Follow us on:
Perspectives

Articles tagged with: Riesgo

Gobierno del Ciber-Riesgo

Monday, 13 April 2015 Manolo Palao Posted in iTTi Views

Parte I

En iTTi prestamos atención preferente al gobierno de las tecnologías (sobre todo informáticas) por quien tiene, en las empresas, la obligación y responsabilidad de realizarlo: el Consejo de Administración [i]. 

‘Gobierno corporativo de las TI’ (GCTI)…

 «… definido como el proceso de toma de decisiones en torno al uso de las TI; o, en palabras de la Organización Internacional de Normalización (ISO), como “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI"

… es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso”.

El consejo de administración… evalúa el estado de la empresa y las necesidades de los diferentes grupos de interés, fija la orientación estratégica y supervisa los resultados…

…  conlleva dos ámbitos principales -a veces antagónicos-: el rendimiento [desempeño] y la conformidad…» [ii]

Optimizar el rendimiento o desempeño supone, entre otras cosas, optimizar el riesgo corporativo. 

Hace poco, la prestigiosa Asociación Nacional de Consejeros de Administración de Empresa (National Association of Corporate Directors –NACD[iii]) de EE.UU. ha publicado un interesante documento sobre supervisión del ciber-riesgo[iv]. 

Si bien el título del documento se refiere a supervisión, su contenido abarca también temas de orientación, y cubre así las dos grandes funciones del consejo -orientación (establecer la dirección) y supervisión- señaladas en nuestra cita más arriba. 

Por otro lado, el uso en el título del término ‘riesgo’ frente a ‘ciberseguridad’ (este último, sin embargo, profusamente usado en el documento) nos parece un acierto, por cuanto no es la ciberseguridad como tal el objetivo a lograr, sino la administración de los riesgos, el “equilibrio idóneo entre rentabilidad y seguridad” en toda la empresa, aunque alcanzar ese óptimo exige que “la ciberseguridad esté entretejida en todos los procesos empresariales” (NACD 2014, pp. 5 ss.).

Aunque el documento de la NACD ofrece muchas herramientas como listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias, que hacen recomendable un estudio más detallado del mismo, a continuación presento cinco grandes principios que propone para los consejeros y el Consejo [v]: 

1. Los consejeros deben concebir y abordar la ciberseguridad como un tema de gestión del riesgo de toda la empresa, no como una cuestión de TI. 

No solo ‘toda la empresa’ en sentido estricto, sino “también respecto al ecosistema más amplio en que la empresa opera”; y “considerando no solo los ataques y defensas de máxima probabilidad, sino también ataques de baja probabilidad y alto impacto que pudieran ser catastróficos” (NACD 2014, p. 8).

La “supervisión del riesgo debiera ser una función de todo el Consejo” [subrayado, nuestro], sin delegarla al Comité de Auditoría u otros comités. El Consejo en pleno debería recibir, al menos semestralmente, información-formación (briefing) sobre estos temas” (NACD 2014, p. 8). 

2. Los consejeros deberían entender las implicaciones legales de los ciber-riesgos, en lo que respecta a las circunstancias específicas de su empresa. 

Las implicaciones legales de los ciber-riesgos son un tema en rápida evolución, que no es en absoluto convergente en una o unas pocas escuelas, ni lo hace al mismo ritmo, en el mundo global en que opera un creciente número de empresas. Las implicaciones legales dependen obviamente de las distintas jurisdicciones y pueden afectar de forma muy distinta a la empresa, al Consejo en colectivo y a sus consejeros.

El Consejo, aparte de tratar monográfica y específicamente estos temas, debe prestar atención a reflejarlo de modo adecuado en sus actas –en prevención de acusaciones de negligencia. 

Otro aspecto a considerar es “determinar qué [y cómo] desvelar, en caso de que ocurra un incidente”. La legislación, “normas, orientación regulatoria, los requisitos formales siguen evolucionando [sobre todo en EE.UU.], por lo que consejeros y directivos/ejecutivos debieran disponer ser informados periódicamente por un asesor legal”. (NACD 2014, p.11). 

3. Los Consejos deberían tener acceso adecuado a pericia sobre ciberseguridad; y en las agendas de sus reuniones debería habilitarse con periodicidad adecuada para debates sobre gestión de la misma. 

Además del asesoramiento legal ya mencionado, “algunas empresas están considerando añadir directamente al Consejo experiencia en ciberseguridad y en seguridad TI”, decisión a sopesar cuidadosamente, para no perjudicar la necesidad de otras pericias: “experiencia en el sector industrial, conocimiento financiero, experiencia global u otros conjuntos de pericias deseables”.

Hay otras formas de lograr ese acceso, mediante “inmersiones en profundidad con terceros expertos como tutores”; “utilización de asesores independientes ya disponibles, tales como auditores externos”; o “participación en programas de formación de consejeros pertinentes”. La mejora en la forma, contenido y frecuencia de los “informes de la dirección ejecutiva al Consejo” puede contribuir también a esa mayor familiarización; aunque debe considerarse que pueden estar sesgados. (NACD 2014, p. 12).

