Follow us on:
Perspectives

Articles tagged with: Ciberseguridad

¿Ciberinseguridad o Desgobierno?

Thursday, 18 June 2015 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

En el sector hay una máxima -que aún se dice a veces con retintín: “uno debe dar por supuesto que ya han entrado en su sistema” [i]. 

Que penetren en nuestro sistema es una cuestión de seguridad informática o, por usar el palabro de moda, de ciberseguridad. 

Que los hackers lleven meses en el sistema de un banco, con control (al menos parcial del mismo: por ejemplo, de parte de los cajeros automáticos) y que hayan suplantado la identidad de una variedad de empleados, pudiendo hacer —sin que el banco se aperciba— transferencias importantes a cuentas de los malhechores es una cuestión ciertamente de ciberinseguridad, pero también de desgobierno y quizá de desgobierno nacional o supranacional.

El Profesor colombiano Jeimy Cano en su libro de 2013 y en artículos más recientes se refiere a la “inseguridad de la información… como elemento práctico de gobierno corporativo” [ii].

Hace poco (febrero 2015), The New York Times publicó el avance de un informe de Kaspersky Lab [iii] sobre el reciente descubrimiento de una suplantación masiva de identidades de empleados en más de 100 bancos y otras entidades financieras en Rusia, Japón, Suiza, EE UU y los Países Bajos. Kaspersky Lab ha declarado tener pruebas de sustracciones por 300 M USD, aunque creen que el total podría ser el triple. Dicen haber informado de todo  ello a la Casa Blanca y al FBI. 

Durante casi dos años y desde finales de 2013, los hackers enviaron a empleados bancarios correos con código dañino, que en ocasiones les permitió hacerse con los caracteres que tecleaban los empleados, así como con vídeos, pantallazos y el control de diversos sistemas y cajeros automáticos. 

Los hackers se tomaron mucho tiempo para estudiar las rutinas de los empleados y de los bancos y limitaron sus sustracciones a cantidades ‘razonables’ que despertaran menos alarmas.

De este modo, hacían transferencias a cuentas pirata o retiraban dinero de cajeros, que lo entregaban por control remoto. La forma generalmente usada para robar las cuentas corrientes bajo su control era manipular al alza su saldo y vaciarla luego con transferencias a cuentas de los hackers. 

(El objetivo y ámbito de la usurpación de identidad se han considerado individuales tradicionalmente [iv]. Estos hackers han logrado un ataque mucho más rentable, haciéndolos corporativos).

Hay que suponer que entre la diversidad de sistemas penetrados habría bastantes que contasen con muchos de los recursos y procedimientos de seguridad más recomendados. 

¿Cómo entonces ha podido suceder algo así en más de un centenar de bancos? La única explicación plausible es desgobierno corporativo —o insuficiente buen gobierno— falta de control interno, incluido el informático, pero no limitado al mismo.

Al parecer, ningún banco se ha hecho eco de este incidente (en ese prurito de pretender mantener la confianza por el secretismo). El consorcio Financial Services Information Sharing and Analysis Center, a través del que los bancos comparten información sobre estos eventos se ha limitado a declarar que había informado a las entidades interesadas.

Mientras tanto, el Presidente Obama no recibió muy buena acogida el pasado 13 de febrero, en Stanford, al presentar y firmar su decreto sobre comunicación de eventos en que haya sido comprometida información personal o financiera. Ni siquiera asistieron muchos de los líderes de grandes empresas tecnológicas [v]. ¿Sería por tensiones anteriores (WikiLeaks, Snowden…), o sería por ser viernes y 13? 

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 231, enero-marzo 2015. Referencia: Ref. Autoriz. NOVÁTICA 231, pg. 96 – ¿Ciberinseguridad o Desgobierno? – Miguel García-Menéndez, Manuel Palao.  

