Hablamos hace poco de Shadow IT. De hecho, esto no es nuevo.

¿Recuerdan cómo utilizábamos los diskettes? Para respaldo de datos por supuesto (¡!). Y luego evolucionamos en ese sentido (sí, claro) con el CD, DVD, correo electrónico en sus varios tipos, USB en sus varias formas, SD en sus varios tamaños y capacidades, y ahora tenemos una nueva forma, la nube (incluso gratis o casi gratis -¿alguien se ha preguntado quién financia todos esos servicios ‘gratuitos’ en nube? ¿Algún gobierno hipocondríaco o controlista?).

De hecho, incluso el empleo de smartphones –que también es un factor de seguridad a considerar (¿recuerdan cuando los celulares se utilizaban sólo para nuestras comunicaciones telefónicas?), apoya al hecho de que los CIO buscan resultados[1] (donde la seguridad es considerada más bien una traba), y una manera es proporcionar una cierta ‘autonomía’ con la movilidad (o la infinita ubicuidad) de las personas. ¿Habrá alguna relación entre la rotación de personal y el stress de los empleados por esta ubicuidad? ¿Les interesa esta tesis para doctorado?

Total, esto sí nos ayuda para realizar el trabajo diario –y debido a esto no nos preocupamos por la seguridad de los datos que salen de la empresa o de la publicidad (en forma de adware[2] -o tal vez, spyware) que ingresa a la empresa. Tanto dependemos de estas ayudas que eliminarlas podría impactar negativamente nuestra operativa [funcionalidad] diaria[3]. Dolor de cabeza para TI –y la organización.

Si la seguridad atenta contra una funcionalidad crítica del negocio, o bloqueamos algún acceso a algún funcionario de alto nivel, el despido está garantizado[4], tanto como que hayamos ignorado un evento crítico de seguridad, hayamos utilizado datos reales en ambientes de prueba, o hayamos utilizado la clave del administrador en un ambiente inherentemente inseguro y no controlado.

Doy por descontado que el negocio sabe, entiende y está comprometida con la seguridad, y que no considera a la seguridad como problema sólo de TI –bueno, espero no estar equivocado. De hecho, si nuestras aplicaciones (legacy como cliente/servidor o nuevas app o SaaS) dejan puertas abiertas a los hackers[5], y eso que las ‘controlamos’ de la mejor manera posible, ¿qué podemos decir de las aplicaciones en la nube?

Además, ¿quién [nos] controla? Estamos guardando datos privados podemos esbozar como defensa, si en caso. ¿Privados para quién? O que están seguros. ¿Seguros cómo? La seguridad proporciona protección para todo tipo de información, en cualquiera de sus formas, de manera que se mantienen su confidencialidad, integridad y disponibilidad. La privacidad asegura que la información personal (y a veces también la información confidencial corporativa) se recoge, procesa (usa), protege y destruye legal y justamente[6].

Bueno, si esta es una amenaza, ¿cómo la tratamos? En general, ¿cómo tratamos las amenazas? Supongo que las priorizamos sobre la base de criterios que el negocio considera pertinentes y apropiados. Buscamos claro que las medidas que adoptemos esta vez sí cierren las brechas de seguridad a los wannabe hackers. Sabemos que no es cuestión de si experimentaremos una intrusión, sino de cuándo esta se dará[7]. Parece paranoico el comentario anterior pero, preguntémonos si estamos realizando lo necesario y con los recursos y capacidades necesarios para reducir esta posibilidad –y sobre todo su impacto.

Sabemos que debemos proteger los sistemas de información desde su concepción, proteger en general los activos de información (que han sido identificados, catalogados y son tratados en concordancia ¿verdad?); detectar las brechas lo mejor posible (aunque algunas brechas pueden tomar más tiempo y esfuerzo que otras) mediante el monitoreo continuo de los incidentes que impactan nuestra seguridad; responder en concordancia al impacto ocasionado por una brecha y con la prioridad exigida por la misma, poniendo en acción los planes de respuesta (actuación) correspondientes –que ya hemos probado y afinado (por supuesto esto es evidente que realizamos de forma periódica); recuperar los servicios y dar cumplimiento a los parámetros de seguridad establecidos, aunque estemos luchando con una brecha, es una situación mandatoria –por lo que se pondrá en práctica un nivel de resiliencia importante seguramente ya analizado con anticipación y contemplado por la organización en sus planes de continuidad del negocio.

