Las amenazas y retos de seguridad de la información a que deben enfrentarse los CIO no han cambiado demasiado el último año, pero, ahora, estos ejecutivos están encontrando mejores recetas para proteger sus datos y redes corporativas, según la encuesta anual Global Information Security Survey llevada a cabo por PricewaterhouseCoopers por encargo de las publicaciones CIO y CSO en Estados Unidos.
Por otra parte, “los resultados de la encuesta de este año reflejan una auténtica sensación de tensión. Un sentimiento de que, con los cambios acontecidos en la economía, se está produciendo una revisión de las expectativas”, asegura Mark Lobel, uno de los máximos directivos de la división de servicios de consultoría de PricewaterhouseCoopers.
De las 12.847 empresas de todo el mundo sondeadas para llevar a cabo este estudio, el 67% considera una prioridad los procedimientos de seguridad de la información que ayudan a las organizaciones para las que trabajan a minimizar el riesgo. En general, todas ellas son conscientes, por otra parte, de que deben invertir con un enfoque más preciso y dejar en manos de terceros especializados en seguridad lo que la plantilla TI interna no puede gestionar.
Una de las nuevas tendencias que más están forzando a las empresas a replantearse sus estrategias de seguridad de la información es el hecho de que los clientes se muestran cada vez más dispuestos a gastar su dinero online y desean utilizar aplicaciones más y más imaginativas para ello, así como poder hacerlo a través de cualquier dispositivos, incluidos los móviles. Y ello supone proporcionar datos personales a las empresas con las que interactúan.
Por tanto, los CIO saben que deben mantenerse especialmente alerta respecto de las vulnerabilidades que los atacantes pueden explotar para robar los datos privados de sus clientes y otros activos fundamentales. Es más, las regulaciones gubernamentales y de la industria a menudo exigen este tipo de protección.
Al mismo tiempo, la creciente complejidad de las relaciones de negocio está obligando a los CIO a facilitar a los outsiders (usuarios externos) mayor acceso a sus sistemas internos. Se hace pues imprescindible la protección de la empresa no sólo frente a posibles ataques contra ella, sino también, por ejemplo, frente a aquellos que pudiera sufrir alguno de sus socios de negocio, porque podrían repercutir en su propia red.
La crisis financiera que sufrimos desde hace unos años puede haber tirado por tierra algunas de las iniciativas previstas por los CIO en el ámbito de seguridad. Sin embargo, el 56% de ellos reconoce que el continuo aumento de los riesgos está elevando el rol y la importancia de la seguridad en sus organizaciones.
En la cloud hay que tener prudencia…
El 62% de los entrevistados para el informe Global Information Security Survey manifiesta tener poca o ninguna confianza en su capacidad para proteger cualquier activo colocado en la cloud. Incluso entre el 49% de aquellos CIO que se han aventurado a introducirse en el cloud computing, más de un tercio (un 39%) siente preocupaciones por la seguridad de su información.
Cuando se les preguntó cuál creían que era el mayor riesgo en su estrategia de cloud computing, los entrevistados respondieron en su mayoría que dudaban poder imponer con eficiencia sus políticas de seguridad en el entorno del proveedor y que estaban preocupados por la posibilidad de no disponer de una formación y auditoria TI adecuados.
James Pu, CIO de Los Angeles County Employees Retirement Association (Lacera), se encuentra entre los escépticos. Asegura sentirse atraído por la flexibilidad y agilidad que el cloud computing puede ofrecer, pero no confía en su seguridad. “Tal y como están hoy las cosas, en la cloud no se dispone de la misma fiabilidad que en una red de área local propia”, explica Pu, que también ejerce de máximo responsable de seguridad de la información en Lacera.
“Además, me preocupa la implicación de terceras partes”, continúa Pu. Los suministradores cloud, argumenta, utilizan terceras partes para hospedar centros de datos y hardware. Y estas pueden contratar personas sin el necesario conocimiento sobre el cliente final, según Pu. “Basta con la existencia de una brecha de software para que accidentalmente mis datos queden al descubierto”.
Larry Bonfante, CIO de United States Tennis Association (USTA), se encuentra, por el contrario, entre los responsables TI que han decidido introducirse en la cloud, pero con cautela. Desde el punto de vista de la seguridad, su mayor preocupación es proteger los datos de sus clientes. Algo importante, teniendo en cuenta que, por ejemplo, aproximadamente el 80% de los tickets para la última edición del Open de tenis de Estados Unidos fueron comprados a la empresa vía Internet.
Aunque Bonfante reconoce no estar preparado aún para permitir que tales transacciones se lleven a cabo en la cloud, porque no está seguro de que todas las piezas tecnológicas que deben intervenir para completarlas cumplan en la cloud los requisitos básicos de seguridad de la compañía. Sin embargo, no opina lo mismo sobre los sistemas de financieros y de reporting de su back-end.
De hecho, este CIO ha trasladado todos los sistemas de back-end internos de USTA a la plataforma cloud Amazon Web Services, en la creencia de que los recursos de seguridad de Amazon cumplen totalmente las necesidades de su propia organización. Entre los beneficios obtenidos de ello, Bonfante cita la reducción de costes y servidores a mantener internamente, lo que le ha permitido a la plantilla TI desplegar nuevas soluciones con mayor rapidez. Además, según Bonfante, la cloud ha reducido también la huella de carbono de USTA: menos hardware dentro de la empresa se traduce en menos consumo de energía para mantener su centro de datos.
