Follow us on:
Perspectives

Confianza, seguridad y GCTI

Thursday, 07 January 2016 Maria Jose de la Calle Posted in iTTi Views

Del DRAE:

Confiar: Depositar en alguien, sin más seguridad que la buena fe y la opinión que de él se tiene, la hacienda, el secreto o cualquier otra cosa. 

Confianza: Esperanza firme que se tiene de alguien o algo. 

* *

“Privacy and security are important brand differentiators and companies need to move from a mindset of meeting compliance requirements to becoming a steward of consumer data.”  

[Del correo enviado por Craig Spiezle, Director y fundador de la "Online Trust Alliance" a la NIST el 1 de agosto de 2011]. 

Aunque esta cita ya tiene más de 4 años, el contenido del correo no ha perdido vigencia en absoluto. 

Las brechas de seguridad en todo tipo de organismos, tanto públicos como privados, compañías tecnológicas o de cualquier otro sector, y hasta en empresas dedicadas a desarrollar y vender herramientas de intrusión en los sistemas -como la empresa italiana Hacking Team[i] que en julio de este año -2015- sufrió un ataque divulgándose una gran cantidad de información de clientes-, están pasando a ser consideradas sucesos cotidianos. 

En el individuo esta cotidianidad podría tener, entre otros, dos efectos a cual más nocivo, consecuencias ambos de considerarlos irremediables, y como tales, rendirnos a su inevitabilidad. Uno de ellos sería  dejar de tomar medidas adecuadas para evitar la intrusión, otro sería dejar de utilizar los servicios proporcionados a través de la red, como consecuencia de la pérdida de confianza en los sistemas, y, por extensión, en las empresas que los proporcionan. 

El primer efecto causaría a nivel de dispositivo individual -de hecho está causando por negligencia o ignorancia- daños por virus con efectos de secuestro del contenido del ordenador, cifrándolo y solicitando dinero como rescate (ransomware); o uso por terceros de dispositivos sin permiso del propietario creando redes de ordenadores esclavos (botnets) utilizados posteriormente para actuaciones ilícitas, como por ejemplo ataques distribuidos de denegación de servicios (DDoS, Distribuited Denial of Service); o para entrar en una red de una empresa a través de un dispositivo móvil autenticado; o simplemente robo de información contenida en los dispositivos, importante para el individuo, para la empresa en la que este trabaje o para terceros relacionados con él.

El segundo efecto daría al traste con la digitalización del mercado y los servicios en particular, y de la sociedad de la información en general. 

La Global Commission on Internet Governance  (GCIG) publicó este pasado mes de abril "Toward a Social Compact for Digital Privacy and Security", de lo que se hizo eco iTTi[ii], un importante documento de 29 páginas que, al considerar necesario restaurar la confianza en el uso de internet, proponía que todas las partes interesadas colaboraran en la adopción de normas para un comportamiento responsable de dicho uso.  

Sin embargo, no es sólo cuestión de datos en línea. Hoy día, todos las organizaciones utilizan para su gestión tecnologías de la información aunque no sea en-línea, manejando datos sobre sus trabajadores, asociados, clientes, socios, proveedores, etc. así como los datos producto de la relación establecida con ellos. Y sus sistemas son susceptibles de ser atacados y que estos ataques tengan éxito. 

Por tanto, aunque no se utilicen directamente servicios en-línea, los datos que es necesario proporcionar a una entidad con la que se está estableciendo alguna relación o los datos producto de dicha relación -por ejemplo, los de una prueba médica- se van a almacenar probablemente en un sistema informático. Y este sistema informático es probablemente accesible desde la red. Como se indica en la cita que abre este artículo, "las empresas han de transformarse en administradores de datos" de los terceros con los que se relacionan.  

Los negocios y las instituciones dependen en gran medida de un bien intangible que se llama "marca". La marca de una empresa es como la reputación de las personas. Esta marca está ligada a la confianza -hipótesis que los demás hacen sobre la conducta futura de la empresa- que sepan transmitir. 

Según un estudio, realizado por el instituto Ponemon y publicado el 26/08/2015, para responder a la pregunta "what erodes trust in digital brands?"

- el 63% de los consumidores no confían en las web de compañías que han tenido brechas de seguridad;

- el 55% de los consumidores no confían en webs que no tienen salvaguardas para proteger la información personal;

- el 50% de los consumidores aún después de un año de una brecha de seguridad perciben negativamente una marca;  

- el 69% de los consumidores han dejado webs de compañías por problemas de seguridad.

