Page 1

El riesgo de convertirse en el Gran Hermano (Gobierno de Seguridad - Cumplimiento)

Por Thomas Wailgum

CXO COMMUNITY SRL establece que los contenidos de este documento son CONFIDENCIALES. Los datos presentados contienen secretos técnicos, comerciales y/o información financiera privilegiada y confidencial. Tales datos se usarán únicamente para propósitos de evaluación de la propuesta por el CLIENTE, esto incluye estructura, ideas, consejos y sugerencias de la solución propuesta. Queda entonces prohibida su reproducción, transmisión, trascripción, grabado en algún otro sistema recuperable, o traducción a otro idioma, ya sea en forma total o parcial, sin el consentimiento escrito de CXO COMMUNITY SRL. CXO COMMUNITY Hidalgo 61 p6A, Capital Federal, Buenos Aires, Argentina TEL: (+54 11) 3528-4296 info@cxo-community.com // www.cxo-community.com

Código: SEGINFO10001


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

El riesgo de convertirse en el Gran Hermano ¿Le han pedido que monitoree a sus empleados cuando utilizan IT? Es un camino resbaladizo, según muestran litigios referentes. Aquí tiene algunas posibilidades de cómo hacerlo bien. Objetivos de lectura del Caso: a) Políticas para resguardarse del mal uso de tecnologías invasivas, b) Explicación de las políticas de monitoreo a los empleados y c) Como definir los límites y minimizar los riesgos. Arthur Riel dice que solo estaba haciendo su trabajo. Cuando fue contratado por Morgan Stanley en el 2000 y puesto a cargo del sistema de almacenamiento de e-mails de la compañía financiera de U$S 52 mil millones, ganando acceso a las comunicaciones corporativas más sensibles, la compañía ya estaba involucrada en litigios que tenían que ver con políticas de retención de e-mails. Esa demanda terminaría en un juicio del 2005 contra el banco, que premió con U$S 1.570 millones en daños al financista Ronald Perelman. (En marzo del 2007, Morgan Stanley ganó una apelación en la corte de Florida.) Era parte del trabajo de U$S 500.000 al año de Riel, dice, asegurarse que eso nunca volviera a suceder. Para hacer esto, Riel tenía lo que él llama “carta blanca para revisar e-mails.” Lo que descubrió leyendo los e-mails de la empresa en el 2003 fue lo que interpretó como una ética de negocios sospechosa, potenciales conflictos de interés y bromas sexuales entre los ejecutivos de Morgan Stanley que, cuenta, iban al contrario del código de conducta del banco.

Basado en sus lecturas de los e-mails ejecutivos, notablemente del CTO Guy Chiarello, Riel alegó que los e-mails mostraban una influencia impropia de la división de inversiones de Morgan Stanley en como el departamento IT, con su presupuesto multimillonario, compró productos tecnológicos; la solicitud poco apropiada de entradas para juegos de baseball y otros eventos deportivos de alto perfil de proveedores como EMC; y la influencia, a través de un reporte directo de Chiarello, del proceso de elección para el Smithsonian Leadership Award de la revista Computerworld, de la cual Morgan Stanley era un sponsor. (Computerworld es una publicación hermana de CIO Magazine y CSO Mangazine.) “Yo reporté lo que pasaba, un esquema de sobornos en IT,” dice Riel. Intercambios de e-mails que contenían bromas sexuales que involucraban a la jefa de Riel, la CIO Moira Kilcoyne, añadieron a la convicción de Riel de que algo andaba mal en la cima. Creyendo que estaba cumpliendo con su deber, Riel dice haber enviado copias físicas de los e-mails ofensivos a Stephen Crawford, que en ese momento era CFO de Morgan Stanley, el 15 de Enero del 2004, de manera anónima vía correo interno.

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 2 de 12


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

Los superiores de Riel vigorosamente esta historia.

disputan

Primero, según un vocero de Morgan Stanley, la compañía acordó que Riel no estaba autorizado para monitorear, leer o diseminar e-mails de otros empleados “como a el le pareciera.” Segundo, el vocero negó que un paquete de e-mails fuera enviado o recibido por Crawford. Y tercero, después de llevar a cabo una investigación interna, la compañía mantiene que no encontró evidencia que garantizaran acciones disciplinarias en contra de las personas que Riel había identificado. El 18 de Agosto del 2004, momentos luego de que el servicio de BlackBerry fuera dado de baja para Riel, Kilcoyne, junto con un vicepresidente de HR, llamaron a Riel a su oficina. Ella le dijo que a partir de ese momento estaba siendo puesto en licencia/permiso administrativo con goce de sueldo total. La seguridad de Morgan Stanley buscó en su oficina y eventualmente encontró más de 350 e-mails en su PC, e-mails en los cuales Riel no era ni el remitente ni el receptor. El 27 de Septiembre del 2005, 13 meses desde que estaba de licencia, Riel fue “despedido por grave falta de conducta,” dice el vocero de Morgan Stanley. Riel envió una demanda de U$S 10 millones a su propia empresa por violación a la norma Sarbanes-Oxley y una demanda federal de U$S 10 millones por difamación en contra de Morgan Stanley. En Junio del 2006, el departamento de trabajo rechazó la demanda interna y dijo que no había encontrado causa para creer que Morgan Stanley había violado cualquier parte del

acto Sarbanes-Oxley. También descubrieron que Morgan Stanley había “despedido a otros empleados en el pasado por faltas de conducta similares.” En Febrero del 2007, un juez federal descartó siete de las ocho quejas que Riel había enviado en su demanda. (Un pequeño tema con respecto a la compensación fue dejado sin contestar.) En una declaración, Morgan Stanley dijo que todos estos sobreseimientos de las siete quejas y la demanda interna “confirman aun más que el alegato de Arthur Riel no tiene ningún mérito factual ni legal.” Hoy, luego de que todo pasó, Riel dice que ha aprendido una lección que todos los CIOs deberían considerar: “Es crítico que los departamentos de IT tengan una política que determine quienes deberían acceder a que contenido. Durante su tiempo en Morgan Stanley, el contó que, “no había ninguna política.”

Con gran poder vienen grandes responsabilidades Como la necesidad de ampliar el acceso a sistemas y aplicaciones aumenta debido a las demandas de regulación y del negocio, también aumenta el potencial de conductas malintencionadas o negligentes, ya sea su administrador de la red probando el firewall corporativo en su propio tiempo, dejándolo abierto, un vendedor accediendo a la información de tarjetas de crédito de un cliente o el personal de soporte determinado en sabotear a su CEO leyéndole su e-mail. Como un buen gobierno, los departamentos de IT necesitan cheques y balances, y necesitan estar casados con contabilidad. Un estudio de diciembre del

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 3 de 12


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

2006 por el Computer Emergency Readiness Team (CERT) en amenazas internas encontró que una falta en los controles de acceso electrónicos y físicos facilita el sabotaje de IT interno. Esta situación es aun más crítica ahora porque las nuevas y ampliamente implementadas aplicaciones para identificar y monitorear el comportamiento de los empleados ha impulsado a IT a un campo que anteriormente era de los departamentos de RRHH y legal. Tom Sanzone, CIO de Credit Suisse, dice que trabaja en equipo con auditores legales, de RRHH, de cumplimiento y corporativos, y ha formalizado una función de riesgo en IT para asegurarle que todas las políticas de acceso sean consistentes y repetibles a nivel global. “Estas relaciones son muy importantes,” el dice. (Para más información para construir estas relaciones, lea “Los CIOs necesitan compañeros de negocios para alcanzar los objetivos de seguridad.”) Muchos CIOs han descubierto que su nuevo rol con las políticas de seguridad les representa el mismo desafío afrontado por los hombres y las mujeres vestidos de uniforme azul: Si la gente no confía en la policía – o si algo sucediera que quebrara esta confianza—entonces ¿en quien pueden confiar? "Si IT hace algo que no debería, entonces el empleado piensa, voy a encontrar una manera de evitar el monitoreo porque no podemos confiar en la gente de IT,” dice David Zweig, un profesor de comportamiento organizacional en la University of Toronto de Scarborough. "Es un ciclo de perversión en aumento, lo cual, desafortunadamente, podría crear más monitoreo.”

