Regular la seguridad

Hola,

Traigo hoy a la portada un tema que suele levantar polvareda, sobre todo cuando las comunidades técnica y no técnica de la seguridad opinan al respecto: certificaciones y regulación. Lo hago al hilo de una propuesta de Michael Chertoff, antiguo secretario de Homeland Security en la administración Bush.

La idea de Chertoff es básicamente hacer algo parecido a lo que hoy en día se hace con SoX: ponerle nombre y apellidos a los directivos que serán responsables de certificar qué han hecho para fortalecer la seguridad de su información. ¿Es esta una solución al problema? Posiblemente no por sí misma, aunque hay que reconocer que con todo lo malo que tiene SoX, ya que es costosa y algo anacrónica en cuanto a tecnología, algo se ha mejorado en lo que a su propósito inicial se refiere. No olvidemos que SoX no es una regulación de seguridad, sino financiera, aunque lógicamente tenga algunos controles tecnológicos como cualquier otro proceso empresarial moderno hoy en día. Aunque SoX sea vista sólo como un sumidero de euros por muchas organizaciones, al menos fija responsabilidades para quien estampe la firma en la información financiera de una organización, lo que debería estimular la necesidad de que esta información sea veraz y transparente si no queremos que el responsable acabe entre rejas.

Mi experiencia con los reguladores ha sido siempre sol y sombra. Los hay auténticamente enfocados y prácticos, solicitando con gran acierto medidas que sin duda refuerzan la seguridad de la información, y los hay absolutamente desorientados y desenfocados, exigiendo el cumplimiento de condiciones que llevan años sin ser revisadas, y que sólo sirven para acumular papel en lo alto de las mesas. Con los auditores, tres cuartos de lo mismo: desde profesionales incisivos que van al grano, aportando valor con soluciones constructivas y conociendo los entresijos tecnológicos, hasta despistados encorbatados que no saben vivir separados de su checklist y que nunca han tenido ni tendrán el suficiente fondo para comprender cómo se construye la seguridad en un entorno tecnológico complejo.

Respecto a las regulaciones, suelo mantener una postura intermedia. Es lógico y evidente que las empresas por sí mismas rara vez miran por la seguridad a no ser que les des con el palo, con lo que la regulación puede, al menos, obligar a quien no mira por la seguridad a que haga algo. Desgraciadamente cumplir con determinadas regulaciones y pasar la auditoría de turno está muy lejos de ser lo que yo entiendo por gestionar la seguridad, pero menos da una piedra.

Algunos casos que os puedo contar, por poner dos ejemplos simples, son el de la FFIEC norteamericana, con su guía relacionada con la autenticación en banca electrónica (esa que sigue sin reflejar la importancia de autenticar transacciones, y no a personas) o las archifamosas condiciones de PCI-DSS, que entre otras muchas cosas solicitan la utilización de autenticación segura insistiendo en que la aplicación de pagos no corra con usuario administrador, como si eso solucionara todos los problemas. En ambos casos el cumplimiento no supone ni de lejos tener seguridad en los procesos de banca electrónica y medios de pago telemáticos, respectivamente, pero siempre es mejor tener algo que no tener nada.

Creo que regular la seguridad no será, ni de lejos, la solución a nuestros problemas. Pero viendo el turbio camino que va tomando esto, donde la tecnología avanza imparable y viendo que las organizaciones rara vez están a la altura de la exigencias en lo que a seguridad se refiere, quizás vaya siendo hora de que pongan el nombre del CISO o del CIO en un papelito oficial tal y como se hace con la SoX, responsabilizándolo en última instancia de la seguridad de la organización para la que trabaja. ¿No es ese acaso uno de sus cometidos? Quizás así más de uno se pondría las pilas, que buena falta nos hace.

