Aspectos de Seguridad de las Organizaciones - Activos, personas, ambientes y equipos

Activos, personas, ambiente y equipos

El siguiente conjunto de respuestas, a diferencia de las intervenciones anteriores, voy a presentar más un conjunto de ideas personales que citar los postulas de los objetivos de auditoría de protección de activos, entre ellas la protección de la información.

La razón principal, es porque muchos de estos puntos son presentados con mucha frecuencia durante las presentaciones de estos tópicos, pero dónde considero importante revistar las ideas fundamentales que están detrás de dichos objetivos a través de las preguntas.

Luego, voy a proveer mis notas de las lecturas de las presentaciones provistas en el curso, ya que siente, que aunque las preguntas tocan los temas de forma general, no ofrecen suficiente espacio para las consideraciones específicas de los objetivos y acciones relacionadas con los Activos, las personas, el ambiente y los equipos.

Investigue, analice y discuta en el foro, acerca de ¿Por qué es importante gestionar los activos de una organización?

• Las organizaciones acumulan valor de tres maneras fundamentales:
• Agregando valor mediante esfuerzos de transformación para la creación de productos o servicios. Dicho valor se materializa en términos económicos por la utilidad realizada, producto de la diferencia entre los costos y los ingresos percibidos.
• Equipándose con herramientas, maquinarias, equipos y sistemas de información que habiliten los procesos de agregación de valor presentes y futuros. Entre los sistemas de información que habilitan dichos procesos, se encuentras los de administración de recursos humanos, inventarios, proceso de manufactura, venta y gestión de sus clientes.
• Mediante los procesos de decisión de gestión y asignación de los recursos financieros excedentes, incluyendo operaciones inmobiliarias, compra y venta de otros negocios, inversiones o participaciones en otros negocios, que permitan asignar capitales otrora ociosos.

Visto desde este punto de vista, la importancia de la gestión de los activos de la organización, es importante por 2 razones fundamentales:

1. Protección del flujo de caja: los activos físicos, así como en el caso de los sistemas de procesamientos de datos, la información contenida en ellos, tienen un alto costo de generación, muchas veces mediante procesos continuos que producen dicha información a través de las operaciones productivas y comerciales de la empresa. El efecto sobre el flujo de efectivo, en el caso de que haya que reponer el equipo y / o la información contenida en ella.
2. Protección de la continuidad del negocio: en muchos casos, particularmente en el caso de la información confidencial, se encuentra sobre el tapete no solamente la posibilidad de la empresa de continuar haciendo negocios y transacciones efectivas con sus clientes, sino, en el peor de los casos, verse imposibilitada de seguir operando, es decir de mantener su operación.

Investigue, analice y discuta en el foro, acerca de ¿Por qué es importante asegurarse de que los empleados y contratistas entiendan sus responsabilidades dentro de una organización?

La cadena es tan fuerte como su eslabón más débil. En el caso de la información, especialmente para los trabajadores de la información, el valor de dicha información se puede percibir con mucha claridad. Voy a presentar 2 escenarios que me tocaron vivir personalmente en la empresa ante la cual trabajo y que demuestran los efectos que un conocimiento inadecuado de las responsabilidades puede resultar muy peligrosa.

1. Durante el año 2013, se instaló un programa de reducción de los costos relacionados con la impresión de documentos, los objetivos iniciales están bien delimitados: a) reducir el número de hojas impresas producidas por persona, b) mejorar la proporción de impresiones monocromáticas frente a las impresiones en papel. Durante este proceso, se hizo uso de una tecnología de monitoreo previamente instalada a través de agentes de monitoreo que ejecutan en todas las terminales de trabajo. En la revisión, se determinó que nuestro equipo de trabajo producía en condiciones nórmales, 5 hojas por año por funcionario, lo que era un resultado esperado siendo una unidad cuyos procesos son esencialmente sin-papel. Al mismo tiempo, se detectó dos casos especiales, dónde un funcionario en San José (Costa Rica) y otro en Bangalore (India) imprimieron cada uno, más de 700 páginas en diferentes semanas. Luego del estudio, se detectó dos situaciones: el funcionario en Costa Rica había impreso una serie de invitaciones y programas de estudio para las clases dominicales de la iglesia protestante de su denominación, esto condujo a una amonestación escrita y al cobro simbólico de los insumos consumidos durante dicha operación. En el segundo caso, se determinó que la persona había anunciado su salida de la compañía, y las impresiones, representaban el código fuente de una aplicación que la persona había desarrollado en SAS y que deseaba tener a mano en caso de serle útil en su nuevo trabajo. En este caso, entró a operar la normativa que indica que todos los códigos fuentes generados durante el trabajo, son propiedad intelectual de la compañía. Se procedió a un despido sin responsabilidad laboral, así como a un proceso de investigación interno para determinar si situaciones similares había ocurrido en el paso.
2. En el año 2014, luego de un proceso de desarrollo de 3 años, la nueva plataforma de virtualización de la compañía, se puso en marcha. El equipo de desarrollo, conformado por un ejecutivo de la segunda línea de vicepresidentes, un líder de desarrollo y cinco desarrolladores principales, pasaron a estar a cargo del proceso de puesta en marcha, logrando un traslado de 36 000 instancias de sistema operativo a la nueva plataforma. A principios del 2015, el ejecutivo líder anunció su retiro de la compañía e inicio un nuevo trabajo con uno de los principales competidores de la organización. Al poco tiempo, el equipo completo de trabajo dejó sus posiciones en el banco, dejando la plataforma sin soporte como operación en marcha, así como la pérdida del conocimiento y experiencia. Dos grandes temas se pueden observar en este caso: la compañía no protegió adecuadamente su inversión en el componente humano, incluyendo el uso de contratos de protección de la propiedad intelectual así cómo restricciones para trabajar con la competencia. El otro gran punto, fue que se puso de manifiesto la debilidad en el proceso paso de la etapa de desarrollo a la etapa de producción del sistema. El impacto sobre los sistemas de producción fue tan alto, que luego de dos años, la infraestructura tuvo que ser abandonada y hubo que crear una nueva infraestructura desde cero.

En ambos casos, se puede observar problemas en el conocimiento y cumplimiento de las responsabilidades de los funcionarios. En el primer caso, estamos hablando de los roles y funciones típicamente estipulados en los contratos de trabajo, y que suelen formar parte de las políticas internas que rigen el comportamiento de los empleados.

El segundo caso, nos habla de otro tipo de responsabilidades de la dirección y los funcionarios. Crear un ambiente y prácticas que protegen los intereses de la organización de las dinámicas de mercado y de los riesgos de seleccionar y diseñar una operación alrededor de ciertas plataformas tecnológicas sin proteger apropiadamente a los recursos humanos necesarios para que dichas plataformas lleguen a buen puerto.

Investigue, analice y discuta en el foro, acerca de ¿Por qué se debe prevenir el acceso físico no autorizado, daños e interferencia a la información y a los recursos de procesamiento de la información de la organización?

Estas preguntas tienen dos componentes, uno que es bastante directo y que no requiere mucha presentación y otro mucho más complejo.

Respecto al acceso físico no autorizado, nos encontramos frente a la necesidad de establecer políticas y prácticas en la organización, que garanticen que solamente las personas previamente autorizadas accedan al espacio físico dónde se desarrollan las actividades de tecnología de información, esto es bajo la premisa básica de que quién no está ahí no puede ver, escuchar, tocar, manipular, copiar o sustraer lo que no le corresponde.

De ahí, que prácticas tan sencillas como el uso de bitácoras manuales hasta los más contemporáneos “badge” de acceso, son elementos prácticos que todas las empresas deben implantar cuando se trate de limitar que solamente los empleados que tienen el debido acceso efectivamente entren a dichas locaciones. Sin embargo, el principio de que la tecnología no remplaza a los controles o a las buenas prácticas debe imperar en estas situaciones.

De esta forma, los empleados deben recibir instrucciones detalladas y entrenamiento, respecto al debido comportamiento, dónde deben recibir a las visitas, reconocer a las personas habituales de sus departamentos, identificar a las prácticas sospechosas, en otras palabras, operar bajo el principio: si veo algo, digo algo.