En Network Services Company (NSC), un distribuidor en la industria de papel, su CIO Paul Roche trabajó sobre como y cuando su departamento IT puede acceder a sistemas de los empleados y, trabajando en conjunto con RRHH y legales, ha desarrollado una política para lidiar con sospechas de infracciones de los empleados. Por ejemplo, la política IT estipula que el personal IT no puede husmear las PCs de los empleados sin la previa autorización de RRHH. “Los empleados saben que no vamos a mirar para el otro lado,” dice Roche. La entereza de cualquier CIO – sin importar cuan sólidas sean sus políticas o relaciones – será puesta a prueba cuando uno de su equipo cruce la línea y quiebre la confianza entre los usuarios y el departamento de IT. “La expectativa es que si le va a dar autoridad a alguien, en algún punto va a ser mal usada,” dice Khalid Kart, un analista de seguridad senior en Forrester Research. “¿Y quien va a vigilar a los vigilantes?”

Los CIOs necesitan compañeros de negocios para alcanzar los controles de seguridad Por Thomas Wailgum Mientras los CIOs establecen los controles de seguridad IT en sus propios departamentos, necesitan solidificar sus relaciones con otras partes del negocio. Por lo involucrado en lo que eran temas de los departamentos legales o de RRHH, “El CIO tenía mucho para contribuir.” Dice Richard Hunter, un vicepresidente y experto en seguridad y privacidad de Gartner.

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 4 de 12


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

Por ejemplo, a pesar que el CIO decidirá qué tecnologías de filtrado y monitoreo comprar, lo que estas tecnologías bloquearan y buscaran y como será el impacto en los empleados y procesos serán decisiones de negocios que deberían hacerse de manera colaborativa. “No es tan distinto de un viaje o una política de reclutamiento,” dice Hunter. Para asegurarse de que puede manejar los riesgos centrados en IT de Credit Suisse, el CIO Tom Sanzone creo un departamento de riesgo IT que ha creado fuertes lazos con los departamentos de RRHH, legal, regulaciones y auditores internos. El director de este departamento, que reporta directamente a Sazone, ayuda a determinar las políticas de regulación con los otros grupos y se asegura de que Credit Suisse cumpla con las regulaciones gubernamentales y financieras. Además, RRHH es responsable de tareas tales como sacar el acceso al sistema y retirar las PCs y los BlackBerrys cuando un empleado deja la compañía. Sanzone dice que teniendo un reporte directo de riesgo, eleva el estado del departamento en la compañía como también resalta la importancia de la misión a sus colegas.

Los chicos malos y los buenos obradores A pesar de la afirmación de Riel sobre la falta de políticas de seguridad en Morgan Stanley para saber que sistemas y cuentas de e-mail podía acceder, Morgan Stanley dice que nunca fue autorizado a hacer lo que hizo. (Nadie del departamento IT de Morgan Stanley estaba disponible para este artículo.) Morgan Stanley no está solo en cuanto a tener que lidiar públicamente con