----------------------------------------------------

[i] https://www.nsslabs.com/blog/technology-future-bds-market-set-explode  Consultado 15/02/2015

https://www.nsslabs.com/blog/tags/breach-detection-systems Consultado el 15/02/2015

[ii] Cano, J. (2013).  Inseguridad de la información.  Una visión estratégica. MARCOMBO, S.A. Barcelona. ISBN: 9788426719812. EAN: 9788426719812. “[L]a inseguridad de la información, entendido como elemento práctico de gobierno corporativo que permite a los estrategas de la seguridad de la información pensar de manera complementaria y generar escenarios alternos a los tradicionales, para superar el síndrome de la falsa sensación de seguridad”. 

[iii] Sanger, D. E. and Perlroth, N. (Feb. 14, 2015). “Bank Hackers Steal Millions via Malware”. The New York Times. http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?emc=edit_th_20150215&nl=todaysheadlines&nlid=65935020&_r=0 Consultado el 15/02/2015

[iv] https://es.wikipedia.org/wiki/Robo_de_identidad Consultado el 15/02/2015

[v]  Jiménez, R. (13 FEB 2015).  “Obama tiende una mano a Silicon Valley tras el espionaje masivo”. El País. http://internacional.elpais.com/internacional/2015/02/13/actualidad/1423861487_812880.html 

 

Big Siblings, Big Hackers (pun intended)

Tuesday, 16 June 2015 Manolo Palao Posted in iTTi Views

The following are quotes from the Opening Statement by Ms. Flavia Pansieri Deputy High Commissioner for Human Rights at the United Nations Panel Discussion on the Right to privacy in the digital age [i]: 

[D]igital platforms are vulnerable to surveillance, interception and data collection. Deep concerns have been expressed as policies and practices that exploit this vulnerability have been exposed across the globe.” 

[P]ractices in many States reveal a sometimes deliberate lack of adequate national legislation and enforcement; weak procedural safeguards; and ineffective oversight. All of this contributes to widespread impunity for arbitrary or unlawful interference in the right to privacy.” 

* *

This other quote is from a video clip [ii] by Mr. Ben Wizner, Director, ACLU (American Civil Liberties Union) Speech, Privacy & Technology Project [iii]: 

[S]urveillance technologies have outpaced democratic controls… [G]overnments have placed mass surveillance ahead of cyber-security.

And I think that this is something that perhaps the broader public has not sufficiently understood… that there's actually a tension between the government's surveillance efforts, which include creating and exploiting vulnerabilities in communication systems, and the government's cyber security mission which is aimed at protecting us from malicious attacks from hackers, from foreign governments, from criminals.

That in effect, governments —particularly the US government and the British government, but not only those two governments— have made the strategic decision to weaken communication systems for everyone in order to facilitate mass surveillance.

* * *

-------------------------------------

[i] United Nations. (12 September 2014). Salle XX, Palais des Nations. url: http://www.ohchr.org/en/NewsEvents/Pages/DisplayNews.aspx?NewsID=15022&LangID=E retrieved 16/06/2015. 

[ii] https://www.youtube.com/watch?v=sBFDaeaI7s4&feature=youtu.be retrieved 16/06/2015

[iii] https://www.aclu.org/bio/ben-wizner retrieved 16/06/2015

 

Hacia un nuevo contrato social sobre la privacidad y seguridad digitales

Sunday, 26 April 2015 Manolo Palao Posted in iTTi Views

La Global Commission on Internet Governance  (GCIG) ha publicado este mes de abril "Toward a Social Compact for Digital Privacy and Security"[i], un importante documento de 29 páginas que —al considerar necesario restaurar la perjudicial erosión de confianza a que ha conducido la falta de un amplio acuerdo social sobre normas que regulen la privacidad y seguridad digitales— propone que todas las partes interesadas colaboren en la adopción de normas para un comportamiento responsable en el uso de Internet. 

Considera esencial que los gobiernos —en colaboración con todas las demás partes interesadas— adopten las medidas para restablecer la confianza en que la privacidad de todos se respeta en Internet y se proteja a personas físicas y jurídicas tanto de terroristas y cibercriminales cuanto del abuso por gobiernos y empresas en la recolección y utilización de datos privados.