Antes de que el cloud computing pueda convertirse en algo universalmente aceptado como una alternativa segura, deberán cambiar algunas cosas, en opinión de Ken Pfeil, CSO de una gran compañía estadounidense de fondos de inversión mobiliaria y anterior CSO de Capital IQ y Miradiant.
En primer lugar, según Pfeil, los expertos en seguridad deberán disponer de directrices más específicas sobre qué tipos de datos son candidatos aceptables para almacenar en la cloud, especialmente en el caso de la información sobre clientes o la propiedad intelectual. Además, las agencias reguladoras tendrán que aclarar cómo deben realizarse los controles de reporting financiero en la cloud.
Pfeil no se siente satisfecho con la forma en que tales cuestiones han sido respondidas hasta el momento, especialmente en el caso del tipo de datos financieros que pueden colocarse en la cloud. Por tanto, de momento ha evitado llevarlos a ella.
El peligro de los socios de negocio
En cualquier caso, la introducción del cloud computing en las organizaciones es una elección. Los CIO pueden decidir si confiar o no la gestión de sus datos a los suministradores cloud. La situación es más complicada cuando se trata de la necesaria relación con los socios de negocio.
De hecho, ha aumentado respecto al año pasado la preocupación de los CIO por la posibilidad de que su propia seguridad se vea amenazada por la de sus socios de negocio y suministradores, que quizá han reducido la inversión en proteger sus TI durante la recesión económica. Más de tres cuartas partes (un 77%) de los sondeados por PricewaterhouseCoopers aseguran que sus socios y suministradores han resultado debilitados por la recesión.
“Las empresas dependen cada vez más de socios y suministradores lo quieran o no, y se ven forzadas a permitir que éstos accedan a sus datos e infraestructura TI”, explica Lobel. “Es algo difícil cuando los tiempos son buenos y aterrador cuando son malos”. Enfrentados a sus propios problemas de negocio, las terceras partes se ven obligadas a recortar costes, igual que la propia empresa. El problema es que en el proceso, los controles de seguridad pueden reducirse, según Lobel.
Josh Jewett, vicepresidente senior y CIO de Family Dollar, dice que su compañía ha dado los pasos necesarios para asegurar que sus socios de negocio no comprometen su seguridad. “Exigimos a las terceras partes con las que trabajamos responsabilidad no sólo contractualmente, sino también operacionalmente”, explica. “Deben demostrarnos que satisfacen los mismos estándares de seguridad que nosotros aplicamos internamente”.
Además, los socios de Family Dollar han de someterse al escrutinio periódico de la propia compañía o de algún auditor independiente. En caso de que sus prácticas pongan en peligro los datos o la continuidad del negocio de Family Dollar, ésta se reserva contractualmente el derecho de acabar con la relación.
De forma similar, Pu, de Lacera, quien cuenta con una certificación en auditoría TI, sigue la táctica de confiar, pero sin dejar de comprobar. “A menudo exigimos a las terceras partes que definan y comprometan sus procedimientos de seguridad sobre el papel, pero además, luego hacemos un seguimiento para asegurarnos de que se están cumpliendo. Además, limitamos aquello a lo que pueden acceder, y, cuando lo hacen, nos aseguramos de que son `escoltados´”.
Lacera no permite a los socios de negocio conectar ordenadores a sus redes sin utilizar las medidas de seguridad aprobadas por la compañía, y les exige acatar reglas claras para el control de cómo y cómo no pueden ser utilizados los datos.
Si cualquier dato o aplicación no es relevante para una necesidad de negocio, Lacera impide que sus socios accedan a ello. Para ser accesibles, los datos o las aplicaciones deben estar directamente vinculados a una iniciativa conjunta en la que las dos partes estén trabajando de forma conjunta.
El enfoque de Bonfante es bastante similar. Las aplicaciones financieras están cerradas a terceros, así como las partes de la red donde se hospedan los datos de clientes. Aplicando estas limitaciones, Bonfante dice sentirse bastante seguro compartiendo otras partes de su red.
“Siempre existe cierta preocupación, pero trabajamos con nuestros socios para aplicar medidas de protección como la encriptación o el uso de contraseñas”, explica Bonfante. De hecho, los flujos de datos entre USTA y sus socios siempre están encriptados.
En opinión de Pfeil, para asegurar las relaciones con los socios de negocio, siempre debe intervenir personal de seguridad cuando los líderes de negocio deciden quién serán los terceros que proveerán un determinado servicio. Los expertos en seguridad podrán valorar la seguridad de los posibles socios con mayor precisión que los ejecutivos de marketing, por ejemplo.
Además, al igual que Jewett, Pfeil es partidario de establecer claramente los requerimientos en los términos de los contratos con terceros. “La seguridad debe estar expresada en palabras. Los contratos deben especificar cuestiones como cuál será la forma de gestionar la autenticación, cómo se protegerán los datos en movimiento y en reposo, o cuál de las dos partes será la responsable de qué controles”, concluye.