4. Los consejeros deberían establecer la expectativa de que la dirección ejecutiva (los gestores) establecerán un marco de gestión del ciber-riesgo que –extendido a toda la empresa– esté dotado del personal y presupuesto adecuados. 

Aquí se desarrolla el principio No. 1 y su traslado a la dirección ejecutiva. Para ello propone el “enfoque integral” de la Internet Security Alliance (ISA)[vi],[vii], que puede resumirse en:

- Asignar la propiedad del tema de modo multidepartamental, transversal (como las funciones financiera o de recursos humanos) –¡pero NO al CIO!-.

- Crear un equipo con participación de todas las partes interesadas.

- Celebrar reuniones periódicas e informar al Consejo.

- Establecer una estrategia y un plan de gestión del ciber-riesgo de ámbito empresarial.

- Dotarlo de los recursos necesarios y de un presupuesto no asociado a un solo departamento, para proteger así su naturaleza transversal.

Recomienda también el uso del Marco de Mejora de la Ciberseguridad de Infraestructuras Críticas[viii] del NIST –que resultará familiar al lector especializado–, si bien advierte que sus especificaciones pueden rebasar la habilidad práctica de una mayoría de organizaciones. 

5. Los debates del Consejo sobre ciber-riesgos deberían incluir la identificación de los riesgos a evitar, aceptar, mitigar o transferir mediante seguros, así como planes específicos relativos a cada uno de esos enfoques.

Propone que se debatan, al menos, las cuestiones siguientes:

- ¿Qué datos y cuántos estamos dispuestos a perder o a que los comprometan?

- ¿Cómo distribuir entre defensas básicas y avanzadas nuestro presupuesto de inversiones en mitigación de ciber-riesgos?

- ¿De qué opciones disponemos que nos ayuden a transferir ciertos ciber-riesgos?

- ¿Cómo debiéramos evaluar el impacto de los cibereventos?

Estos debates debieran ser, por un lado, monográficos –un punto del orden del día en algunas reuniones-; y por otro, debieran “integrarse en los debates de todo el Consejo sobre nuevos planes de negocio y ofertas de productos, fusiones y adquisiciones, entrada en nuevos mercados, despliegue de nuevas tecnologías, grandes inversiones de capital...” (NACD 2014, p.9). 

El documento de la NACD ofrece otras muchas cosas: más listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias. Su estudio más detallado es de todo punto aconsejable.

* *  

Parte II  

Llegados a este punto, tenemos unas preguntas para el estimado lector. No es necesario que nos las conteste, respóndaselas Usted mismo, aunque nosotros le estaríamos muy agradecidos si quisiera responder a una breve encuesta:

         ¿Le parecen esos 5 principios …

… razonables?

                                … muy incompletos y necesitados de otros muchos?

                                … abstractos y por tanto inaplicables?

        ¿En la empresa de Usted, se aplican …

                                … plenamente?

                                … en gran medida?

                                … muy poco?

                               … bastante, pero no es el Consejo/Junta quien lo hace, sino la

                               Dirección Ejecutiva/Gerencia?

* * * 

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 22/02/2015.  

--------------------------------

[i] Como el lector sabe, el máximo órgano de gobierno de una empresa se denomina en español de diversas formas, según la costumbre y la legislación de cada país. Aquí usamos ‘Consejo de Administración’ o ‘Consejo’, equivalente a ‘Junta’ o ‘Directorio’, como traducción de Board of Directors; y ‘Consejero de Administración’ o ‘Consejero’, como traducción de Director.

[ii] De “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”. url: http://es.slideshare.net/iTTi_news/el-manifiesto-itti  [Consulta 20140825]

[iii] http://www.nacdonline.org/index.cfm.  [Consulta 20140825]. 

[iv] NACD. 2014. Cyber-Risk Oversight. NACD Director’s Handbook Series. https://www.nacdonline.org/Store/ProductDetail.cfm?ItemNumber=10687 [Consulta 20140825].

[v] Traducidos libremente, a continuación. Se ha optado por no entrecomillarlos, para facilitar la lectura.

[vi] http://www.isalliance.org [Consulta 20140825].

[vii] ISA-ANSI. 2010. The Financial Management of Cyber Risk: An Implementation Framework for CFOs http://isalliance.org/publications/1B.%20The%20Financial%20Management%20of%20Cyber%20Risk%20-%20An%20Implementation%20Framework%20for%20CFOs%20-%20ISA-ANSI%202010.pdf, pp. 14 ss. [Consulta 20140826]. 

[viii] NIST. 2014. Framework for Improving Critical Infrastructure Cybersecurity. National Institute of Standards and Technology. February 12, 2014. Version 1.0 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf 

 

Uso de las redes sociales en la empresa: riesgos de seguridad

Friday, 30 August 2013 Maria Jose de la Calle Posted in IT Consequences

Las formas de colaboración en la empresa han ido evolucionando a medida que lo ha hecho la tecnología, desde las reuniones personales y el correo interno -en papel-, al teléfono, correo electrónico, la mensajería instantánea (IM, por sus siglas en inglés), reuniones virtuales por medio de Internet y las redes sociales. 