empleados IT renegados. Wal-Mart difundió en Marzo que por un período de cuatro meses uno de sus técnicos de sistemas, Bruce Gabbard, había monitoreado y grabado conversaciones telefónicas entre la persona de relaciones publicas de Wal-Mart y un periodista del New York Times. “Estas grabaciones no estaban autorizadas por la compañía y violaban directamente las políticas operacionales establecidazas que prohíben tales actividades sin previa aprobación escrita del departamento legal,” Wal-Mart dijo en una de sus declaraciones. Además, Wal-Mart reveló que Gabbard había “interceptado mensajes de texto y páginas, incluyendo comunicaciones que no involucraban a nadie asociado a Wal-Mart,” lo cual la compañía repite: “no esta autorizado por la política de la compañía bajo ninguna circunstancia.” Gabbard, que fue despedido, declaró en un articulo del Wall Street Journal en Abril que sus “actividades de espionaje estaban sancionadas por sus superiores.” WalMart dice que ha eliminado el equipo de grabación y el hardware relacionado del sistema. “Cualquier uso futuro de este equipamiento será bajo la supervisión directa del departamento legal,” afirmó Wal-Mart. En Febrero, el Department of Industrial Accidents (DIA) de Massachussets difundió que Francis Osborn, un consultor IT, había accedido y extraído los números de seguridad social de los demandantes de indemnización de los trabadores de una base de datos de DIA. Según documentos de la corte, Osborn accedió a 1200 archivos y abrió cuentas de tarjetas de crédito usando la información de tres de los demandantes, sumando miles de dólares a estas cuentas fraudulentas. En una declaración, el

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 5 de 12


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

comisario del DIA dijo que el departamento estaba “realizando una profunda revisión de todos sus procedimientos de seguridad.” Osborn fue despedido, arrestado y sentenciado por fraude de identidad. Otros incidentes, sin embargo, son crímenes menores y por lo tanto más difíciles para que los CIOs evalúen y manejen. En Febrero del 2006, oficiales de New Hampshire anunciaron que habían descubierto software para descubrir contraseñas (un programa llamado Cain & Abel) instalado en un servidor del estado. Cain & Abel tenia el potencial de darle a los hackers visibilidad del cache de los números de tarjetas de crédito del estado usados para hacer transacciones con la división de vehículos motorizados, tiendas de licor estatales y las casas de veteranos. Douglas Oliver, un empleado IT que en un reporte de noticias se refirió a si mismo como el “jefe hacker técnico” del estado admitió a los medios que él había instalado el programa, diciendo que estaba probando la seguridad del sistema. El dijo que lo hizo bajo el conocimiento del CIO estatal Richard Bailey. (Bailey no respondió a los repetidos pedidos de una entrevista.) Oliver fue puesto en licencia durante la investigación que involucró al FBI y al departamento de justicia de los Estados Unidos. El 4 de Abril del 2006, oficiales del estado anunciaron que el programa Cain & Abel nunca había sido usado y que era “poco probable” que cualquier información de tarjetas de crédito haya sido expuesta. Oliver, que nunca había sido nombrado como responsable del incidente, volvió a su trabajo el 25 de Abril del 2006.

Un incidente un poco más publicitado ocurrió en los Sandia National Laboratories de Nuevo México. Luego de una serie de cortes en la red del laboratorio en 2004, Shawn Carpenter, un analista de seguridad de Sandia, comenzó su propia investigación. Eventualmente logró unir los ataques a un grupo de espionaje cibernético Chino y también descubrió que documentos del gobierno de los Estados Unidos habían sido robados. El compartió su investigación con el grupo de contra inteligencia del ejército y el FBI. En respuesta, Sandia echó a Carpenter en Enero del 2005 por, como se reportó en ComputerWorld, “uso inapropiado de información confidencial.” Pero en Febrero del 2007, un juez de Nuevo México premio a Carpenter con U$S 4.3 millones por la demanda de terminación injusta y en el proceso se transformó de un trabajador infiel de IT en un héroe nacional. (Sandia está apelando el veredicto.) La moral es que si esta trabajando con personas disgustadas, un criminal o un empleado consciente que trata de hacer su mejor trabajo con sus habilidades, los CIOs necesitan estar alerta de los riesgos y amenazas de su propia zona. (Para conocer las señales de su estado en relación a éstos problemas con su departamento, lea “Seis señales de que el personal IT esta listo para causar problemas.”) "No es el hacker externo del que se tiene que preocupar tanto,” dice John Halamka, CIO de Caregroup y Harvard Medical School. “Son sus empleados internos los que tienen acceso legítimo a los sistemas y pueden causar el mayor daño.”