Aunque este estudio se centra en las páginas web y la marca digital, casi todas las empresas han sufrido o están sufriendo una transformación digital, y tienen página web, a través de la cual ofrecen más o menos servicios y se comunican con sus clientes, siendo, en muchos casos, la página web la generadora -y mantenedora, junto con las redes sociales- de su marca, ya digital. 

Como consecuencia de todo lo anterior, un aspecto que ha entrado de lleno en la imagen de marca de una institución o empresa ha sido la seguridad de sus sistemas informáticos, ya que en ellos residen datos de terceros, y, por tanto, contractualmente o no, deben ser garantes de la seguridad de dichos datos, al haber sido cedidos en la confianza de una relación.  

Enlazando con las definiciones con las que se iniciaba este artículo, los datos se depositan y son confiados sin más que con la buena opinión que se tiene de la empresa -imagen de marca- y en la esperanza firme de que sean tratados adecuadamente para el fin para el que se ceden. 

La seguridad de la información ha pasado de ser un tema "de los informáticos" a ser un tema "de negocio". La posible pérdida o robo de información generados por la aplicación y uso de las tecnologías de la información, especialmente, del "siempre conectados" es un riesgo que ha de gestionarse adecuadamente dentro de la política de gestión de riesgos de la compañía en cuestión, y estar sobre la mesa de su órgano de gobierno. 

Entender la [ciber]estrategia es esencial, pero salvo honrosas excepciones, los temas de [ciber]seguridad -y los temas de TI en general- se tratan principalmente desde un punto de vista técnico, ignorando que sólo un enfoque estratégico puede preparar a las empresas para conseguir ventaja sobre los ciber-atacantes. El órgano de gobierno necesita preguntarse porqué es necesaria la [ciber]seguridad, qué caracteriza las distintas amenazas, cual es el riesgo derivado del uso de las TI, qué nivel de [ciber]seguridad se necesita para disponer de un sistema que funcione y con capacidad para recuperarse de un ataque -resiliencia-[iii]. En resumen, la estrategia para defender el valor y anticipar nuevos escenarios de amenazas. 

En realidad, la decisión de cómo se utilizan las tecnologías de la información y los riesgos asociados, o lo que se ha llamado "Gobierno Corporativo de las TI", debería formar parte de la agenda de dicho órgano de gobierno. En palabras de la Organización Internacional de Normalización (ISO, International Organization for Standardization), el Gobierno Corporativo es “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI. [...] ... y es un subconjunto del gobierno de la organización o del gobierno corporativo.”[iv] 

* *

En iTTi, prestamos atención preferente al gobierno corporativo de las tecnologías de la información por quien tiene, en las empresas y organismos, la obligación y potestad para ejercerlo; esto es, por quien tiene la responsabilidad última de decidir sobre la aplicación y uso de dichas tecnologías en el ámbito de la organización: el Órgano de Gobierno (Consejo de Ministros, Consistorio, Consejo de Administración, Patronato, Rectorado, …, según el caso).

Ese Órgano de Gobierno ha de ocuparse, además, de identificar a todos los ‘interesados’ (incluidos sus intereses y demandas).

* *

No nos vamos a quejar si las TI se sientan en el consejo aunque sea de la mano de la seguridad ... 

* * *

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", dic-2015, nº 306, pg.57, Ciberseguridad – "Confianza, seguridad y CGTI" – María José de la Calle.  

-----------------------------------

[i] url [a 2015.10.04] http://politica.elpais.com/politica/2015/07/07/actualidad/1436284983_731864.html 

[ii] Palao, Manolo. "Hacia un nuevo contrato social sobre la privacidad y seguridad digitales", abril, 2015. url [a 2015.10.04]: http://www.ittrendsinstitute.org/perspectives/item/nuevo-contrato-seguridad-digital.  

[iii] url [a 2015.10.18]: https://blogs.mcafee.com/executive-perspectives/fighting-fire-fire-will-lead-us-dangerous-future/  

[iv] "ISO/IEC 38500:2015 applies to the governance of the organization's current and future use of IT including management processes and decisions related to the current and future use of IT. [...] ... defines the governance of IT as a subset or domain of organizational governance, or in the case of a corporation, corporate governance."

url [a 2015.10.23]: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=62816  

 

Comments (0)

Leave a comment

You are commenting as guest.

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk