Dimensiones de la Confianza en e-Business
Vuelvo a dictar por cuarto año consecutivo mi curso de E-Business, en el marco del Postítulo de Seguridad Computacional del CLCERT, en la Universidad de Chile.
En el módulo de seguridad para e-business, intento responder las siguientes preguntas:
- ¿Cuáles son los requerimientos de seguridad que el negocio exige a las plataformas informáticas que lo sustentan?
- ¿Qué preocupaciones deben tener un Marquitecto al especificar los requerimientos de arquitectura tecnológica, teniendo presente que lo más relevante es el negocio y no la tecnología?
- ¿Qué criterios de negocio debe cumplir el diseño de una arquitectura de seguridad para los procesos de e-business?
La base de los negocios: La Confianza
Los negocios se hacen mirando de frente y estrechando la mano. Eso es suficiente en cualquier lugar del planeta. En un mundo perfecto, debería ser lo único necesario para respaldar un acuerdo.
Y por otra parte, hemos escuchado múltiples veces la frase "el activo más importante para hacer un negocio es la confianza".
¿Y qué es la confianza?
Según WordReference, confianza es "la esperanza firme o seguridad que se tiene en que una persona va a actuar o una cosa va a funcionar como se desea".
He ahí entonces la explicación.
La falta más grave en un negocio, es no cumplir los compromisos pactados y dejar de responder a las expectativas de cada parte. Por lo tanto, al fallar con el compromiso, se rompe la confianza.
El contrato
En un negocio, es frecuente suscribir un instrumento denominado contrato, el cual es un documento escrito, consensuado y ratificado mediante una firma, que permite dejar constancia de los términos del acuerdo entre las partes.
El contrato no aporta valor adicional al negocio. Su objetivo es definir las condiciones de satisfacción futuras y los mecanismos para medir el grado de cumplimiento de los compromisos.
Es decir, el contrato es una garante de la confianza mutua.
Pero hay muchos casos en los cuales el "contrato" no existe, o bien está implícito. Ya sea porque existe un contexto de obviedad que no lo hace necesario, o bien porque existe un marco normativo jurídico, que ofrece un paraguas que protege la confianza (como por ejemplo en Chile, el Código del Comercio y la Ley del Documento y Firma Electrónica).
Algunos ejemplos de contratos implícitos y explícitos:
- Al entrar a una panadería a comprar pan, no se requiere suscribir un contrato, ya que existe un contexto de obviedad muy claro. Sabemos que el precio es proporcional a la cantidad de pan, el consumidor supone un nivel de calidad adecuado del producto que posteriormente consumirá en casa y el procedimiento de la operación "comprar pan" es conocido
- Cuando vamos a un restaurant, el procedimiento es mirar la carta del menú, revisar los precios de los platos que conforman la oferta, realizar un pedido según el cual el chef prepara la comida y al terminar, pagar el consumo. La premisa del restaurant es que el consumidor pagará lo que consumió, por lo cual no se requiere firmar un contrato al momento de entrar al local. El restaurant tiene confianza en que el cliente actuará según el procedimiento conocido.
- Cuando una empresa se compromete a desarrollar un sistema informático o construir un edificio de 40 pisos para un cliente, sí es necesario suscribir un contrato, porque en este caso el contexto de obviedad no es claro. El contrato define en los anexos las especificaciones de lo que será construido, la planificación del proyecto, las fechas comprometidas, las formas de pago y los mecanismos de control. Describe el mecanismo de arbitraje en caso de controversias. Y define los supuestos sobre las cuales el acuerdo fue establecido, con las obligaciones para cada parte en el caso que los supuestos no se cumplan y el acuerdo no llegue a término.
Por ello, los elementos de seguridad son fundamentales, si los entendemos como el principal mecanismo para resguardar la confianza de las partes.
Dimensiones de la confianza
Surge entonces la pregunta ... ¿qué dimensiones debería considerar para proteger la confianza en un proceso de e-business?Y he aquí la formalización que he desarrollado, contemplando un conjunto de 7 ámbitos que agrupan criterios de seguridad complementarios, en procesos de negocios electrónicos.
En el modelo propuesto, la recomendación es identificar las preguntas del negocio que aplican en cada una de las siguientes dimensiones:
- La certeza de la identidad (con quién estoy haciendo el negocio)
- La certeza de la oportunidad (el cuándo)
- La definición precisa de las medidas de satisfacción
- La suscripción irrevocable del acuerdo por cada parte
- La certidumbre del proceso, tanto en operación normal como en condiciones de excepción
- La experiencia y comportamiento histórico de cada parte (para predecir comportamientos futuros)
- La declaración de las condiciones de entorno en la cual se desarrollará el acuerdo
- ¿Es crítico para el proceso de negocios, conocer la identidad de los participantes en forma precisa? (Aunque sea una sorpresa, la respuesta en muchos casos es "no")
- ¿Las decisiones de negocios provocan consecuencias en tiempo real o contemplan procesos de verificación ex-post?
- ¿El tipo de producto o servicio es de consumo inmediato e irrevocable? En consecuencia, ¿soporta mecanismos de pre-pago o post-pago?
- ¿Qué medios de prueba se requieren para la auditoría?
- ¿Cuál es la ruta de decisión o acción en el caso de problemas de Disponibilidad de Servicio (o ataques de Denial of Service)?
- ¿Se requiere un scoring de comportamiento previo para el cierre del acuerdo de negocios? ¿Aplican niveles de crédito pre-aprobados?
- ¿Cuál es el marco normativo regulatorio que aplica a la operación de negocios? ¿Según leyes de qué país?
Si algún lector me solicitara la "lista exhaustiva" de las preguntas aplicables en cada dimensión, creo imposible generarla por dos razones:
- La primera es que es muy difícil generalizar, porque son preguntas específicas a cada proceso de e-business. Lo que en algunos casos es irrelevante, en otros casos es crítico. Y es ahí donde aplica la experiencia y "olfato" del marquitecto. Sobre la base de su experiencia, identificará las preguntas adecuadas.
- La segunda es por supervivencia. Publicar la lista exhaustiva reduce drásticamente las posibilidades para vender servicios profesionales como consultor senior. :-)
Por último, si este tema les parece interesante, les recomienda dar una lectura a este artículo de Jaime García Cantero, quien también realiza una mirada conceptual de la seguridad como un garante del negocio.
Stay Tuned!
0 comentarios:
Publicar un comentario