El establecimiento de ese contrato social debe conducir a un compromiso global de seguridad colaborativa y privacidad, que ponga coto a las actuales largas y super-politizadas negociaciones.

Ese contrato social debería sustentarse en nueve dovelas:

1. Los gobiernos y otras partes interesadas, actuando tanto en sus propias jurisdicciones cuanto coordinadamente, deben proteger los derechos humanos fundamentales (incluyendo los de privacidad y protección de datos personales). 

2. La intercepción de comunicaciones en Internet y la recogida, análisis y uso de datos por las agencias policiales o de inteligencia debiera ser para fines claramente especificados a priori, autorizados por la ley (incluso la internacional de derechos humanos) y ajustados a los principios de necesidad y proporcionalidad.

3. Las leyes en concreto deberían ser públicamente accesibles, claras, precisas, completas y no discriminatorias, transparentes para individuos y empresas y tramitadas abiertamente. Debiera haber mecanismos robustos e independientes que aseguren la responsabilidad y el respeto de los derechos, cuyos abusos debieran ser corregibles y brindar remedio efectivo a los individuos cuyos a quienes hayan visto violados sus derechos por vigilancias ilegales o arbitrarias.

4. Las entidades que transmiten y almacenan datos usando Internet deben asumir más responsabilidad en la protección de datos ante ataques; y los usuarios (tanto los de pago cuanto los de los servicios llamados “gratuitos” debieran conocer y tener alguna opción sobre la totalidad de los usos comerciales de sus datos, sin por ello quedar excluidos del uso de software o servicios habituales para la participación en la era de la información. Tales entidades debieran también mostrar responsabilidad y ofrecer reparación en caso de una violación de seguridad.

5. Hay que revertir la erosión de la confianza en Internet causada por un mercado opaco que recoge, centraliza, integra y analiza ingentes cantidades de datos privados —una especie de vigilancia privada, al socaire de ofrecer un servicio gratuito.

6. Independientemente de la tecnología de comunicaciones, éstas deben considerarse privadas, entre las partes, de conformidad con la Declaración Universal de Derechos Humanos de Naciones Unidas. Debiera ser misión del gobierno reforzar la tecnología de la que dependen Internet y su uso; y no el debilitarla. 

7. Los gobiernos no debieran crear o pedir a terceros que creen “puertas traseras” para acceder a los datos, lo que supondría una debilitación de la seguridad de Internet. Debieran estimularse los esfuerzos de la comunidad técnica de Internet para incorporar a las normas y protocolos de Internet soluciones de mejora de la privacidad, incluso el cifrado —de cabo a rabo— de datos en reposo o en tránsito. 

8. Los gobiernos —en colaboración con los técnicos, las empresas y la sociedad civil— deben educar a sus públicos en buenas prácticas de ciberseguridad. Deben también colaborar en la mejora global de la formación y desarrollo de la fuerza de trabajo del software, para estimular la creación de redes más seguras y estables en derredor del mundo. 

9. La naturaleza transfronteriza de muchas formas significativas de ciber-intrusión limita la capacidad del estado que es blanco de la misma de prohibir, investigar y perseguir a los responsables de dicha intrusión. A fin de limitar las amenazas, y disuadir ataques futuros, los estados han de coordinar respuestas y prestarse asistencia mutua. 

* * *

[i]http://www.chathamhouse.org/sites/files/chathamhouse/field/field_document/20150415GCIG2.pdf  

 

Gobierno del Ciber-Riesgo

Monday, 13 April 2015 Manolo Palao Posted in iTTi Views

Parte I

En iTTi prestamos atención preferente al gobierno de las tecnologías (sobre todo informáticas) por quien tiene, en las empresas, la obligación y responsabilidad de realizarlo: el Consejo de Administración [i]. 

