ISACA Journal
Volume 5, 2,018 

Translated Articles 

Editorial invitado: Perspectiva de transformación digital para organizaciones del siglo XXI: La gestión del riesgo 

Gregory J. Touhill, CISM, CISSP 

En los reinos de TI y ciberseguridad, el cambio es inevitable. Los avances digitales impulsan formas innovadoras de hacer las cosas, generan nuevas industrias y transforman radicalmente la forma en que las personas interactúan a escala global. Como uno de los directores de la junta directiva más reciente de ISACA, es alentador ver cómo la comunidad profesional de la asociación influye en el desarrollo de tecnologías, estándares modernos, modelos de gobierno efectivo y mejores prácticas que impulsan un cambio positivo en los sectores público y privado.

Más allá del cumplimiento

Los modelos de gobierno tradicionales se basan en modelos de gobierno basados en el cumplimiento. La mayoría de los ejecutivos no quieren gastar más de lo que tienen que hacer para las capacidades de TI y de ciberseguridad, sin embargo, son sensibles a cumplir con los estándares regulatorios.

Ha llegado el momento de ir más allá del cumplimiento tradicional, ya que la tasa de cambio en el entorno actual que depende de la tecnología supera la capacidad de los reguladores para mantener los estándares actualizados. El cumplimiento no necesariamente traerá las mejores prácticas de una empresa, pero la implementación de las mejores prácticas traerá el cumplimiento. Las organizaciones líderes han aceptado que el cumplimiento es la línea de base y las mejores prácticas son el objetivo que debe alcanzarse.

Personas, procesos y tecnología: elementos separados, pero iguales

Cuando se trata de esfuerzos de transformación digital, demasiadas personas persiguen modas en lugar de implementar planes bien diseñados y coreografiados que fomentan los imperativos empresariales, como mejoras en las operaciones comerciales, rentabilidad, experiencia del cliente, seguridad y eficiencia. La prisa por insertar las últimas y mejores tecnologías a menudo se desinfla y resulta en organizaciones de bajo rendimiento, clientes insatisfechos y/o junta directiva escépticos que no están dispuestos a reinvertir aún más en esfuerzos de transformación especulativa.

Los esfuerzos de transformación digital fallan o tienen un rendimiento inferior cuando hacen que la tecnología sea el único foco. Las iniciativas están condenadas si una organización no transforma a las personas para operar y mantener adecuadamente el equipo y/o no cambia los procesos para aprovechar mejor la tecnología.

No elimine el riesgo. Administrarlo.

Como las personas, los procesos y la tecnología son factores igualmente importantes en la gestión del riesgo, las organizaciones líderes mantienen un fuerte enfoque en los tres. Los adversarios potenciales también lo hacen.

Los piratas cibernéticos, los ciberdelincuentes y los estados nacionales deshonestos saben que si se va a lanzar un ataque, se deben tener en cuenta los tres. Por lo tanto, se requiere una visión más holística de la exposición al riesgo.

Afortunadamente, la fuerza laboral de hoy es cada vez más ciber consciente. Las organizaciones e individuos están invirtiendo en programas avanzados de educación y tutoría, los reclutadores requieren certificaciones especializadas y hay un mayor énfasis en la retención y la planificación de la sucesión.

Por ejemplo, el gobierno de los EE. UU. lanzó una iniciativa para hacer crecer una fuerza de trabajo cibernética más capacitada al promover a los empleados que obtienen certificaciones cibernéticas, como las certificaciones de ISACA Certified Information Security Manager (CISM) y Certified Information Systems Auditor (CISA). En muchas organizaciones, los profesionales cibernéticos que obtienen y mantienen certificaciones actuales reciben un pago especial. Una fuerza laboral cibernética bien entrenada y enfocada reduce el riesgo cibernético.

Si bien ha habido un impulso hacia el “fortalecimiento de la fuerza laboral”, hay una manera de avanzar para mejorar los procesos. Las organizaciones rara vez abordan la transformación de los procesos de negocios en conjunto con la inserción de nuevas tecnologías. Una organización con la última tecnología, pero con procesos anticuados deportivos, es como sentarse detrás del volante de un automóvil de alto rendimiento mientras se encuentra atrapado en un embotellamiento durante las vacaciones.

Los modelos de gobernabilidad efectivos aseguran que la transformación del proceso sea parte de la lista de verificación que guía no solo el esfuerzo de transformación digital, sino también la administración y supervisión diaria de las operaciones. Se necesitan más profesionales certificados en Gobernanza de la Empresa IT (CGEIT) para ayudar a promover mejoras en los procesos que aceleren y mejoren las transformaciones digitales en cada sector de infraestructura crítica.

Tiempo para retirar infraestructura anticuada

Hace varios años, inspirado por la famosa Ley de Moore,1 creé la Ley de Touhill: un año humano equivale a 25 años informáticos. Aquí está la lógica de los tres factores detrás de esto.

Primero, hay un adagio común sobre el cálculo de la vida útil de un perro: un año humano equivale a siete años de perro. En segundo lugar, las grandes empresas de tecnología como Microsoft, Apple y Google (normalmente) salen con un producto generacional cada tres años. En tercer lugar, las agencias gubernamentales estiman el promedio de vida de un humano en alrededor de 75 años. Dividir tres años (medida de una generación de computadora) en 75 (medida de una vida útil humana) produce un resultado de 25. Por lo tanto, un año humano equivale a 25 años informáticos.

La Ley de Touhill refuerza el hecho de que una infraestructura envejecida es arriesgada. Mientras trabajaba como director de seguridad de la información (CISO) del gobierno de los EE. UU., descubrí que el gobierno de los EE. UU. opera numerosas computadoras que (efectivamente) tienen cientos de años, son frágiles y difíciles de sostener, costosas de operar y altamente vulnerables al mal funcionamiento o explotación por fuerzas hostiles. (¡Se descubrió una computadora que entró en línea en 1964!)

Al igual que los empleados cuya capacitación no es actual y los procesos que ya no son efectivos, la infraestructura anticuada (que incluye arquitecturas, software, hardware y comunicaciones) debe evaluarse continuamente para su retiro. Con la transformación digital de hoy ya en marcha y acelerada, ahora es el momento de tomar decisiones prudentes de inversión y recapitalización que mejorarán el rendimiento, la seguridad y reducirán los costos generales.

Desafortunadamente, muchas organizaciones aún utilizan la tecnología y la arquitectura de los años 90 (por ejemplo, redes privadas virtuales [VPN], cortafuegos, enlaces individuales encriptados para cada comunicación, controles de acceso a la red [NAC]), que se han convertido en “arrecifes de barrera” porosos. En los últimos 20 años, varias infracciones han demostrado que los adversarios hostiles encuentran fácilmente los agujeros y navegan a través de ellos para alcanzar sus objetivos, mientras que los profesionales de TI saturados de tareas trabajan para continuar manteniendo en funcionamiento sus entornos cada vez más complejos, como Frankenstein.

Las VPN y los cortafuegos celebraron sus 22 años este año. Para aquellos que cuentan, eso es 550 años, según la Ley de Touhill. Claramente, es hora de hacer la transición a una infraestructura más moderna y segura que proteja la prosperidad y la seguridad nacional.

Al evaluar el riesgo y perfeccionar los modelos de gobernanza, es fundamental mantener el conocimiento de que la arquitectura es un ingrediente clave para obtener resultados que sean efectivos, eficientes y seguros. La información arquitectónica debe tratarse como información de alta prioridad digna de protección al mismo nivel que la información más valiosa contenida en la red.

Marcar el tiempo significa quedarse atrás

Transformar los controles de acceso con tecnologías efectivas del siglo XXI, como la tecnología de perímetro definido por software (SDP) que evita la necesidad de redes privadas virtuales y es capaz de proteger cualquier aplicación, en cualquier plataforma, en cualquier ubicación, es imperativo.

El SDP se centra en la identidad y aborda una debilidad crítica en el Protocolo de Control de Transmisión (TCP)/Protocolo de Internet (IP), que conecta y autentica a los usuarios. Esta debilidad es riesgosa ya que los actores maliciosos pueden acceder a los dispositivos sin tener que autenticarse. SDP elimina esta vulnerabilidad al autenticarse primero antes de conectarse solo a lo que el usuario está autorizado a acceder. Los SDP que operan en la capa tres en el modelo de interconexión de sistemas abiertos (OSI) son mejores porque la latencia es mínima cuando se ejecuta en la capa de red.

SDP aplica el “modelo de confianza cero” al aplicar el principio de privilegio mínimo a toda la red, una gran ventaja para los defensores de la red. SDP está diseñado para la nube y es como la nube, por lo que funciona de forma nativa en las redes de la nube, está completamente distribuido y es tan escalable como la propia Internet.

Ten cuidado de volar dentro de las nubes

Durante 30 años en la Fuerza Aérea de los EE. UU., aprendí que un piloto nunca debería volar en una nube sin saber qué hay dentro. La migración de infraestructuras heredadas a entornos basados en la nube es un componente clave de las transformaciones digitales contemporáneas, pero tal migración está llena de riesgos para aquellos que no hacen su tarea.

Como ex director de información (CIO), soy un gran fanático de la tecnología en la nube. Los beneficios son muchos, incluido un aprovisionamiento más rápido de la infraestructura, un menor costo total de propiedad y elasticidad. Además de la necesidad de implementar SDP en entornos de nube, aquí hay algunas recomendaciones para los CIO que mejorarán la migración y las operaciones de la nube:

  • Incluya una cláusula de portabilidad en cada contrato de servicios de venta en la nube. Un CIO debe estar preparado para mover datos de un lugar a otro al finalizar un contrato. Es necesario poder no solo transferir datos a un nuevo proveedor, sino también garantizar que los datos se eliminen de manera adecuada en la infraestructura del primer proveedor en la nube al concluir el contrato.
  • Requiera acceso sin restricciones a los registros y revíselos periódicamente. Registrar y revisar el tráfico de la red es un elemento esencial de los programas de ciberseguridad de primera clase y ayuda a los defensores de la red a identificar cuándo su red está fuera de parámetros o está siendo atacada. Son las prácticas de cuidado debido y diligencia debida. Al pasar a la nube, es esencial garantizar el acceso y revisar los registros aplicables a los datos de la empresa, al igual que ejecutar análisis independientes para anticiparse a posibles amenazas internas y/o externas.
  • Retener el derecho a realizar pruebas de penetración. Probar las defensas identifica qué tan segura (o insegura) es una red y señala las mejores prácticas y áreas de mejora. Los CISO deben garantizar que el derecho a la prueba de penetración esté incluido en sus requisitos de nube, así como en el contrato final.
  • Retener el derecho a realizar una auditoría independiente por parte de terceros para garantizar que las disposiciones del contrato se proporcionen correctamente. Si la organización vuela dentro de la nube sin saber qué hay en ella, es probable que la organización no tenga idea de si está obteniendo lo que pagó o si sus datos están en riesgo. La contratación de un experto con las habilidades técnicas y comerciales para auditar la relación, las personas, los procesos y la tecnología involucrados en todos los fines paga dividendos para evitar un escenario de incumplimiento en el peor de los casos.

La comunidad de ISACA sabe que la TI empresarial moderna es diversa, dinámica y distribuida. Es hora de que los profesionales de ISACA ayuden a las organizaciones a adoptar la transformación digital y ofrecer resultados más efectivos, eficientes y seguros. La prosperidad económica y la seguridad del mundo dependen de ello.

Notas finales

1 Moore’s Law, www.mooreslaw.org/

Gregory J. Touhill, CISM, CISSP
Es un general de brigada retirado de la Fuerza Aérea de los EE. UU. y actual presidente del Grupo Cyxtera Federal, que ofrece servicios de centros de datos y capacidades de ciberseguridad líderes en el mercado a agencias y departamentos federales de los EE. UU. a través de una cartera de soluciones de infraestructura segura entregada desde una huella global de clase mundial, centros de datos, incluidos seis en el área metropolitana de Washington DC, EE. UU. Antes de unirse a Cyxtera, Touhill fue nombrado por el presidente de los EE. UU., Barack Obama, como el primer oficial federal de seguridad de la información de la nación en 2016, donde fue responsable de garantizar que se adoptara el conjunto adecuado de políticas, estrategias y prácticas de seguridad digital en todas las agencias gubernamentales de EE.UU. Él puede ser ubicado en https://twitter.com/cyxtera y https://www.linkedin.com/in/gregorytouhill/.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.