Home / Resources / ISACA Journal / Issues / 2018 / Volume 4 / Information Security Matters I Left My Security in the Office

Materia seguridad de la información: Deje mi seguridad en la oficina

Autor: Steven J. Ross, CISA, CDPSE, AFBCI, MBCP
Fecha de Publicación: 16 January 2019
English

Para muchas personas, la tecnología de la información ha cambiado el significado mismo del trabajo. El lugar clásico del trabajo era la oficina, un lugar donde las personas se reunían para realizar una variedad de tareas con un propósito común. Los trabajadores de la oficina veían a sus colegas más de lo que veían a sus cónyuges; se vestían bien; iban y venían en tiempos relativamente regulares, de tal forma que pudieran coger sus trenes o evitar el atochamiento del tráfico.

Trabajo móvil

Ahora yo, y mucha gente como yo, no vamos a trabajar. Tenemos computadoras portátiles, teléfonos celulares, una impresora y conectividad a Internet en nuestros hogares. Nuestra “oficina” es donde vivimos. Estamos en contacto con muchos de nuestros colegas en forma diaria, pero sólo raramente los vemos. Somos trabajadores móviles, capaces de hacer nuestro trabajo en cualquier lugar, en la medida que tengamos las herramientas técnicas para llevar a cabo nuestro negocio.

Sostengo que cambiar la definición de trabajo requiere una correspondiente redefinición de la seguridad sobre la información con la cual trabajamos.

Puedo oír desde aquí una objeción seria a mi premisa: Mucha gente no trabaja en una oficina, sino en una fábrica, un hospital, un laboratorio o en una tienda. Su trabajo está atado a un lugar y no pueden trabajar en ningún otro sitio. Es verdad, nadie puede hacer el acero en casa. Entre las muchas manifestaciones de los cambios que la tecnología ha causado es que hemos creado dos clases de trabajadores: los trabajadores de la información, cuyo mundo es amplio, sin fronteras o relojes, y los trabajadores de un lugar limitado que son mucho más limitados en su libertad de movimiento o no cuentan con alternativas para atravesar interrupciones como las fuertes nevadas. Esta bifurcación laboral ya ha tenido importantes consecuencias económicas, sociales y políticas, las cuales no voy a comentar. Esto es, después de todo, el ISACA Journal, y no La Nueva República. Aquí sólo voy a abordar las implicaciones para la seguridad de la información.

Seguridad física

Uno de los principios de la seguridad de la información ha sido la protección física de los centros de datos, definidos como “donde están los datos”. La prevención del acceso físico no autorizado, los daños y las interferencias en la información y de las instalaciones de procesamiento de la información de la organización son uno de los objetivos clave enunciados en la norma ISO 27002.1 Sin embargo, con la movilidad de los trabajadores, incluso si los datos residen en una sala con acceso limitado y con otros controles preventivos, éstos hoy son accesibles desde cualquier parte. Esto aumenta las apuestas por la seguridad física de los recursos de información; un centro de datos no puede ser robado, pero sin duda si puede serlo un ordenador portátil.

Considere sólo algunos de los títulos de secciones relevantes de la norma ISO/IEC 27002:

  • Perímetro de seguridad física
  • Controles físicos de entrada
  • Aseguramiento de oficinas, salas e instalaciones
  • Protección contra amenazas ambientales y externas
  • Trabajo en áreas seguras2

Toda la referencia para la seguridad física está indicada por la norma. Teniendo en cuenta que el estándar definitivo ISO/IEC 27002 para la seguridad de la información fue publicado en 2013, podemos ver lo rápido que ha cambiado el entorno en el que hoy es utilizada la información.3 Yo descansaría más fácilmente si estuviesen implementados en forma universal la encriptación de los dispositivos duros y la autenticación con dos factores, pero ese no es el caso. Quizás una versión posterior del estándar reconozca que los datos no están donde están los servidores, pero sí donde están los usuarios.

Prevención de filtración de información

No hace mucho tiempo, alguien escribió:4 wrote:

No hay una respuesta única al problema de la fuga de datos.. Sí al personal se le entregan computadoras portátiles y capacidades de acceso a una red privada virtual (VPN), se puede suponer que se espera que ellos sean móviles, puedan trabajar de forma remota y llevar sus datos con ellos. Entonces, ¿en qué momento se consideran que los datos han sido filtrados? ¿se filtran cuando abandonan las instalaciones de una organización?