Un saludo,

13 comentarios sobre “Regular la seguridad

  1. Hola Sergio,

    Muy acertada la reflexión. Respecto a la organización vs caos a la que nos tienen acostumbrados los reguladores, me gustaría plantearte una cuestión que hasta ahora me queda en el tintero.
    Imaginemos una corporación presente en entornos multinacionales, con implantación en numerosas jurisdicciones y por tanto sujeta a cumplimiento regulatorio diverso y de estrecho marcaje.
    Desde un punto de vista de auditoría de sistemas y de gestión de riesgo tecnológico, me gustaría saber tu opinión acerca de lo siguiente:
    1) ¿De qué modo se puede enfocar la monitorización de riesgos tecnológicos relacionados con las regulaciones en múltiples jurisdicciones?
    2) ¿Existe algún framework que contemple este enfoque, o será un caldo de cultivo propicio para consultoras y sus checklist?

    Gracias por tus posts, Sergio.

    Un abrazo.

    Fer.

  2. La propuesta me gusta, aunque me suscita ciertas dudas. ¿Exige la regulación un determinado «nivel de atribuciones» para el CISO o para el CSO? Porque ambos cargos no son equivalentes, y no se les deberían exigir las mismas responsabilidades en función del ámbito tratado (por ejemplo, la seguridad física o patrimonial). Eso por no entrar en la posición real del CISO o del CSO dentro del organigrama de la organización, u otras consideraciones… En definitiva, una propuesta interesante, aunque posiblemente «peligrosa» para un CISO o un CSO poco consolidado.

  3. Ya no sólo es regular, hay también ver como reconocer al profesional adecuado para realizar determinadas tareas que se están regulando. Por ejemplo, en el ENS (esquema nacional de seguridad) se habla de que hay que realizar auditorías, pero en ningún momento se define que requisitos debe cumplir el auditor de conocimientos, experiencia, etc… Pasa lo mismo que con la LOPD, todo el mundo puede auditar, no hay requisitos.

    En definitiva, creo que aunque se avance en la regulación, si no se definen los perfiles y requisitos profesionales, el objetivo final no se conseguirá y los que antes hacia ISO de calidad, después auditoría de LOPD, acabarán haciendo las del ENS…..bueno con tanto trajín igual acaban siendo expertos..al menos en checklist

  4. @Fernando,

    Interesante pregunta. Es un escenario bastante común, sobre todo en grandes corporaciones.

    A bote pronto se me ocurre que si la idea es obtener una foto unificada de cómo se está portando a nivel global en cuanto a cumplimiento un grupo determinado para poder monitorizar cómo van las cosas, quizás la manera más simple sea recurrir a alguna herramienta GRC con la que podamos declarar un marco unificado, y asignar criterios de seguimiento a la traducción que se especifique para los casos de incumplimiento. Cada vez que detectemos una falla en cumplimiento, tratamos esa debilidad como otra cualquiera, y los sometemos a los criterios de seguimiento.

    Si somos capaces de generar nuestro marco de trabajo quizás podamos comparar manzanas con manzanas. Yo aquí no me comería la cabeza, y pensaría incluso en agrupar los impactos por sanciones que se pueden generar, y los riesgos intentaría simplificarlos (algo así como sin riesgo, se cumple, cumplimiento parcial o falla completa de cumplimiento)

    En cuanto a herramientas GRC te puedo comentar que el bacalao lo cortan habitualmente MetricStream, OpenPages y BWise, aunque hay un montón más: desde los productos de Paisley, Aline, LogicManager, Axentis, BPS Resolver …

    Respecto a cómo parir el marco, sólo he visto de pasada los recursos gratuitos de la iniciativa http://www.unifiedcompliance.com/ especialmente el Information Assurance Compliance Maturity Model. Aunque está algo enfocada al mercado de EEUU te puede dar una idea de por dónde puedes empezar a abrir la lata. Lamento no tener más información :(

    Si he entendido mal la pregunta o me he ido por los cerros de Úbeda, por favor, coméntamelo :)

    Un abrazo nen,

  5. @Joseba,

    A mí también me genera muchas dudas, no te creas :)

    Estoy contigo en que las atribuciones de un CISO no son las de un CIO, ni viceversa. Si algo así se llevase a cabo sin duda habría que ponderar, o al menos tratar de hacerlo. O simplemente designar quién es el que cargaría con el mochuelo.