‘Gobierno corporativo de las TI’ (GCTI)…

 «… definido como el proceso de toma de decisiones en torno al uso de las TI; o, en palabras de la Organización Internacional de Normalización (ISO), como “el sistema mediante el cual se dirige y controla el uso actual y futuro de las TI"

… es el conjunto de mecanismos de alto nivel (estructuras y relaciones, normas y procesos de toma de decisiones) dirigidos a determinar el porqué, el para qué y el cómo de la aplicación y uso de las TI; y a evitar oportunamente, y superar resilientemente, las consecuencias no deseadas del referido uso”.

El consejo de administración… evalúa el estado de la empresa y las necesidades de los diferentes grupos de interés, fija la orientación estratégica y supervisa los resultados…

…  conlleva dos ámbitos principales -a veces antagónicos-: el rendimiento [desempeño] y la conformidad…» [ii]

Optimizar el rendimiento o desempeño supone, entre otras cosas, optimizar el riesgo corporativo. 

Hace poco, la prestigiosa Asociación Nacional de Consejeros de Administración de Empresa (National Association of Corporate Directors –NACD[iii]) de EE.UU. ha publicado un interesante documento sobre supervisión del ciber-riesgo[iv]. 

Si bien el título del documento se refiere a supervisión, su contenido abarca también temas de orientación, y cubre así las dos grandes funciones del consejo -orientación (establecer la dirección) y supervisión- señaladas en nuestra cita más arriba. 

Por otro lado, el uso en el título del término ‘riesgo’ frente a ‘ciberseguridad’ (este último, sin embargo, profusamente usado en el documento) nos parece un acierto, por cuanto no es la ciberseguridad como tal el objetivo a lograr, sino la administración de los riesgos, el “equilibrio idóneo entre rentabilidad y seguridad” en toda la empresa, aunque alcanzar ese óptimo exige que “la ciberseguridad esté entretejida en todos los procesos empresariales” (NACD 2014, pp. 5 ss.).

Aunque el documento de la NACD ofrece muchas herramientas como listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias, que hacen recomendable un estudio más detallado del mismo, a continuación presento cinco grandes principios que propone para los consejeros y el Consejo [v]: 

1. Los consejeros deben concebir y abordar la ciberseguridad como un tema de gestión del riesgo de toda la empresa, no como una cuestión de TI. 

No solo ‘toda la empresa’ en sentido estricto, sino “también respecto al ecosistema más amplio en que la empresa opera”; y “considerando no solo los ataques y defensas de máxima probabilidad, sino también ataques de baja probabilidad y alto impacto que pudieran ser catastróficos” (NACD 2014, p. 8).

La “supervisión del riesgo debiera ser una función de todo el Consejo” [subrayado, nuestro], sin delegarla al Comité de Auditoría u otros comités. El Consejo en pleno debería recibir, al menos semestralmente, información-formación (briefing) sobre estos temas” (NACD 2014, p. 8). 

2. Los consejeros deberían entender las implicaciones legales de los ciber-riesgos, en lo que respecta a las circunstancias específicas de su empresa. 

Las implicaciones legales de los ciber-riesgos son un tema en rápida evolución, que no es en absoluto convergente en una o unas pocas escuelas, ni lo hace al mismo ritmo, en el mundo global en que opera un creciente número de empresas. Las implicaciones legales dependen obviamente de las distintas jurisdicciones y pueden afectar de forma muy distinta a la empresa, al Consejo en colectivo y a sus consejeros.

El Consejo, aparte de tratar monográfica y específicamente estos temas, debe prestar atención a reflejarlo de modo adecuado en sus actas –en prevención de acusaciones de negligencia. 

Otro aspecto a considerar es “determinar qué [y cómo] desvelar, en caso de que ocurra un incidente”. La legislación, “normas, orientación regulatoria, los requisitos formales siguen evolucionando [sobre todo en EE.UU.], por lo que consejeros y directivos/ejecutivos debieran disponer ser informados periódicamente por un asesor legal”. (NACD 2014, p.11). 

