En la edición más reciente del Informe Global sobre Fraude —que Kroll realiza cada año de la mano de la unidad de Inteligencia de The Economist— surge un dato inquietante: el 81% de los encuestados (ejecutivos de corporaciones que facturan más de US$ 500 millones de dólares al año) cree que la exposición de sus firmas al fraude ha aumentado en los últimos doce meses. Es un incremento bastante significativo respecto de la anterior medición (de 2012), que arrojaba un 63% de los encuestados. ¿A qué se debe esa exposición? Una de las razones que dan los encuestados es el aumento de la complejidad de la infraestructura de TI. El robo de información sigue siendo la segunda forma de fraude: el año pasado afectó a una de cada cinco compañías. La percepción de alta vulnerabilidad al robo de información creció exponencialmente: del 7% de las compañías en 2012 a un 21% en 2013.
Tendencias como la movilidad y la nube contribuyen en el aumento de la exposición, con un agravante. Como dice Martín Elizalde, consultor senior de Kroll Argentina, “la nube democratiza el riesgo”. En la nube, las grandes empresas y las pequeñas tienen el mismo riesgo. Para llevarlo a un territorio más familiar: cuando un avión cae —un evento que es poco frecuente, pero sucede—, los pasajeros de primera clase y los de clase turista se ven afectados por igual. Y, al igual que sucede con los aviones, no existe seguridad “estadística” que proteja a las víctimas de la inminente caída.
Kroll es una consultora especializada en la mitigación de riesgos corporativos, particularmente en lo referente al fraude corporativo. En materia de seguridad informática, Kroll realiza análisis y evaluación de las medidas de seguridad de la información implementadas en el cliente (o sus proveedores, cuando los contratos así lo permiten). Una vez detectados los puntos que pueden resultar en la pérdida de confidencialidad o el uso no autorizado de información, Kroll puede sugerir medidas de remediación, en el marco de un plan integral de seguridad de la información.
Grandes y pequeños
“Tomemos el caso de un pequeño estudio jurídico en Lomas de Zamora —grafica Elizalde, quien además es abogado especializado en tecnología—. Este estudio se dedica a atender conflictos laborales y accidentes de tránsito, y para tener los archivos disponibles usan Dropbox (un servicio de almacenamiento en la nube). Si ocurriera un incidente de seguridad, como el que le sucedió a Dropbox hace dos años, la información y los contratos de los clientes podrían quedar al descubierto. Para cada uno de esos clientes, la información expuesta es sumamente importante, no importa el tamaño del estudio. Lo mismo daría que fuera un estudio grande o una multinacional”.
Para ese pequeño estudio de abogados, recuperarse de un golpe semejante puede ser muy difícil. A la imagen pública erosionada, que de por sí es un problema mayor, pueden sumarse tantos reclamos por daños y perjuicios como entidades perjudicadas por la exposición de la información. Y es que, paradójicamente, los servicios de nube nacen con una suerte de “pecado original”. “Delegás el control de la información —resume Elizalde—, pero no la responsabilidad”.
El contrato negociado
El primero de los conceptos a tener en cuenta es que la información que una organización sube en la nube no está físicamente en su empresa. “Muchas veces, esa información no es de la empresa (como puede ser el caso de un pequeño laboratorio clínico con el resultado de los análisis de sus clientes). Pero en caso de una falla de seguridad, siempre será responsable”, explica Elizalde. Por este motivo, es importante conocer al proveedor de servicios y entender los términos del contrato que éste propone, cuando no sentarse a discutir los detalles de ese contrato.
“Antes de sentarte a discutir el contrato, me parece esencial tener información del proveedor —dice Elizalde—. Cómo es la arquitectura de los sistemas, qué tratamiento se le da a la información, qué protocolo de seguridad tiene, cómo es la adecuación de ese proveedor a las normativas locales, quiénes son los terceros que van a acceder al centro de datos y en qué condiciones acceden…” En este apartado, no sólo hay que tener en cuenta factores relacionados con la seguridad virtual, sino también con la seguridad física.