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 6 de 12


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

Seis señales que el personal IT esta listo para causar problemas Observaciones del centro CERT de Carnegie Mellon sobre las organizaciones IT que pueden tener saboteadores on site. Un estudio del 2006 del Computer Emergency Response Team (CERT) de Carnegie Mellon examinó los factores psicológicos, técnicos, organizacionales y contextuales que llevan a la acción a un saboteador interno. CERT hizo seis observaciones críticas sobre el personal IT que ataca a su propia organización. Por lo tanto podría estar en problemas si tiene: 1. Niños Problemáticos. La mayoría de los saboteadores tienen problemas personales (deudas, alcoholismo, ira y dificultades de control de impulsos) que contribuyen a sus actos maliciosos. 2. Interrupción organizacional. En la mayoría de los casos, eventos estresantes, incluyendo encontronazos con el jefe, reorganizaciones y sanciones organizacionales, precipitan al interno de IT a sabotear. 3. Mala actitud. Comportamientos para preocuparse incluyen retrasos, discusiones, bajo rendimiento laboral y violaciones de seguridad. Estos comportamientos son observados a menudo antes y durante el sabotaje interno. 4. Sistemas inseguros. Antes de que ocurra el sabotaje, los internos a menudo hacen cosas como crear cuentas escondidas. Tales actos deberían ponerlo en alerta.

5. Descargas sospechosas. Si descubre que alguien esta descargando crackers de contraseñas, lo más probable, es que los vaya a usar. 6. Cerraduras faltantes. El sabotaje es facilitado por la falta de control de acceso físico (a habitaciones o edificios) y acceso electrónico (a recursos de cómputo o de redes).

Los seis pecadores Desde los principios de la era Internet, IT ha sabido que la Web es una caja de Pandora llena de herramientas que cualquiera con una PC, una conexión de red y una mente ladina puede emplear para hacer maldades. Pero ahora las regulaciones como Sarbanes-Oxley, el Health Insurance Portability and Accountability Act (HIPAA), GrammLeach-Bliley y los estándares de seguridad de la Payment Card Industry (PCI) han concentrado la atención de los ejecutivos sobre qué males rodean los beneficios que IT puede proveer al negocio. "El management de negocios se esta convenciendo de que los riesgos de IT son riesgos del negocio,” dice Richard Hunter, VP y experto en seguridad y privacidad de Gartner. Consecuentemente, aun las compañías que están en industrias con pocas regulaciones han empezado a poner más atención a sus responsabilidades y a sus políticas de manejo de usuarios. Para todos los empleados, el mensaje es (o debería ser) claro: “No tiene privacidad donde la vida corporativa le concierne,” dice Hunter. Y la “seguridad corporativa” siempre estará por encima de la “privacidad del usuario.”