3. Los Consejos deberían tener acceso adecuado a pericia sobre ciberseguridad; y en las agendas de sus reuniones debería habilitarse con periodicidad adecuada para debates sobre gestión de la misma. 

Además del asesoramiento legal ya mencionado, “algunas empresas están considerando añadir directamente al Consejo experiencia en ciberseguridad y en seguridad TI”, decisión a sopesar cuidadosamente, para no perjudicar la necesidad de otras pericias: “experiencia en el sector industrial, conocimiento financiero, experiencia global u otros conjuntos de pericias deseables”.

Hay otras formas de lograr ese acceso, mediante “inmersiones en profundidad con terceros expertos como tutores”; “utilización de asesores independientes ya disponibles, tales como auditores externos”; o “participación en programas de formación de consejeros pertinentes”. La mejora en la forma, contenido y frecuencia de los “informes de la dirección ejecutiva al Consejo” puede contribuir también a esa mayor familiarización; aunque debe considerarse que pueden estar sesgados. (NACD 2014, p. 12).

4. Los consejeros deberían establecer la expectativa de que la dirección ejecutiva (los gestores) establecerán un marco de gestión del ciber-riesgo que –extendido a toda la empresa– esté dotado del personal y presupuesto adecuados. 

Aquí se desarrolla el principio No. 1 y su traslado a la dirección ejecutiva. Para ello propone el “enfoque integral” de la Internet Security Alliance (ISA)[vi],[vii], que puede resumirse en:

- Asignar la propiedad del tema de modo multidepartamental, transversal (como las funciones financiera o de recursos humanos) –¡pero NO al CIO!-.

- Crear un equipo con participación de todas las partes interesadas.

- Celebrar reuniones periódicas e informar al Consejo.

- Establecer una estrategia y un plan de gestión del ciber-riesgo de ámbito empresarial.

- Dotarlo de los recursos necesarios y de un presupuesto no asociado a un solo departamento, para proteger así su naturaleza transversal.

Recomienda también el uso del Marco de Mejora de la Ciberseguridad de Infraestructuras Críticas[viii] del NIST –que resultará familiar al lector especializado–, si bien advierte que sus especificaciones pueden rebasar la habilidad práctica de una mayoría de organizaciones. 

5. Los debates del Consejo sobre ciber-riesgos deberían incluir la identificación de los riesgos a evitar, aceptar, mitigar o transferir mediante seguros, así como planes específicos relativos a cada uno de esos enfoques.

Propone que se debatan, al menos, las cuestiones siguientes:

- ¿Qué datos y cuántos estamos dispuestos a perder o a que los comprometan?

- ¿Cómo distribuir entre defensas básicas y avanzadas nuestro presupuesto de inversiones en mitigación de ciber-riesgos?

- ¿De qué opciones disponemos que nos ayuden a transferir ciertos ciber-riesgos?

- ¿Cómo debiéramos evaluar el impacto de los cibereventos?

Estos debates debieran ser, por un lado, monográficos –un punto del orden del día en algunas reuniones-; y por otro, debieran “integrarse en los debates de todo el Consejo sobre nuevos planes de negocio y ofertas de productos, fusiones y adquisiciones, entrada en nuevos mercados, despliegue de nuevas tecnologías, grandes inversiones de capital...” (NACD 2014, p.9). 

El documento de la NACD ofrece otras muchas cosas: más listas de preguntas, unos interesantes cuadros de mando (dashboards) y numerosas referencias. Su estudio más detallado es de todo punto aconsejable.

* *  

Parte II  

Llegados a este punto, tenemos unas preguntas para el estimado lector. No es necesario que nos las conteste, respóndaselas Usted mismo, aunque nosotros le estaríamos muy agradecidos si quisiera responder a una breve encuesta:

         ¿Le parecen esos 5 principios …

… razonables?

                                … muy incompletos y necesitados de otros muchos?

                                … abstractos y por tanto inaplicables?