La declaración sigue siendo relevante, pero hoy con más inmediatez. Para muchos trabajadores de la información, la entrega de ordenadores portátiles con capacidades VPN no necesita ser precedida de un “Sí…”. El condicional se ha convertido en un supuesto. La información no se “filtra” cuando un trabajador está fuera de las instalaciones. La persona podría raramente, si alguna vez, trabajar en las oficinas. Si la frontera entre contenido y filtrado no está en el edificio de oficinas, ¿está en la computadora personal emitida por la organización? ¿Qué son entonces del smartphone de esa persona o la unidad de disco duro en la cual almacena copias de seguridad?

Existe una expectativa implícita, pero injustificada, de que un usuario autorizado no traicionará la confianza depositada en él o ella, ya sea en forma intencional o inadvertida. Incluso si ello se tratara de un control fiable, ¿qué significado tiene esta confianza en una época en la que el intercambio de datos se promueve como un ideal? Los límites de la confianza deben estar establecidos en una política que, según se espera, conducirá a comportamientos esperados. Tal vez, sí la definición de “confianza” está clara. La claridad de la política motivaría al personal (o, quizás, podría) a seguir las reglas.5 Pero, estos parámetros de confianza son un sustituto débil para contar con perímetros seguros.

Gestión de la continuidad del negocio

El efecto de la movilidad de los trabajadores en la gestión de la continuidad del negocio es tan extremo que los planes escritos, incluso hace algunos pocos años, podrían ya no tener sentido. La mayoría de los planes de continuidad del negocio escritos en los últimos 25 años han consistido en una búsqueda y una transición hacia lugares designados de trabajo alternativos. Por lo tanto, hay una industria comercial de espacios de oficinas para su uso en caso de contingencias (sitios calientes) y muchas organizaciones mantienen esos espacios y oficinas vacías, pero bien equipados, para cuando se requieran.

Estas disposiciones tienen poco sentido cuando la magnitud de una interrupción del negocio es equivalente a la cantidad de tiempo que tardan los trabajadores en llegar a su casa, o incluso menos tiempo, si esas personas ya trabajan desde sus hogares de manera rutinaria. Para aquellas pocas transacciones para las cuales los minutos son esenciales, las cafeterías son una atracción. Si una organización ha migrado su centro de datos lejos—lejos—del edificio donde se realiza su trabajo, entonces tener trabajadores trabajando en casa es posiblemente un beneficio—en el peor de los casos, un inconveniente—y no un desastre en absoluto.

Recuperación del centro de datos

La misma consideración, pero al revés, se aplica a la planificación de la recuperación de los centros de datos.6 La capacidad de las personas para trabajar de forma remota depende totalmente de la disponibilidad de los sistemas de información de manera centralizada. Los trabajadores de la información ingresan datos en los sistemas, manipulan los datos y los utilizan para diversos propósitos. Ese es su trabajo. Así que, sin sistemas, están sin trabajo, tanto en la oficina como en casa. Cada vez más, los administradores de TI reconocen esto y mantienen dos o más centros de datos los cuales están suficientemente lejos el uno del otro para que un mismo evento no pueda incapacitar a ambos.

Hay otra implicación, quizás más profunda, de la habilitación técnica de la movilidad de los trabajadores (y aquí después de todo me puedo desviarme hacia la sociología). No es una observación original que la tecnología de la información esté cambiando a la sociedad, sus culturas y otras cosas, y lo está haciendo a un ritmo vertiginoso y dislocante. Para esta discusión, ha cambiado la naturaleza del trabajo, de la oficina, de los colegas y de la gerencia. ¿Por qué la seguridad de la información debe ser inmune de las fuerzas tecnológicas que se han desatado en nuestras vidas cotidianas? Tenemos que abrazar estos cambios sociales porque no hay otra alternativa. Nosotros los profesionales de la seguridad sólo necesitamos recordar cómo eran de diferentes las cosas hace una década para llegar a tener una idea de lo diferente que serán en cinco años más.

Notas finales

1 International Organization for Standardization/International Electrotechnical Commission, ISO/IEC 27002:2013 Information technology—Security techniques—Code of practice for information security controls, p. 30, https://www.iso.org/standard/54533.html
2 Ibid., p. 31-33, author’s italicization
3 Yes, “Security of equipment and assets off-premises” is addressed, deep in the chapter and almost as an afterthought. The “premises,” evidently, are where the data center resides.
4 Oh, right, that was me in 2009. Ross, S.; “Data Plumbing?” ISACA Journal, vol. 6, 2009
5 Ibid.
6 Aka IT disaster recovery planning

Steven J. Ross, CISA, CISSP, MBCP
Es el ejecutivo principal de Risk Masters International LLC. Ross ha estado escribiendo una de las más populares columnas del Journal desde 1998. Él puede ser ubicado en stross@riskmastersintl.com.