Otro de los factores a tener en cuenta, es qué sucede en caso de incidentes. No se trata solamente de entender cuáles son las medidas preventivas del proveedor de servicios, sino también qué responsabilidades ante la pérdida asume. En este orden, Elizalde propone algunas cuestiones clave: ¿Cuáles son los términos de las notificaciones? ¿Qué protocolos se sigue para resolver el incidente? ¿Qué protocolo se sigue para prevenir incidentes sobre la base de lo que se resolvió? ¿Cuáles son las métricas? ¿Cómo se implementa la recuperación?
“Ceder la data es un riesgo y en la nube, las amenazas también existen. En Argentina hay que cumplir con la Ley 25.326, de Protección de Datos Personales y otras normas especiales, sobre todo cuando la información subida cruza fronteras. Entonces, el contrato debe establecer cómo deberá conservarse la data, de manera que tenga acceso a ella gente legalmente habilitada —explica Elizalde—. Hay que lograr la transparencia del servicio, identificando a los terceros que tengan acceso y determinar cómo fluye la data que se sube, su uso y su ubicación. También es recomendable estudiar los protocolos de seguridad del proveedor y su plan de migración de la data. Investigar la arquitectura de los sistemas del proveedor, sus aplicaciones y métricas. Este conocimiento previo le dará la oportunidad de negociar los cambios por anticipado. Respecto del encriptamiento, cuando la data del cliente está sujeta a un control o a una normativa especial, es necesario recurrir a medidas especiales”.
Es importante preguntar acerca de las certificaciones que tiene el proveedor, y entender si estas certificaciones resultan pertinentes para la seguridad y la disponibilidad de la información, como así también para la cumplimentariedad con las normas vigentes. Además, para saber si ese compromiso de calidad se extiende en el tiempo, será necesario hacer auditorías. En general, éste es trabajo para expertos. Elizalde propone negociar la facultad de monitorear el uso que el proveedor hace de la información del cliente y del cumplimiento de los compromisos asumidos. Para esto, debe asegurarse el derecho del cliente a acceder a la información en la nube, con el efecto de controlar lo que se acordó y establecerse el nivel de cumplimiento en auditorías de seguridad, y nivel de proactividad por parte del proveedor. También el tiempo de respuesta en la identificación, notificación y resolución de incidentes”.
Grados de sensibilidad
Otro frente a tener en cuenta, esta vez del lado de la organización contratante, es el de conocer la sensibilidad de la información que va a exteriorizar. “Hay información que necesita un nivel de administración más importante que otra, de acuerdo a cómo está definido por la ley nacional —asegura Elizalde—. Eso también es bueno saberlo de antemano. Hacer un inventario sobre la propia información: ésta es sensible, ésta es menos sensible y con aquélla no pasa nada”. No siempre es posible probar la nube con información menos crítica, y avanzar luego subiendo información más crítica o más sensible. A veces, las urgencias del negocio exigen cierta velocidad.
“El último punto es la migración de la información, luego de la terminación del contrato. ¿Qué pasa con esa información? —se pregunta Elizalde—. Cuando termina un contrato es como cuando termina un matrimonio. Ya no son los socios que eran, se están separando. Es importantísimo entonces prever esta migración al principio del contrato. Y si la auditoría continúa hasta que la información pasa a otro proveedor, tanto mejor”.
A pesar de los riesgos, Elizalde sostiene que la nube está para quedarse. “El 42% de los incidentes de seguridad ocurren por errores o amenazas internas de las empresas. Y un servidor instalado en locación de la empresa tiene cuatro veces más posibilidad de tener incidentes respecto aquel que está alojado en el datacenter de un proveedor de nube”, define. Contratar un servicio de nube debería hacerse con la misma seriedad con que una empresa alquila o contrata cualquier otro equipamiento o servicio. Por eso Elizalde brega por “volver a lo básico, y tomar las precauciones mínimas. Yo no recomendaría a ninguno de mis clientes que firmara un contrato sin leerlo. Pero tampoco digo que no hay que hacerlo. Cuando Ford te vende un auto no te dice que te vas a matar. Recomienda que lo manejes bien. Con el tema de la nube pasa exactamente lo mismo”.
Compartir nota:
