadela’ consistía simplemente en mantener alejados a los “enemigos” y permitir el acceso sólo a los “amigos”, fortificando así el “castillo”. Pero como en realidad la seguridad nunca fue tan simple, está emergiendo el modelo ‘póliza de seguros’, basado fundamentalmente en el análisis de riesgos y su gestión, de la misma manera que se hace ante otros desafíos físicos, desde los incendios a las inundaciones, terremotos y robos físicos.
Balance de modelos
El modelo ciudadela es binario: la persona que desea acceder o es de los nuestros o es de los enemigos. No hay zonas grises. Eso sí, cualquiera que desee entrar debe ser inspeccionado. Y eso es justo lo que tratan de evitar los hackers y los cibercriminales. El modelo de “póliza de seguros”, sin embargo, implica un equilibrio presupuestario entre problemas específicos y costes de protección, y requiere además la aplicación de políticas y la ayuda de expertos en la materia.
Aunque ambos modelos tienen su sentido, es fácil ver que ninguno se adapta al cien por cien a todas las situaciones y entornos. En el más clásico, algunos de estos “outsiders” considerados a priori enemigos potenciales pueden ser en realidad clientes, empleados, proveedores o cualquier otro tipo de usuario legítimo. Siguiendo el modelo de póliza de seguros, podemos proteger los edificios y el mobiliario, pero descuidar otras partes incluso más primordiales del negocio, como el valor e imagen de la marca, la reputación de la firma o la confianza del cliente. Para cualquier clase de organización, sin embargo, quizá la mejor opción provenga del balance razonable entre ambas alternativas. En la ecuación se han de tener en cuenta factores como la simplicidad, la adecuación al modelo de negocio y los costes.
Antes de nada, conviene fijar los objetivos de la seguridad de red analizando vulnerabilidades y riesgos, tanto generales como los específicamente sectoriales, y su impacto en el negocio. Todos ellos, cada uno con su propia proposición de valor, se pueden encuadrar en las categorías de confidencialidad y privacidad, integridad de la información, no repudio de las transacciones y documentos, confianza y responsabilidad, y disponibilidad.
Objetivos y proposición de valor
Una de las primeras aplicaciones de seguridad de la información y de red es garantizar la confidencialidad de los datos y la privacidad, que podrían verse comprometidas cuando se exponen a personas no autorizadas, con los consecuentes daños y pérdidas económicas directos o por incumplimiento normativo. Este mismo fenómeno se produce cuando se desvela información fuera de contexto, impactando la toma de decisiones de compra o de negocio. El primer valor de negocio de la seguridad es, por tanto, garantizar la confidencialidad y el control de la propiedad y uso de la información.
Tan importante como lo anterior es la integridad de los datos. Si los dos primeros factores aseguran que los datos no se exponen de forma inapropiada, la integridad garantiza que, con independencia de su forma final, la información no ha sido alterada de un modo no autorizado durante su ciclo de vida, lo que incluye auditar su origen y los cambios que se han realizado en ella, cuándo y por quién. La importancia de la integridad queda clara como ejemplo en el caso de una transacción importante con información financiera que será la base de la toma de decisiones de negocio o legales y cuyos datos de origen o sus sucesivos registros hubieran sido falsificados. O si un hacker accede a una base de datos de una firma farmacéutica y altera la información allí contenida. Las ramificaciones de la integridad de la información son tan enormes como los daños y responsabilidades que acarrea su violación.
Otro objetivo clave de la seguridad de red es garantizar la prueba de que todas las partes implicadas en una transacción o documento han participado realmente en su creación, tratamiento, modificación o recepción, aunque hayan estado distantes físicamente entre sí durante el proceso. Este objetivo, conocido como no repudio del documento, es tan importante en el mundo electrónico como en el mundo del papel impreso, desde ordenes de compra a facturas y contratos de todo tipo. Por ello, supone la base técnica de toda la legislación de firma y comercio electrónicos. Aunque es un área madura para el pirateo informático, los esquemas de no repudio de documentos en red generalmente tienen los mismos parámetros y garantías que las firmas físicas.
La confianza o credibilidad es el cuarto valor que la seguridad aporta al negocio. Cualquier conocimiento que tengamos sobre cualquier tema se basa en un sinfín de documentos impresos y online, registros, archivos, emails, artículos de prensa, resultados de búsqueda y otras muchas fuentes de información que consideramos creíbles y que colectivamente afectan a las acciones que podamos tomar en esa materia. Además del propio contenido, siempre atribuimos a una información un cierto grado –mínimo o elevado– de fiabilidad, confianza y credibilidad en función de diversas variables y fundamentalmente de su fuente. Y tal confianza da una dimensión crítica a los datos. En la vida empresarial, por ejemplo, sin duda daremos más credibilidad a una cifra de un documento si sabemos que ha sido introducida por el departamento de recursos humanos o de contabilidad que a un comentario oído en un pasillo sobre el sueldo de un determinado empleado o una compra, respectivamente. La fia
