Foros Level 3

Foros Level 3 de Tecnología y Negocios

Foros Level 3 - Foros Level 3 de Tecnología y Negocios

Incidentes de la seguridad de la información, por Maximilano Canosa

Share

Compartimos con uds un nuevo post de la sección “artículos de interés”, a continuación. Esperamos sea de su agrado.

Incidentes de seguridad de la información

Cuando se asume la responsabilidad de gobernar las tecnologías de la información a nivel corporativo, inmediatamente se aceptan altos retos particularmente interesantes, como estar al tanto de las amenazas que propone el mundo informático, encontrándose entre otras la intercepción de información, la interrupción de procesos críticos, la modificación de transacciones y la generación de códigos arbitrarios, como también conocer las vulnerabilidades sin importar su naturaleza, (ya sean lógicas, físicas, naturales o humanas), que pudieran materializar las amenazas anteriormente manifestadas, dado que estas son actividades informáticas que golpean una y otra vez los sistemas de información.

En circunstancias normales, sin importar el tipo de mercado al cual se pertenezca, organizaciones publicas o privadas o entidades financieras y bancarias, los responsables de seguridad por las actividades que realizan cotidianamente, no tienden a actuar proactivamente para prevenir los efectos perniciosos de los distintos incidentes a que los sistemas de información están sujetos, y cuando surge un problema, porque la prevención tecnológica falla, se actúa en consecuencia. Pero, ¿se plantearon en algún instante los responsables de esta actividad, antes aplicar seguridad sobre los sistemas, medir el impacto que estos pueden acarrear si se manifiesta alguna amenaza o vulnerabilidad?

La seguridad de los sistemas informáticos evidencian a las organizaciones y manifiestan sobre estas, que se encuentran ante un problema que ocasiona grandes inconvenientes para la continuidad operativa de las mismas sin importar la gravedad del incidente.

En esta oportunidad no hablare del los tipos de ataques (internos / externos), lo importante por ahora es reconocer que existen y sobre todo tratar de prevenirlos.

Entre los incidentes más comunes que se detectan durante las ejecuciones de pruebas sobre los sistemas, falta de seguridad en la programación de códigos web, los cuales permiten acceso a los sistemas y bases de datos en forma directa; facilidad de escalamiento de privilegios por la falta de sistemas fuertes en la generación de perfiles de usuarios; malas configuraciones en los servidores de correos electrónicos los cuales permiten la lectura de los mismos y hasta la utilización de estos para el envió interno y hacer inteligencia de personas y como punto importante y muy critico quiero mencionar la falta de concientización de los empleados de las organizaciones sobre la importancia que tiene para las organizaciones la información y sobre todo cuan responsables son ellos sobre los problemas de seguridad.

La gestión de la seguridad de la información es muy extensa, pero sin duda alguna, uno de sus puntos claves es la adecuada gestión del riesgo. Equilibrar las decisiones a tomar en función del riesgo informático, en la gran mayoría de las veces es difícil de abordar, y la incertidumbre de los resultados es muy elevada, especialmente cuando no hay datos anteriores que permitan proyectar una posible tendencia. Sin ánimo de hacer imposible la gestión del riesgo, se debe tener en cuenta también que hay riesgos incontrolables y que por tanto escapan a toda planificación. Pero esto no puede ser obstáculo para que apartemos a un lado los riesgos, y sigamos mirando al frente como si nada hubiera pasado.

Es preciso tener claro que establecer contramedidas para mitigar absolutamente todos los riesgos es algo, por decirlo de alguna manera, inaplicable; por cuestiones económicas y de índole operativa por los cambios constantes de tecnologías e investigaciones de avanzada sobre problemas de seguridad.

Asimismo, tampoco sería correcto asumir la totalidad de los riesgos, sin invertir en ninguna medida de control sobre los mismos. Es necesario llegar a un equilibrio entre inversión y riesgo asumido voluntariamente. Y éste ultimo concepto es el objetivo principal de la gestión de los riesgos.