    El tema no es nada sencillo, sobre todo si metemos la seguridad física por medio, la cual no suele reportar al CIO, sino que va por una rama separada en la mayoría de las ocasiones. Y este es sólo un ejemplo.

    Quién sabe, lo mismo en el futuro vemos movimientos en este aspecto. No me atrevo a vaticinar nada al respecto :)

    Un saludo,

  6. @Carlos,

    Pues no cabe duda, pero esto sí que tiene difícil arreglo. Me recuerda a cuando tiempo atrás se quería implementar el «Carné de Informático». Yo en las empresas dejaría que recluten y hagan lo que les de la gana, porque no creo que ganemos nada si interferimos en esos procesos, pero quizás si me cuestionaría un poco este tipo de requisitos en actividades públicas.

    Tristemente algunas veces se agarran a las certificaciones individuales y a los CV para tratar de garantizar experiencia en el equipo consultivo, pero como te digo, este es un tema con muy difícil solución donde dudo que arreglemos nada regulando. No sólo por complicado, sino por controvertido y posiblemente, con serios impactos legales.

    Pero vamos, te doy toda la razón del mundo. La calidad profesional en estos campos está muy lejos de ser óptima en la mayoría de las ocasiones, aunque yo por desgracia no sabría cómo empezar a solucionar la papeleta.

    Bueno, sí, quizás con un modelo educativo mejor y más orientado a la tecnología podríamos empezar a dar los primeros pasos.

    Un saludo,

  7. Hola Sergio,

    Has entendido la pregunta perfectamente. Gracias por tu opinión y por la información de frameworks y herramientas.

    En un entorno con casi 200 reguladores, el área de Cumplimiento siempre . El problema de los profesionales de Seguridad y Auditoría se presenta cuando hay que identificar y monitorizar los riesgos tecnológicos de regulaciones desconocidas y en contínuo cambio. No hay que olvidar que en el incumplimiento puede conllevar a retirada de licencia y a fuertes multas.

    Los equipos globales de Seguridad y Auditoría son cada vez más frecuentes, pero mantenerse totalmente actualizados en materia de regulaciones requiere conocimiento in situ.

    Gracias de nuevo por el post y la respuesta.
    Un abrazo.

    Fer.

  8. Hola, Sergio.

    Aunque estoy de acuerdo en el planteamiento inicial (en el momento en el que alguien ve como se le apunta con el dedo, la cosa cambia), no lo estoy tanto en cuanto a la solución que planteas. Básicamente, en dos aspectos:

    1. En cuanto poner nombres y apellidos a alguien que se responsabilice de la seguridad, perfecto. Ahora bien, mi propuesta no va por la vía del CISO / CSO, sino por quién es verdaderamente responsable de las medidas de seguridad implementadas: Consejero Delegado, Director General o similar.
    2. En cuanto al tema de las legislaciones / normativas creo que nadie puede pretender que ninguna norma refleje la pluralidad posible en lo relativo a la implantación de medidas de seguridad. En mi opinión, las normativas hacen siempre planteamientos de mínimos desde su perspectiva hacia un determinado problema (con independencia de que las haya mejores o peores, claro) con un enfoque de condición necesaria pero no suficiente. De hecho, ninguna norma dice que implantando las medidas que recoge, la organización esté segura (ahora bien, seguro que está más segura que sin esas medidas).

    Saludos,

  9. Interesante hilo y reflexión la planteada que al menos es un sintoma positivo de que algo se mueve en relación a la responsabilidad corporativa y la seguridad de la información.
    Disponer de un cargo que tenga que acreditar esfuerzos por garantizar la seguridad es en sí mismo una medida pero desde luego será crítico saber dónde se coloca ese rol dentro del organigrama corporativo. Porque tener la responsabilidad de la seguridad pero no los recursos o los medios es simplemente saber quién tiene la diana encima para el día que pase algo.