De ITIL® tomamos prestados los conceptos de recursos: gente (número de empleados); información (propia de la empresa); aplicaciones en uso (desarrolladas localmente o por terceros); infraestructura (edificaciones, centro de datos y sus áreas de soporte); capital financiero. Y de capacidades: gestión; organización establecida; procesos (implementados, con sus procedimientos documentados); base de conocimiento; gente (su experiencia, habilidades, relaciones).

Como medidas de calidad, mejora continua y gestión de proyectos, ¿medimos el impacto de las amenazas? Me refiero a correctamente [inteligentemente], poniendo en la balanza todos los factores (fear factor) relacionados que impactarían negativamente y directamente nuestro ecosistema para clasificarlos [y tratarlos] apropiadamente[8]. Primero, ¿ya retiramos todo aquello que no necesitamos –verdad? ¿Hemos desplegado alguna iniciativa [mejor práctica] para la gestión de configuraciones y gestión de cambios?, con el fin de mantener la consistencia de las configuraciones (relaciones entre los componentes tecnológicos que permiten al negocio prestar los servicios contratados) y la personalización de la tecnología. ¿Medimos de forma coherente e inteligente el éxito de las medidas desplegadas [algo de gobernabilidad no estaría demás]? ¿Tenemos establecida de forma férrea una línea base correcta, coherente, completa, difundida, aceptada, y confiable? ¿En base a qué evidencia tomamos qué acciones? Entonces, ¿enfocamos nuestro esfuerzo de forma apropiada (en lo que vale la pena –sabemos qué ¿verdad?[9]), empleamos las métricas apropiadas, medimos en los lugares apropiados, en los momentos apropiados, de la forma apropiada y con las herramientas apropiadas? ¿Conocemos (ojo con la palabra) qué riesgos tomar en cuenta? Cierto, a mano cae bien la técnica 6W-2H. Las empresas más seguras monitorean de manera agresiva y extensiva (dentro de un ecosistema bien definido) anomalías específicas (por ejemplo, creando una matriz de comparación de todas las fuentes de registro que se tienen y de lo que estas alertan, comparando esta matriz con su lista de amenazas, haciendo coincidir las tareas de cada amenaza que puede ser detectada por los registros o configuraciones actuales y luego afinando el registro de eventos para cerrar tantas brechas como sea posible), establecen alertas –y responden a ellas, que es lo más importante.

¿Hemos obtenido de las personas que trabajan con datos sensibles su compromiso para con la seguridad de estos datos? –claro considerando en todos los casos el paradigma del menor privilegio y manteniendo un control de acceso basado en roles. ¿Hemos logrado algún tipo de sinergia con proveedores estratégicos [o socios comerciales] con el fin de impulsar apropiadamente los esfuerzos en seguridad?

¿Actualizamos nuestros planes y medidas de forma periódica? ¿Es la forma de protección que aprendimos o a la que estamos acostumbrados aún útil en la actualidad? Al menos actualicemos y mantengamos vigente nuestro control de acceso basado en roles ¿o ya nos embarcamos en IAM? En todo caso, no olvidemos la máxima en seguridad: el menor privilegio; y de evolucionar más allá de las ACL y adaptarnos a la evolución, sobre todo en los dominios de seguridad que establezcamos en nuestro ecosistema. Recordemos que cada dominio de seguridad debe tener su propio espacio de nombres, control de acceso, permisos, privilegios, roles, etc., y estos deben trabajar sólo en ese espacio de nombres[10]. Cada objeto y aplicación debe tener un propietario (o grupo de propietarios) que controla su uso y es responsable de su existencia. Conviene entonces trabajar con una matriz RACI, concepto prestado del PMBOK.

Debemos continuar la batalla, no importa dónde esta se dé, y no rendirnos, no importa cuán arduo sea el camino de la seguridad (inconsistencias en la plataforma tecnológica como su no estandarización, distribución imperfecta de las defensa que podamos desplegar, carencia de personal especializado y con experiencia tanto para el despliegue de las medidas de seguridad como para el monitoreo del cumplimiento, pérdida de enfoque en los riesgos reales, carencia de una solución eficaz dirigida a la verdadera raíz del problema, entre otros factores que podrían desalentarnos). No olvidemos la defensa en profundidad y los ataques múltiple vector (MVA) que los hackers pueden utilizar para intentar vulnerar nuestras defensas. La clave es preguntarse con cuánto daño podremos vivir si experimentamos (o sufrimos) una brecha de seguridad, la que permite a un intruso tener acceso total a un área determinada.

Entonces, ¿conocemos [realmente] las amenazas a nuestro ecosistema?[11] ¿Analizamos [realmente, y preferible con apoyo de herramientas de analítica] qué se nos pasó [falsos negativos], la causa raíz[12], o lamentamos lo que perdimos y seguimos midiendo lo bien que configuramos el firewall [cuántos bloqueos realiza]? ¿Seguimos pensando que los respaldos de datos son lo único confiable para garantizar la continuidad de los servicios o asumimos que nuestro ecosistema está comprometido, y desarrollamos una estrategia en torno a esa suposición? Así, tener una visión integral de riesgos es la base de un sólido enfoque a la seguridad[13].

[1] Fuente: http://www.cio.com/article/3086690/careers-staffing/measure-your-employees-results-not-their-time.html?token=%23tk.CIONLE_nlt_cio_insider_2016-06-22&idg_eid=0f3e0907b81179ebb4f3b209b6424bae&utm_source=Sailthru&utm_medium=email&utm_campaign=CIO%20Daily%202016-06-22&utm_term=cio_insider#tk.CIO_nlt_cio_insider_2016-06-22; disponible en junio/2016

[2] Fuente: https://es.wikipedia.org/wiki/Adware; disponible en junio/2016

[3] Fuente: http://www.csoonline.com/article/3075724/security/shadow-it-101-beyond-convenience-vs-security.html?upd=1465232115087; disponible en junio/2016

[4] Fuente: http://www.infoworld.com/article/2846758/security/10-it-security-mistakes-that-will-get-you-fired.html#tk.ifw-rs; disponible en junio/2016

[5] Fuente: http://resources.idgenterprise.com/original/AST-0163312_2574_AppSec_infographic_Rev1_v2.pdf; disponible en junio/2016

[6] Fuente: http://www.cio.com/article/3075023/privacy/the-difference-between-privacy-and-security.html?token=%23tk.CIONLE_nlt_cio_security_2016-05-30&idg_eid=0f3e0907b81179ebb4f3b209b6424bae&utm_source=Sailthru&utm_medium=email&utm_campaign=CIO%20Security%202016-05-30&utm_term=cio_security#tk.CIO_nlt_cio_security_2016-05-30; disponible en junio/2016

[7] Fuente: http://engage.hpe.com/PDFViewer?ID={42266c61-20e2-4d39-a0d0-40291a9336c3}_HPE_Security_Buyers_Guide_Checklist; disponible en junio/2016

[8] Fuente: http://www.infoworld.com/article/2987108/security/the-no-1-problem-with-computer-security.html; disponible en junio/2016

[9] Fuente: http://www.cio.com/article/3076171/security/effective-it-security-habits-of-highly-secure-companies.html?token=%23tk.CIONLE_nlt_cio_leader_2016-06-02&idg_eid=0f3e0907b81179ebb4f3b209b6424bae&utm_source=Sailthru&utm_medium=email&utm_campaign=CIO%20Leader%202016-06-02&utm_term=cio_leader#tk.CIO_nlt_cio_leader_2016-06-02; disponible en junio/2016

[10] Fuente: http://www.cio.com/article/3076171/security/effective-it-security-habits-of-highly-secure-companies.html?nsdr=true&token=%23tk.CIONLE_nlt_cio_leader_2016-06-02&page=2; disponible en junio/2016

[11] Fuente: http://www.infoworld.com/article/2989278/security/know-your-threats-before-you-deploy-defenses.html; disponible en junio/2016

[12] Fuente: http://www.infoworld.com/article/3005594/security/7-keys-to-better-risk-assessment.html; disponible en junio/2016