Existen distintas maneras y metodologías de gestionar adecuadamente la seguridad de la información y los riesgos a los que las organizaciones se enfrentan. Desde luego, siempre es aconsejable emplear metodologías reconocidas ya que éstas surgen de una experiencia y un contraste que las hace válidas a niveles internacionales.

Por Maximiliano Canosa, Director Ejecutivo, I-Prot.

Nuevos artículos de interés en el sitio – Nueva Sección

Share

Con el sitio Foro , apuntamos en principio a generar un espacio donde compartir material de los foros pasados y compartirlos con los asistentes así como aquellos que no hubiesen podido concurrir.

Ahora buscamos trascender esa función, y poder empezar a postear en el sitio notas de interés referidas a temáticas tratadas o por tratarse en nuestros eventos. Especialistas del sector contribuirán para poder generar contenidos de interés, inaugurando la sección “Artículos de interés” en el sitio.

En esta primera entrega, compartiremos la nota Evolución de Servicios Gerenciados y el Modelo de Tercerización: De Bajar Costos a Transformar el Negocio” escrita por Marcela Cuelli, Data Center Product Marketing Manager, Latin America & Caribbean.

Esperamos que sea de su interés.

Gracias!

Evolución de Servicios Gerenciados y el Modelo de Tercerización:De Bajar Costos a Transformar el Negocio

Es muy natural  que las tecnologías de información y comunicaciones sufran periódicamente cambios significativos, pero lo que no es frecuente es observar modificaciones sustanciales en el  modelo de gestión de las mismas.

El modelo de gestión, tradicionalmente enfocado en la administración, operación y control del  componente tecnológico,  está siendo reemplazado por otro cuyo objeto de gobierno está integrado por los servicios TIC. Este cambio radical está impulsado principalmente por la presión que ejercen las aéreas de negocio sobre las de tecnología con el propósito de mejorar la competitividad global de la empresa.

En este nuevo modelo, conocido también con el nombre de Business Service Management (BSM), los procesos de negocio se relacionan dinámicamente con los servicios TIC y su infraestructura subyacente.

Para poder implementar el modelo BSM, los tres pilares que sustentan la gestión de servicios TIC: procesos, tecnologías y estructura organizacional, deben tener un nivel de madurez parejo y al mismo tiempo avanzado.

Analistas de mercado como Forrester entienden que el punto de partida para llegar a este tipo de modelos es disponer de una estructura operacional con las características que propone ITIL,  los procesos de IT Asset Management, Service Level Management, Configuration Management, Problem and Incident Management implementados, los procesos de negocios mapeados con los servicios TIC, y  herramientas tecnológicas robustas y confiables  para el manejo de  las bases de datos de activos y de gestión de cambios.

Alcanzar simultáneamente el nivel de madurez adecuado  en tecnología, procesos y estructura organizacional para poder implementar un modelo de BSM, no es tarea fácil para los departamentos de IT de la mayoría de las empresas. Sobre todo con plazos estrechos y recursos limitados como los que fija la coyuntura de los mercados hoy.

En este contexto, delegar parcial o totalmente los servicios TIC en un tercero es una excelente alternativa para  facilitar el proceso evolutivo.

El concepto de outsourcing o tercerización no es nuevo ni esta sólo ligado a las tecnologías de la información. Los autores Charles L. Gay y James Essinger[1] comentan que en general, un servicio de outsourcing corresponde a la transferencia a terceros de procesos complementarios de una empresa, de tal forma que faciliten la concentración de esfuerzos en las actividades esenciales del negocio, con el fin de incrementar los resultados y mejorar la competitividad.

El concepto de outsourcing se ha mantenido estable, no así la razón por la cual las empresas delegan servicios en terceros, ni la relación que une al cliente con el proveedor. Estos aspectos han ido evolucionando a lo largo de estas tres décadas.

Hacia inicios de los años 80, la decisión de tercerizar un servicio estaba básicamente enfocada a bajar costos operacionales. Como lo comenta Michael F. Corbett[2], en su libro “Outsourcing, The Next Ten Years” se trata de un enfoque táctico que aun sigue siendo usado, o en general, es el punto de partida de las empresas que empiezan a considerar la posibilidad de optar por un modelo de tercerización.

El siguiente paso en este proceso evolutivo es la adopción del modelo estratégico, cuyo enfoque es el de permitir que la empresa logre la especialización, lo que le permitirá mejorar resultados. Para ello, es vital alinear el planeamiento estratégico de TI al negocio, demostrando el valor de TI para el mismo, mejorando la seguridad, controlando las fallas y evitando la discontinuidad del servicio.

Finalmente Corbett postula el modelo transformacional, en el que las empresas buscan apoyarse en los servicios de outsourcing para innovar. En esta etapa, entre otros aspectos, se busca mejorar procesos que permitan el crecimiento del negocio, tales como implementar soluciones para posibilitar el trabajo móvil,  usar herramientas de inteligencia de negocio, así como  disponer de servicios tecnológicos agiles que les permitan dar respuestas en tiempo y forma  a nuevos desafíos.

Cuando una empresa se apoya en la tercerización para acelerar la implementación del modelo de gestión de servicios informáticos BSM, no está haciendo ni más ni menos que utilizar  el outsourcing para innovar. Estableciendo una relación dinámica entre los objetivos de negocio y los servicios TIC, se está creando el entorno adecuado para facilitar la innovación.

Como se mencionó anteriormente, uno de los aspectos del outsourcing o tercerización que ha ido  cambiando es la relación entre el cliente y el proveedor. Este vínculo se ha ido estrechando a medida que los roles de ambas partes se fueron abriendo y definiendo,  y sus objetivos e intereses se fueron ligando. Esta evolución en la relación ha generado un mayor nivel de compromiso entre las partes.

Es debido a este mayor nivel de compromiso que para consolidar el éxito en cualquier servicio de outsourcing, se deben establecer claramente los niveles de servicio, o SLA por sus siglas en inglés. Estos dependerán de la criticidad del proceso que se ha tercerizado e inclusive, variarán dependiendo del momento en el que se brinde el servicio.

Esta “estacionalidad” puede ser crítica hacia fines de año, o en ciertos meses, pero también puede variar dentro de un mismo día. Una conocida empresa de comercio electrónico en nuestra región llega a facturar casi 10 millones de dólares en un solo domingo. Este servicio es crítico para ellos entre las 08:00am y las 11:00pm. Quedar fuera de línea hace que el usuario busque otro portal para sus compras. Con sólo 10 minutos sin servicio, esta empresa puede perder ventas por más de cien mil dólares. Tanto cliente como proveedor deben ser conscientes de este tipo de estacionalidades.

Es importante revisar constantemente los SLA y si estos tienen sentido en un momento determinado y si han evolucionado adecuadamente con el crecimiento del negocio. Es vital definir adecuadamente el SLA para que el cliente cuente con  el nivel del servicio adecuado para alcanzar sus objetivos de negocio.

En resumen, en estos últimos años se han dado grandes cambios en el área de tecnología de la información y comunicaciones de las empresas. A los ya tradicionales cambios tecnológicos se le han sumado importantes cambios funcionales. El rol que el departamento de tecnología de información desempeñaba dentro la una empresa ha cambiado, de ser un centro de costos ha pasado a ser un recurso, que integrado a las áreas de negocio de la empresa, desarrolla ventajas competitivas para el negocio.  Similar nivel de cambio se ha dado en las empresas proveedoras de servicios  de tercerización o outsourcing, que han pasado de ser una herramienta para bajar costos a ser una herramienta para facilitar los procesos de innovación de sus clientes.

[1] Charles L. Gay y James Essinger

Charles L. Gay y James Essinger, Inside Outsourcing. Nicholas Brealey, 2000 volver arriba

[2] Michael Corbett

Michael Corbett, Outsourcing: The Next Ten Years. International Association of Outsourcing Professionals, 2005. volver arriba

Por Marcela Cuelli, Data Center Product Marketing Manager, Latin America & Caribbean