    Como ya se ha apuntado, dos cuestiones serán también relevantes: la capacitación necesaria para un perfil de ese calado y las revisiones o auditorías que juzgarán lo adecuado o no de las medidas implantadas.

    En este sentido, también sería interesante que la normativa obligara a reconocer los incidentes de seguridad y hacerlos públicos con el objetivo de presionar (a costa de salvaguardar la imagen corporativa) a las Empresas para que sean conscientes de que los fallos se pagarán caros. En cualquier caso, al menos el interés por tratar de forzar a que existan «Responsables nominales» de las áreas de seguridad ya es un avance. Como ya se ha apuntado, el R.D. 3/2010 del ENS aplicable a Administraciones Publicas establece la necesaria separación entre Sistemas y Seguridad, la profesionalidad del personal y la necesidad de acreditar en la sede electrónica cuales son las condiciones de seguridad que dicha sede acredita. Fuerzan, por así decirlo al político de turno, a declarar por adelantado qué debiera cumplirse para que en caso de error o fallo, se sepa que algo que debería haber funcionado no lo hizo (o que se mintió cuando se indicó que estaba implantado). En cualquier caso, una declaración firmada de un estado de seguridad que permitirá juzgar si el incidente fue o no una negligencia.

  10. @Antonio,

    Me alegro de que discrepes con la solución, principalmente porque yo soy el primero en reconocer que este tipo de problemáticas no se puede arreglar con dos ideas en sendos párrafos :)

    Para mí sería igual de factible lo que planteas: llevar la responsabilidad a los máximos niveles. Si hablo del CIO o CISO es porque son los que están en mejor posición de «certificar» que lo que tienen debajo en el organigrama funciona.

    En cuanto a la normativa, totalmente de acuerdo. Esto no es algo que se pueda regular así alegremente, pero yo creo que si se estipularan algunas responsabilidades la cosa mejoraría mucho. Es más, dejaría flexibilidad a las empresas para que hagan lo que quieran, siempre y cuando haya alguien que diga que lo que hay allí corriendo ha pasado un mínimo de «due dilligence» en cuestiones de seguridad.

    Un saludo,

    @Javier,

    Definitivamente no sé si algo se mueve en relación a la responsabilidad corporativa y la seguridad de la información, pero empieza a ser notorio que hace falta.

    Coincido contigo en que sería crítico decidir quien debería ocupar esos roles, aunque con todo mi respeto, esto debería ser transparente, ya que en la actualidad, las personas que ocupan esos puestos DEBERÍAN ser responsables de ABSOLUTAMENTE TODO al menos a los ojos de sus empleadores sin que medien regulaciones al respecto. ¿Hay miedo a que te ponga en la picota alguien de fuera? Eso se arregla haciendo las cosas bien. Haz las cosas bien y te dará igual lo que venga, ya que nadie te podrá poner en aprietos.

    Lo que sí tiene más miga es ver quién se encarga de mirar que todo esté en orden. La presencia de terceros y su frecuente escasa o nula capacitación en la mayoría de los casos (nada más hay que ver los personajes que van por ahí auditando SOX, LOPD y compañía) me hace desconfiar mucho de este tipo de soluciones. Me conformaría con que las empresas, públicamente, firmaran un acta anual diciendo que han hecho todo lo que consideran oportuno para garantizar la seguridad.

    Como bien apuntas, en el ámbito público si que se puede apretar un poco más, y con el ENS hay avances en ciernes. Para mí sigue siendo bochornoso que en pleno siglo XXI haya que decir por RD que los sistemas y la seguridad han de ir por separado (al menos entiendo que en la certificación de los mismos), o que las personas al mando del barco tienen que ser capaces, pero bueno, por algo se empieza.

    Gracias a los dos por vuestra participación :)

    Salu2,

Comentarios cerrados.