Señalé que el elemento de prevenir los daños o la interferencia con la información o los recursos de procesamiento es bastante más complejo. Esto debido a que en muchas ocasiones una vez que las personas debidamente identificadas, que tienen las responsabilidades de acceder y mantener los sistemas de información, son las que efectivamente lo hacen, surge un reto bastante más retador: como controlar que las actividades desarrolladas por las personas no interfieran o dañen la información o los recursos de procesamiento.

Este tiene dos aristas, la externa y la interna. Desde el punto de vista externa, es el proceso de desarrollar los debidos controles y prácticas para que personas externas, intencional o accidentalmente, no interfieran con la información o con los recursos de procesamiento. Aquí hablamos desde situaciones tan detalladas como un complejo ataque de denegación de servicio o la actividad organizada de una banda de hackers, con interés en afectar la imagen de la compañía, en obtener información confidencial u operativa o en términos generales, afectas la operación de los sistemas de procesamiento. En muchas de estas ocasiones, esto requiere la inversión en equipo especializado, topologías de configuración redundantes y seguridad, consultoría profesional y la utilización de pruebas de sensibilidad o de ataques de actores externos.

De la misma manera, se deben evaluar las prácticas y riesgos cómo por ejemplo que un mantenimiento programado del sistema eléctrico o en su defecto, un fallo no programado, no vayan a afectar la debida operación de los sistemas de la organización. Dependiendo del nivel de exposición de la organización, esto puede conllevar desde simples prácticas de alerta formal hasta detallados procedimientos y protocolos de seguridad, planeamiento y prácticas de contingencia.

Investigue, analice y discuta en el foro, acerca de ¿Por qué se debe prevenir la pérdida, daño, robo o compromiso de los equipos y la interrupción de las operaciones de la organización?

Porque la pérdida, robo o compromiso de los equipos y la interrupción de las operaciones de la organización son efectos indeseables.

La pregunta, puede parecer un poco circular, al estilo: ¿de por qué se deben evitar los robos? Para evitar los costos de reposición de los artículos y los efectos que la pérdida del bien tiene sobre las operaciones de la organización. No obstante, detrás se esconde una realidad bastante importante de reconocer, que algunas veces se menosprecian: las inversiones que las compañías hacen en sus sistemas de procesamiento de información son elevadas en sí mismas, y los costos de reposición suelen ser por mucho más elevadas que el costo de adquisición de los equipos mismo, sino, en muchas ocasiones, en el costo de las actividades humanos para ponerlo de nuevo en operación, así como en tratar de tener de vuelta la información pérdida, que en muchos casos puede resultar imposible. Durante todo este tiempo, además, muchas actividades productivas, de venta o de toma de decisiones pueden verse interrumpidas e incluso llevar a una organización a cerrar sus operaciones.

Con esto dicho, una evaluación apropiada de dichos costos de reposición, así como los efectos negativos de la interrupción de las operaciones, son el punto de arranque desde el cual puede desarrollarse un caso de negocio para la puesta en marcha y el financiamiento apropiado de las medidas de prevención de la pérdida, robos y compromisos de la información. Esto, porque toda medida preventiva tiene un costo financiero y humano, y en muchas ocasiones, luego de que un periodo de tiempo ha sucedido sin que se presente un evento, negativo, las personas y las organizaciones asumen actitudes más laxas respecto a la seguridad, al punto que pueden cuestionar el valor de dichas medidas preventivas, reducir su financiamiento y abren la oportunidad para que los eventos indeseables ocurran.

Autor

• Alejandro Marin Badilla

Bibliografía

1. Madriz, C. A. (22 de 10 de 2016). Participantes en la gestion de datos. Obtenido de moodle.ucenfotec.ac.cr: http://moodle.ucenfotec.ac.cr/mod/resource/view.php?id=15955
2. The Data Governance Institute. (14 de 10 de 2016). DGI Framework Components. Obtenido de datagovernance.com: http://www.datagovernance.com/fwk_c07_data_stakeholders/