        ¿En la empresa de Usted, se aplican …

                                … plenamente?

                                … en gran medida?

                                … muy poco?

                               … bastante, pero no es el Consejo/Junta quien lo hace, sino la

                               Dirección Ejecutiva/Gerencia?

* * * 

Este artículo fué publicado originalmente por la revista mejicana Magazcitum el 22/02/2015.  

--------------------------------

[i] Como el lector sabe, el máximo órgano de gobierno de una empresa se denomina en español de diversas formas, según la costumbre y la legislación de cada país. Aquí usamos ‘Consejo de Administración’ o ‘Consejo’, equivalente a ‘Junta’ o ‘Directorio’, como traducción de Board of Directors; y ‘Consejero de Administración’ o ‘Consejero’, como traducción de Director.

[ii] De “El Manifiesto iTTi sobre el Gobierno Corporativo de las Tecnologías de la Información”. url: http://es.slideshare.net/iTTi_news/el-manifiesto-itti  [Consulta 20140825]

[iii] http://www.nacdonline.org/index.cfm.  [Consulta 20140825]. 

[iv] NACD. 2014. Cyber-Risk Oversight. NACD Director’s Handbook Series. https://www.nacdonline.org/Store/ProductDetail.cfm?ItemNumber=10687 [Consulta 20140825].

[v] Traducidos libremente, a continuación. Se ha optado por no entrecomillarlos, para facilitar la lectura.

[vi] http://www.isalliance.org [Consulta 20140825].

[vii] ISA-ANSI. 2010. The Financial Management of Cyber Risk: An Implementation Framework for CFOs http://isalliance.org/publications/1B.%20The%20Financial%20Management%20of%20Cyber%20Risk%20-%20An%20Implementation%20Framework%20for%20CFOs%20-%20ISA-ANSI%202010.pdf, pp. 14 ss. [Consulta 20140826]. 

[viii] NIST. 2014. Framework for Improving Critical Infrastructure Cybersecurity. National Institute of Standards and Technology. February 12, 2014. Version 1.0 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf 

 

Indian National Cyber Security Policy / Política de Ciberseguridad Nacional de la India

Tuesday, 05 November 2013 Manolo Palao Posted in iTTi Views

[ENGLISH]

India has recently published the "Indian National Cyber-security Policy" (INCSP).  A sound policy on that matter  -and ensuring its compliance- is of the utmost importance for India, for the reasons stated in the notification (in a nutshell: IT has been, and is, a crucial driver of India’s economic growth and also of its citizens’ current and future quality of life).

But the soundness and right management of INCSP aren’t just an Indian domestic issue; they should be a concern for many other governments and international companies, considering that India is a gigantic supplier of outsourced services.

Nevertheless, the only two occurrences in the document of the word “international” refer to “international best practices” and “international frameworks”.

In our opinion a security policy of a services-exporting nation should include a consideration of its international stakeholders.


[ESPAÑOL]

Recientemente se ha publicado la “Política de Ciberseguridad Nacional de la India” (PCNSI) [texto en inglés]. Una acertada política en este ámbito  -y la garantía de su cumplimiento-  es de suma importancia para la India por las razones explicitadas en el documento de su publicación (que se resumen en que las TI han sido, y son, no sólo un crítico motor de crecimiento de su economía, sino también de la actual y futura calidad de vida de sus ciudadanos).

Pero el acertado planteamiento y gestión de la PCSNI no es únicamente un tema doméstico indio; debe importar  -dada la condición de la India de gigantesco proveedor de servicios de TI externalizados-  a muchos otros gobiernos y multinacionales.

Sin embargo, las dos únicas apariciones de la palabra (en inglés) "internacional" hacen referencia a "mejores prácticas internacionales" y "marcos internacionales".

Somos de la opinión de que un país exportador de servicios debiera contemplar en su política de seguridad a sus "grupos de interés" (stakeholders) internacionales.

 

Related perspective(-s):
 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk