Administración de la TI y seguridad de la información

Publicado en Ciencias administrativas Etiquetado con

Introducción

Pocas palabras circulan en la actualidad tan libremente por el entorno financiero como la palabra «administración». Pensemos en ello: ningún debate sobre escándalos corporativos recientes deja de mencionar la falta de «administración adecuada» de las diversas empresas implicadas. El significado de la palabra administración es, sin embargo, frecuentemente vago. Lo mismo se puede decir sobre la administración de la TI, el tema de este artículo, que frecuentemente se trata de una manera breve y a la ligera. Según se observa en los estudios de Gartner Inc., pocas expresiones pueden provocar tanta confusión:

«En un período de tiempo sorprendentemente corto, la expresión se ha aplicado indistintamente en los ámbitos de la conformidad, auditoría, políticas, toma de decisiones, estándares, prioridades en proyectos, carteras de servicios, inversiones, opciones de recursos, así como en los ámbitos de las funciones y responsabilidades de la administración.

En otras palabras, se ha convertido en una especie de cajón de sastre que se puede aplicar a prácticamente cualquier tipo de problema o actividad en el mundo de los negocios y en la administración de la TI.”

Aunque persista la confusión sobre el concepto de «administración», yo diría que la administración de la TI, siempre importante, está asumiendo un significado más amplio en la actualidad, en parte debido al clima normativo vigente. Es más, pienso que la administración de la TI no podrá ser eficiente a menos que incluya vigilancia y garantía de los controles de seguridad de la información.

Lo que se mide se cumple

Aunque existen muchas definiciones de administración de la TI, pienso que es posible aceptar la propuesta del IT Governance Institute que se concentra básicamente en dos puntos: “El valor que la TI aporta al negocio y la reducción de riesgos informáticos. El primer punto está orientado hacia la alineación estratégica de la TI con los negocios. El segundo está encaminado a la implantación de la responsabilidad en la empresa. Ambos exigen el soporte de recursos adecuados, que se deben medir para asegurar la obtención de los resultados.”

La clave aquí está en «medir». Veamos por qué. Es útil, aunque simplista, pensar en la administración de la TI como un sistema cerrado (o, como algunos lo han denominado, «ciclo de vida continuo»). Al alinear estratégicamente la TI con los negocios, la empresa empieza por definir el tipo de comportamiento deseado, es decir, «la manera como las cosas deben de ser».

A continuación se implementa dicha estrategia con la ayuda de las personas, procesos y tecnologías. ¿Cómo garantiza la empresa que la implementación está produciendo el tipo de comportamiento deseado? El dicho antiguo “Lo que se mide se hace” se aplica aquí.

De forma análoga, reafirmemos también lo contrario: “Lo que no se esté midiendo probablemente no se está haciendo.” La implementación de cualquier estrategia importante, por lo tanto, debe someterse regularmente al control (algunos recomiendan hacerlo continuamente) para garantizar que se está obteniendo el estado deseado.

Como última etapa, la empresa cierra el ciclo actuando sobre los resultados del control. O bien se registran los resultados favorables para la elaboración de informes de administración o se modifican los controles con el fin de cumplir los objetivos, o se revisan las metas en sí.

Como todo profesional de la seguridad de la información sabe, el control y la medición están (o deberían estar) en el centro de nuestras acciones. Esto se debe a que es posible que los controles no se implementen de la manera prevista o a que se deterioren a lo largo del tiempo, aunque inicialmente fueran adecuados.

Los sistemas de administración de la seguridad empresarial permiten que las organizaciones definan, midan y generen informes sobre la conformidad de los sistemas de información a las políticas de seguridad previamente establecidas por la empresa, las políticas de seguridad estándar del sector y las normas gubernamentales. Lo que es válido para las tareas de control de la seguridad también es válido para el control de los riesgos operacionales, una vez que la seguridad es uno de los principales componentes del riesgo. La importancia que esto tiene en la actualidad es mayor que en cualquier otro momento, como revela un breve recorrido por el panorama legal actual.

Una perspectiva cambiante

Consideremos los siguientes desarrollos legales recientes. Cada uno de ellos entona un «acorde de responsabilidad»:

La Ley de Sarbanes­Oxley de 2002 exige que los ejecutivos sénior en prácticamente todas las empresas que cotizan en el mercado de acciones estadounidense certifiquen sus controles internos y la precisión de sus informes financieros.

La seguridad de la información surge como una base fundamental para la conformidad. Sin las medidas de seguridad apropiadas, las empresas no podrán cerrar sus libros y controles internos con confianza.

El futuro Acuerdo de Capital de Basilea II convierte explícitamente el riesgo operacional en un factor del cálculo de las exigencias totales de capital. Sin embargo, lo hace con un importante cambio: Cuando más eficaces son los esfuerzos de administración del riesgo operacional de una institución financiera, menor es la necesidad de contar con reservas financieras. Se espera que las instituciones desarrollen marcos para la medición y cuantificación del riesgo operacional y dichas medidas deben incluir elementos del riesgo de la información como variables explícitas.

Como revelan otras leyes y normas recientes – de Gramm­Leach­ Bliley Act a Security Breach Information Act de California, la sociedad impone leyes a muchas de las expectativas sobre seguridad de la información en las empresas, sean públicas o privadas. Los gerentes que no miden la conformidad quedan expuestos a una gran variedad de «sorpresas» desagradables.

Según lo observado por Robert Frances Group, “las directivas de administración corporativa quedan reflejadas en la legislación reciente. Aunque la legislación no trata de asuntos tecnológicos propiamente dichos, cualquier directiva tendrá grandes efectos sobre la tecnología de la información. Además, en un momento en el cual la tecnología es fundamental para los negocios, la administración corporativa queda incompleta si no incorpora un sistema de administración de la TI adecuado”.

Promoción de la cultura de control operacional

No hace mucho tiempo, a propósito del Acuerdo de Basilea II, escribí sobre las necesidades de crear lo que se podría denominar “cultura del riesgo”. Esa misma idea ocupa un lugar destacado en escritos recientes COSO (Committee of Sponsoring Organizations of the Treadway Commission) sobre la administración de riesgos empresariales. La «cultura del riesgo» pone en práctica la idea de que la administración de riesgos debería ser un elemento natural integrante de los procesos operacionales diarios y no algún tipo de proceso «externo» que vigila los procesos operacionales (más parecido a una cultura de la necesidad).

Lo ideal sería que la administración de los riesgos de la información fuese tratada de esta manera. Con la promoción y la documentación de la cultura del riesgo, la seguridad de la información puede ayudar a las instituciones financieras a navegar por los ambientes cada vez más imprevisibles de la actualidad, ambientes en los que proliferan nuevos productos cada vez más complejos, se incrementan las transacciones bancarias electrónicas, los sistemas totalmente integrados tiene gran demanda y la responsabilidad frente a las normas es cada vez mayor.

De manera similar pero con relación a la administración de la TI, defiendo la necesidad de promocionar la cultura del «control operacional». Dicha cultura, pienso, es parte esencial del cuadro de administración de la TI. ¿Qué supone todo esto?

La cultura del control operacional (COSO lo ha denominado recientemente «control continuo») lleva en consideración la práctica de obtención de conformidad, principalmente a través de la «vigilancia» como anatema. De hecho, reconoce que los responsables de las acciones operacionales que afectan a la conformidad deberían medir su propio rendimiento. Deberían ser siempre conscientes de su posición en relación con las exigencias. ¿Se están respetando los límites? Los auditores y analistas todavía desempeñan un papel de vigilancia crítico, pero debería ser raro para un auditor encontrar gerentes de línea que no sean conscientes de los problemas de conformidad. Además, debería haber explicaciones rutinarias a mano para las dudas del auditor y/o esfuerzos activos para remediar la situación.

Es interesante observar que, en su mayoría, las acciones operacionales que pueden causar impacto sobre la postura acerca de la seguridad de la información son llevadas a cabo por recursos que no están dedicados a la seguridad. Esto significa que en las políticas de riesgo, la mayor parte del control operacional de la seguridad de la información será realizada por grupos como operaciones de computadora o de red.

¿Cómo podemos poner esa política en funcionamiento?

No voy a andar con miramientos: no es fácil. Aunque el control y medición asiduos sean fundamentales para la administración de una TI eficaz, hay que reconocer que las cosas no son tan simples.

Hay algunas áreas dentro de toda empresa que simplemente no se pueden medir con precisión. Todo profesional de la seguridad de la información sabe a qué me refiero. En determinadas circunstancias sólo se puede confiar en el buen juicio. Sin embargo, lo que se puede medir debe ser medido.

En primer lugar, la adopción de marcos ampliamente aceptados de control interno, control informático o control de la seguridad de la información pueden otorgar credibilidad a los procesos, tecnologías y controles que son necesarios para el soporte de ambientes de seguridad de la información. En la actualidad, marcos tales como COSO, COBIT (Control Objectives for Information and related Technology), ITIL (Information Technology Infrastructure Library) e ISO 17799son amplios y gozan de aceptación general.

Podría decirse, sin embargo, que el principal desafío que la cultura de riesgo impone al CISO consiste en persuadir el presidente o los ejecutivos de negocios sénior de que todos los gerentes deben poseer metas en términos de seguridad de la información y que cada uno de ellos debe medir su propio rendimiento en lo que respecta a la consecución de dichas metas.

La persuasión puede ser más fácil si se puede destacar la conexión entre la existencia de controles de seguridad sólidos y operaciones confiables.

Las herramientas que pueden automatizar las tareas de medición y la correspondiente creación de informes también serán fundamentales para el éxito de los objetivos de una política de riesgo como la que describimos.

Si el éxito es grande, todos, desde el administrador de sistema más joven, pasan a formar parte del equipo de seguridad y la política del control operacional desarrollará raíces fuertes y profundas.

Fuente: Administración de la TI y seguridad de la información de Bruce Moulton