A excepción del correo en papel, que casi ha desaparecido, las demás formas de colaboración han ido coexistiendo y se está utilizando una u otra dependiendo del objetivo, del tiempo en que se necesite la colaboración o respuesta, y de otros factores como los usos y los husos horarios.

Al contrario de lo que pasó con el teléfono y el correo electrónico, que se extendieron casi a la par en los ámbitos de negocios y privado, la mensajería instantánea y las redes sociales se han popularizado primero en lo personal  y es ahora cuando empiezan a ser usadas en el mundo empresarial.

Según el McKinsey Global Institute[1], 72% de las empresas se valen de las tecnologías sociales principalmente para llegar hasta los consumidores y recoger sus deseos, gustos y necesidades para el desarrollo de productos, publicidad y servicio al cliente. Sin embargo su mayor potencial está en la mejora de las comunicaciones y el intercambio de conocimientos, así como en la colaboración dentro de, y entre empresas.

Al igual que en el ámbito privado, se establecerá un entorno de sujetos “enlazados”, tanto de modo interno a la organización como externo con todas las entidades -clientes, proveedores y en general todos los actores relacionados de una u otra manera con la empresa- con las que esta haya de interactuar: es la empresa extendida.

Las redes sociales ofrecen la posibilidad de una gran apertura respecto a la información accesible por unos u otros -empleados o actores externos a la organización-. Esto que a priori se antoja positivo, ha de ser orquestado adecuadamente para que dicha información siga siendo fidedigna y segura para los objetivos de la organización, a pesar del vertiginoso aumento en el número de individuos y dispositivos que hoy  crean e intercambian dicha información.

La organización debe establecer y poner en marcha una política de segmentación de la información para las personas que se relacionen con ella, sean empleados de la misma o no.

Por otra parte, si uno observa el soporte por el que se produce el intercambio de información, la cantidad transmitida a través de dispositivos móviles es cada vez mayor, lo que se ve favorecido por la constante reducción en tamaño y peso de los dispositivos, unido a un aumento de su potencia y a la ubiquidad de Internet.  Según el último informe de tendencias de la analista Mary Meeker, de la firma KPCB[2], la cifra ha pasado de un 0.9% en mayo de 2009, a 15% en el mismo mes de 2013.

Se transfieren permanentemente documentos del trabajo a ordenadores personales, tabletas, teléfonos inteligentes u otros dispositivos, particulares o corporativos, o se ejecutan aplicaciones en línea sobre información que puede constituir parte de la propiedad intelectual de la empresa. Parte de toda esta información rara vez se elimina de esos  dispositivos móviles. Esto aumenta los escenarios de riesgo pues facilita la posibilidad de intrusión en los sistemas a través de aplicaciones, dispositivos y puntos de acceso a Internet poco protegidos. Además, favorece las fugas o pérdidas de información, por ejemplo, por robo o extravío de los dispositivos.

Otro aspecto fundamental a tener en cuenta en el uso de estas herramientas de colaboración y comunicación social, es el factor humano. Cada vez más la comunicación e interacción entre las personas se produce a través de esas herramientas, pero sin los conocimientos y habilidades desarrollados para su utilización de forma segura.

Se hace necesaria una concienciación sobre las amenazas que dicho uso implica; sobre el posible coste, personal y empresarial, de la pérdida de fiabilidad de la información, o de la información misma; y sobre la relevancia que puede tener la creación, transformación y transmisión a través de medios que resultan no del todo seguros para las necesidades corporativas.

Al hilo de lo expuesto surge la siguiente pregunta: ¿Tiene la empresa el derecho de control sobre la información que se transmite por las redes sociales? Pregunta cuya respuesta cae tanto en el entorno técnico como en el legal, por cuanto tiene que ver con aspectos de privacidad, propiedad intelectual y otros temas.

Para terminar, unas noticias de prensa:

El 7 de junio, los diarios The Washington Post y The Guardian publicaron la existencia de dos programas de espionaje secretos, uno que registra datos de llamadas en EE. UU. y otro que permite a la inteligencia estadounidense acceder a servidores de las principales compañías de Internet y recabar datos directamente de los servidores de Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube y Apple.

El 13 de junio, el blog The PrivacySurgeon[3] comentó la noticia de que el gobierno sueco había  decidido prohibir el uso de cualquier producto de la nube de Google -incluyendo calendario, Gmail y Google Drive- dentro de instituciones públicas, ya que consideran que Google puede acceder a la información de los usuarios, y que los usuarios en el sector público no pueden tener la certeza de que los derechos de protección de datos están asegurados.

 

This article was originally released by Mexican magazine "Magazcitum", on August, 30th, 2013. 

 

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk