miércoles, 19 de septiembre de 2007

Herramientas de la Confianza

En el post "Dimensiones de la Confianza en e-Business" identificamos algunas áreas que agrupan criterios de seguridad, pero desde la óptica del negocio. También enunciamos algunas preguntas, que deben responderse con soluciones que combinen aspectos de operación y elementos de tecnología.

En este artículo, identificaremos algunas de las técnicas o metodologías que pueden ser aplicadas para resolver dichas preguntas.

Las dimensiones

Recordando las dimensiones que formalizamos en el artículo anterior, estas corresponden a:

  1. La certeza de la identidad (con quién estoy haciendo el negocio)
  2. La certeza de la oportunidad (el cuándo)
  3. La definición precisa de las medidas de satisfacción
  4. La suscripción irrevocable del acuerdo por cada parte
  5. La certidumbre del proceso, tanto en operación normal como en condiciones de excepción
  6. La experiencia y comportamiento histórico de cada parte (para predecir comportamientos futuros)
  7. La declaración de las condiciones de entorno en la cual se desarrollará el acuerdo
Con estas dimensiones, podemos entonces establecer una matriz de riesgo/respuesta, que permitirá guiar adecuadamente las decisiones que el marquitecto realizará, para definir los requerimientos de implementación.

Justificando el método

Más de alguien se preguntará: ¿Y por qué esta metodología? ¿Cuál es el beneficio de su aplicación?

La inquietud de la formalización surge principalmente de la experiencia en múltiples proyectos, donde por lo general, se opta por utilizar tecnologías de última generación, pero sin un claro análisis del "por qué" se incorporan dichas tecnologías.

En muchos casos, la decisión se toma por "moda" (tecnología que los medios promueven como "la solución a todos los problemas"), por desconocimiento o simplemente por un viejo adagio popular chileno: "poner la carreta delante de los bueyes", es decir, tratar de identificar elementos de tecnología y después buscar cómo se insertan en el proceso de negocio (y en muchos casos, porque a los tecnólogos nos encanta poder experimentar con las últimas tecnologías emergentes :-)

Indudablemente, estas recomendaciones no pretenden reemplazar modelos formales de aproximación como COBIT o ISO 27001, que dan cuenta de un aseguramiento global para la Gobernabilidad TI en una organización y que indudablemente cubren en forma mucho más completa estos aspectos.

Pero en muchos casos, esos modelos no son aplicados, además que contemplan ámbitos más extensos que un proceso de e-business en particular.

Por ello, estos 7 dominios de seguridad para un proceso de e-business desde el punto de vista del negocio, permiten construir una guía rápida de requerimientos y que podrán ser complementario a los procesos formales ya indicados.

DimensiónRiesgos posiblesSoluciones Posibles
Certeza de la Identidad (Quién)Identity Theft, Skimming, PhishingInfraestructuras PKI, Biometría, Tokens no reproducibles (SmartCards)
Certeza de la Oportunidad(Cuándo)Denial of Service, Time FraudRedes y Arquitecturas de Alta Disponibilidad, Contención, Time Stamping
Medidas de Satisfacción (Qué)Modificación de Contratos, Alteración de Medidas de ControlContratos Electrónicos, Hashing, Third Trustee Party
Suscripción irrevocable del acuerdoRepudiación de las partesFirma Digital, Archiving de Operaciones, Ventanas de Tiempo
Certidumbre del Proceso (Cómo)Man in the Middle, espionaje, reemplazo de componentesEncriptación de Contenido, Garantización, Tampering Proof Devices, Scrambling de Software
Predictibilidad y Comportamiento HistóricoPresentación de credenciales falsas, alteración de datos históricosBases de Información Histórica, Predictores de Riesgo, Archiving, "Trustees", Terceras Partes Confiables
Condiciones de EntornoViolación de Privacidad, Alteración de Contexto de ObviedadMarco normativo jurídico aplicable, Declaración de Políticas y Prácticas, Contratos de adhesión explícita


Con esta matriz, siendo simple su aplicación, podremos entonces determinar las tecnologías y procedimientos adecuados de seguridad, como una primera aproximación y que a su vez permite realizar un diagnóstico rápido para determinar si el análisis preliminar cubre todas las dimensiones necesarias. Tal como indiqué en el artículo anterior, no hay "recetas mágicas" aplicables a todo proceso de e-business, por lo cual la experiencia y el "olfato" del arquitecto de la solución siguen siendo fundamentales al momento del diseño.

Stay Tuned!

5 comentarios:

thermosilla 2:59 p.m., septiembre 19, 2007  

Bueno el artículo, pero me queda una duda... En la matriz, bajo la dimensión Predictibilidad y Comportamiento Histórico, ¿los puntos Bases de Información Histórica, Predictores de Riesgo, son riesgos?¿Por qué?

Gracias

Maz 5:22 p.m., septiembre 19, 2007  

@eligos: Excelente comentario y te agradezco muchísimo la precisión. Es un error y lo voy a corregir de inmediato. :-)

Muchas gracias!

Anónimo,  3:34 p.m., septiembre 20, 2007  

Estimado, me parecen bastante interesantes tus post respecto de la Seguridad Informática aplicada al e-business, de hecho en Chile es poco lo que se sabe sobre seguridad y lo pobre que somos en esta materia, de hecho NO conozco ninguna empresa certificada en alguna norma internacional de Seguridad.
Es claro de acuerdo a tu matriz que los puntos a tomar en cuenta y en que deben estar basados los requerimientos para una buena política de seguridad aplicada al e-business son lo que se concoce como la "triada", es decir, Disponibilidad, Integridad y Confidencialidad, estos conceptos son los que debemos respectar en cualquier ámbito que tenga que ver con informática.
Aunque no lo tocas directamente en tu matriz, algo que debe estar presente es la cultura a los usuarios (de todo nivel) respecto de como prevenir ataques de Ingeniería Social, que luego darán paso a los que tu detallas, como por ejemplo:
Phishing, Man in the Middle, DoD, DDoS, etc.
Recordemos que el bién más preciado hoy en cualquier organización es el DATO, y ese esto lo que debemos resguardar.

Salu2

thermosilla 5:51 p.m., septiembre 21, 2007  

Gracias a ti maz, por el artículo

Maz 6:20 p.m., septiembre 25, 2007  

@daemon: Gracias por tu comentario.

El tema de la Ingeniería Social creo que será siempre un tema muy complejo de enfrentar, precisamente porque tiene que lidiar con "personas". E incluso debe considerar aspectos como el FUD (Fear, Uncertainty and Doubt), lo cual en el mundo de la WEB 2.0 puede provocar un gran daño a una compañía. Por ejemplo, la gente de "tecnología" debería coordinarse con las áreas de Comunicaciones o Relaciones Públicas de una organización, entre otros motivos, para enfrentar riesgos de imagen, aún cuando en forma directa no se vieran comprometidas las plataformas tecnológicas de la organización. En otro ámbito, este artículo sobre técnicas de phishing, que ha circulado el último tiempo con bastante profusión en la red, es muy decidor.

Respecto a la protección del dato, es cierto, pero desde la óptica del sustento tecnológico (no por ello menos importante). Pero desde un punto de vista del negocio, lo más relevante es la Continuidad Operacional. Si para asegurarla, debes completar la prestación de los servicios mediante lápiz, papel y ábacos, un Arquitecto de Seguridad debe contemplar esa alternativa en el peor caso. Al final del día, lo que importa desde el punto de vista del negocio es la satisfacción del cliente. Los datos pueden estar muy protegidos y respaldados, pero si no logras completar las medidas de satisfacción y las expectativas del cliente, el sustento tecnológico puede terminar siendo irrelevante.

Gracias por el complemento!

Seguidores

Powered By Blogger

  © Blogger templates Newspaper III by Ourblogtemplates.com 2008
      Header Image: Modification of Technology Curve by Wonderlane

Back to TOP