No deja todavía de ser un tema para discusiones apasionadas (aunque muchas veces sin beneficio) el buscar tercerizar responsabilidades de seguridad de la información junto con todo tipo de servicios tercerizados, incluyendo los servicios de nube (que ahora están de moda).
Al César lo que es del César...
No han faltado algunos rápidos pistoleros quienes de inmediato han buscado trasladar todos los riesgos a los proveedores, izando la bandera de los niveles de servicio en todo lo alto. Independientemente de los motivos (que los hay con buenas y malas intenciones, así como con y sin conocimiento de causa), hay cosas que no requieren de que exista o no la nube para explicarse.
Primero, cuando hablamos de responsabilidades, y en particular de las responsabilidades determinadas por leyes (e insisto, no tiene que ver la nube), se nos olvida que en muchos casos no se pueden simplemente trasladar o delegar en a un tercero. Podemos hacer a otros co-responsables pero no eliminar nuestra responsabilidad.
Los niveles de servicio sirven únicamente como medida de sanción para el incumplimiento de de un contrato (que puede involucrar una sanción económica o la rescisión del mismo), pero de ninguna manera actúan como un control preventivo. Si no pueden prevenir la ocurrencia de un evento tampoco se pueden usar como garantía de cumplimiento de una responsabilidad.
Toda responsabilidad (bien asignada) conlleva facultades para poder cumplirla (de lo contrario se caería en el terreno de la injusticia). Es decir, para que alguien pueda hacerse responsable de algo ese alguien debe poder controlar las acciones que lleven al cumplimiento con dicha responsabilidad. A veces queremos hacer malabares con los contratos y los niveles de servicio, buscando que los proveedores se responsabilicen por situaciones que quedan fuera de su control, como la intención o la forma en que la empresa contratante recolecta datos de sus clientes que a su vez se ponen bajo custodia de un tercero.
Lo que debemos entender, y la nube simplemente no ha hecho otra cosa que sensibilizarnos ante esta situación (que hoy en día se presenta con servicios tradicionales y "en casa") es, que trasladar la responsabilidad no es equivalente a trasladar el riesgo. Las empresas deben estar conscientes de que siempre tendrán (y han tenido) la responsabilidad de cumplir con la ley.
No le pidamos peras al olmo
Otra situación que solemos obviar es que los impactos al negocio pueden ser compensados con sanciones por el incumplimiento de servicios específicos (sí, servicios que forman parte de las bases par que el proceso de negocio funcione, pero que son sólo una parte, no el todo).
La primera pregunta que haría un proveedor al proponerle que en el contrato absorba en su totalidad los impactos al negocio es ¿de cuánto estamos hablando?. Asumiendo que podamos concretar este impacto en una cifra tope, el costo del servicio será proporcional a la probabilidad de materialización de dicho impacto (lo que en eventos complejos suele estimarse muy por encima del valor real, por eso de "las malditas dudas" y la ley de Morphy). Cualquier empresa (cliente o proveedor) necesita asegurar la viabilidad de un negocio, y eso es lo que ha generado temas como el requerir fianzas para algunos contratos (lo cual invariablemente los encarece).
Tengamos en cuenta una cosa: todo proceso de negocio puede ser impactado por la falla de cualquiera de los servicios que son críticos para su operación (recalco, "cualquiera"). Si creen que un SLA va a mitigar los riesgos haciendo responsable al proveedor de los impactos al negocio, pídanle a sus proveedores de telecomunicaciones, energía eléctrica, inmuebles y personal tercerizado que consideren esto en los contratos correspondientes, y se darán una idea de lo que estamos hablando. Si logran que "todos" sus proveedores de servicios críticos al negocio participen bajo esas condiciones, felicidades, habrán logrado mitigar un riesgo trasladando sus responsabilidades a terceros (de manera $ al menos) ; sólo fíjense si su negocio aún es viable financieramente (pequeño detalle).
Y a todo esto, ¿hemos volteado a ver lo que necesita el mercado y lo que necesitan los particulares?
Un mal común del ser humano es el querer resolver todo desde nuestra óptica y a través de las herramientas que dominamos, en vez de pensar un momento y tratar de entender la situación desde diferentes ángulos, para buscar la mejor solución.
Es así que los técnicos buscamos una solución técnica a todo, la gente de negocios busca una solución en el proceso o en la entrega de los productos y servicios, y quienes se dedican al difícil arte de elaborar leyes, pues todo lo quieren resolver por decreto. Y aquí hay un ejemplo sin afán de hacer menos a quienes ejercen esta última profesión (y a quienes admiro), pero que ilustra claramente este punto: EU to Legislate on Cloud Security
Por supuesto todo lo hacemos con la mejor de las intenciones, pero ¿ya preguntamos a quien queremos proteger si está dispuesto a pagar el costo de este nivel de protección? Como decimos coloquialmente en mi país, ¿no nos está saliendo más caro el caldo que las albóndigas?
¿Por qué no aplicar las medidas de forma pareja? Porque cuando lo hacemos al interior de la empresa, con servicios 100% "en casa", tampoco hacen sentido, ¿O de veras creemos que el correr a alguien, retenerle un pago de quincena o meterlo a la cárcel siempre será suficiente para resarcir el daño por errores, omisiones o actividades premeditadas? Por supuesto que no.
Ya sabemos que la seguridad perfecta no existe, también sabemos (o hemos experimentado) que la seguridad casi perfecta suele ser extremadamente cara y, para fines prácticos, inviable. Eso nos ha conducido a través de los años a darnos cuenta de que el nivel adecuado de seguridad radica en un manejo adecuado de los riesgos, donde invariablemente terminamos aceptando algunos y mitigando, hasta un punto razonable, a aquellos que tienen el mayor impacto adverso. Para identificar y estimar estos riesgos relevantes, invariablemente tenemos que conocer el contexto de aquello que queremos proteger (i.e. generalizar incrementa el costo y hace ineficiente la protección).
Dejemos el "por qué no" y vayamos al "cómo sí"
Si ya sabemos que no podemos deshacernos de nuestras responsabilidades y que buscar imponer seguridad a través de contratos y leyes no funciona pero sí impacta al encarecer la actividad de negocio, bien valdría la pena usar estas dos premisas para identificar controles efectivos, que nos sirvan para servicios de la nube y servicios tercerizados en general.
¿Se puede? Claro que sí. esencialmente estamos diciéndole al proveedor: La responsabilidad por la seguridad de la información es mía, por tanto no espero que tú proveedor me cobres más por esas funciones ni tampoco confío en que lo que haces me ayudará a cumplir en automático con mis responsabilidades. Limítate a ejecutar las tareas que formen parte de nuestro contrato y para cumplir con mi responsabilidad yo me aseguraré de:
- Identificar los riesgos relevantes y aplicar medidas para mitigarlos (i.e. entender al negocio y su entorno, incluyendo el marco regulatorio que lo rige, identificar impactos, analizar riesgos y generar estrategias de control para mitigar los riesgos relevantes)
- Diseñar las medidas de seguridad que son adecuadas para el cumplimiento de mis responsabilidades (o validar al menos tus propuestas)
- Verificar el buen uso (autorizado) de los recursos e información que requiere el proceso de negocio (generando y revisando pistas de auditoría relevantes, manteniendo accesos suficientes sólo para quien lo requiere)
- Supervisarte, para verificar que cumples con las tareas encomendadas conforme a lo contratado
Así de simple.
¿Quieren mandar datos a la nube que no necesitan ser procesados ahí? encríptenlos en casa y mándenlos a donde gusten (que tenga acceso sólo quien lo necesite)
¿Necesitan procesarlos y no tienen la capacidad? Entiendan que el negocio siempre será responsable por un mal uso (que puede darse incluso con un interno, que dicho sea de paso probablemente pueda generar un mayor impacto) seleccionen a un proveedor o contraten a un interno, y lleven a cabo sus funciones de cumplimiento con sus responsabilidades.
Tan malo es no hacer nada o dejar de asumir nuestras responsabilidades (¡ojo, con o sin nube de por medio!) esperando que un papel con firmas nos evite cuestionamientos cuando se presente un problema, como también lo es el querer alcanzar lo inalcanzable, poniendo todos los controles que se nos ocurran ("solo por si acaso") o buscando que los problemas no ocurran por decreto (como si Morphy respetara eso).
Una buena, una mala y una para reflexionar
La buena es que, como ven, la nube y los servicios tercerizados no han acabado ni acabarán con las funciones de TI y Seguridad (sin que con esto quiera decir que no se verán impactados). Siempre habrá alguien en quien por parte del negocio deban recaer facultades y responsabilidades que no se pueden delegar a terceros.
La mala: que debemos caer en cuenta, de una vez por todas que debemos tomar esas facultades y responsabilidades con seriedad. Si seguimos pensando en buscar a ver quién nos cubre las espaldas, me temo que el negocio buscará a quienes sí estén dispuestos a hacerlo.
Por último, les pido que visualicen algo por un momento y traten de analizarlo bajo el supuesto de que fuera cierto (independientemente de que estén de acuerdo conmigo o no). Imaginen que la nube no es un grupo de tecnologías, ni un modelo de negocio nuevo, ni un conjunto de nuevas reglas para trabajar, sino que es todas esas cosas a la vez, y que no es algo nuevo, sino que es algo que siempre ha estado ahí, y apenas nos damos cuenta de ello.
Piensen por ejemplo cómo cambió el mundo cuando se descubrió que la tierra no era plana, sino redonda; algo que siempre fue así pero que cambió nuestra manera de pensar, de actuar y de relacionarnos después de darnos cuenta de ello (o incluso sin saberlo, pero una vez que otros se dieron cuenta), en todos los aspectos: político, económico, social, tecnológico.
Y ahí me cuentan :-) ...
OAHR
0 comentarios:
Publicar un comentario