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 7 de 12


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

Esto, en cambio, ha creado un rol más autoritario para los departamentos de IT mientras monitorean y dictan que pueden y que no pueden hacer los empleados con la tecnología que proveen. Una lista ha emergido de los círculos de IT, “Los seis pecadores,” describiendo los tipos de sitios de Internet que no pueden ser vistos en el trabajo: aquellos que contienen pornografía, cualquiera que promueva las apuestas, aquellos que se estima son de mal gusto, material de odio, violencia o de actividades ilegales. Roche dice que visitar cualquiera de estos sitios, junto con algún sitio que sea peligroso para las PCs (exponiéndolas a malware y spyware), estan en violación directa con las políticas de RRHH de NSC. Nuevas tecnologías también han hecho más fácil para IT identificar quien y donde están los violadores. Según la encuesta de monitoreo electrónico del 2005 de la American Management Association, el 76 por ciento de las 526 compañías encuestadas dijo que tenían algún tipo de monitoreo electrónico. En un estudio reciente escrito por Zweig de la University of Toronto, se estima que más de 40 millones de empleados en los Estados Unidos están bajo algún tipo de monitoreo electrónico de rendimiento, “tales como contar las teclas pulsadas, escuchar llamadas telefónicas, hacer seguimiento de e-mails y hasta monitoreo de video para ver la disponibilidad.” (Para una lista de herramientas de monitoreo, vea “Cinco herramientas de monitoreo de contenido corporativo.”) Pero a pesar de que un reciente estudio de Harris Interactive de los trabajadores de oficina de los Estados Unidos descubrió que la mayoría de los empleados no dejan que el conocimiento de que están siendo monitoreados interfiera con el uso no laboral de Internet (Mas de la mitad de

los encuestados reconoció que envía y recibe mensajes personales en sus cuentas de e-mail laborales), los CIOs no quieren ser vistos como policías de IT. “Nunca quiero ser el tipo malo que aplica las políticas,” dice el CIO de CareGroup Halamka.

El ROI de la privacidad En conversaciones con CIOs, Kark de Forrester dice que ha descubierto que la mayoría de las compañías “no quieren poner medidas draconianas para decir que [sus compañías] van a monitorear todo, aun teniendo el derecho de hacerlo.” En estas compañías que crean culturas con medidas de privacidad más amigables para el usuario, dice Kart que ha encontrado que hay un más alto nivel de confianza entre los usuarios y el management. Según una investigación de Zweig, el monitoreo “continua violando el limite básico psicológico entre el empleador y el empleado—uno que es predicado con un mínimo nivel de privacidad, autonomía y respeto. Una vez que este límite se cruza, un grupo de implicaciones negativas son probables, desde insatisfacción y estrés hasta resistencia y desviación.” Por lo tanto, el dice, es crítico que una compañía quiera engendrar una cultura de colaboración y confianza para poner en claro a todos los empleados internos y fuera de IT, lo que IT hará y, mas importante, lo que no hará. “Debería ser comunicado a todos en la organización que el departamento IT no tiene completa autoridad para actuar,” dice Zweig. “No es una temporada abierta para la gente.”

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 8 de 12


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

Como monitorear a los que monitorean Y esto nos trae de vuelta al departamento IT – aquellos a quienes confió el acceso, el know-how y un asiento en primera fila para toda la acción de monitoreo. En organizaciones donde hay una “temporada abierta” en las consecuencias digitales de los empleados, los CIOs y analistas dicen que usualmente hay una “cultura de vaqueros” sin regulaciones en el departamento IT y, probablemente, poca confianza y respeto entre el management y los usuarios. En tales organizaciones, Kark Forrester dice que ve a más empleados IT con acceso a sistemas de lo que es apropiado. En una compañía, por ejemplo, determinó que 32 empleados (incluyendo el CIO) tenían acceso a un área sensitiva de los sistemas de la compañía cuando de hecho solo tres de ellos necesitaban acceder allí para hacer su trabajo; los otros 29 eran superfluos y por lo tanto potencial riesgo. Kark dice que esta situación es “típica.” A pesar que cualquiera con acceso a una PC puede romper todo en sus sistemas, una investigación del estudio CERT Insider Threat muestra que el sabotaje tecnológico casi siempre viene de personal IT. En 49 incidentes IT examinados, el 86 por ciento de los atacantes tenía una posición técnica, y el 90 por ciento de estos tenían acceso privilegiado al sistema cuando lo contrataron. "Me preocupa la persona en la que confío,” dice Sanzone de Credit Suisse. “Para tener una organización como esta debes tener muchos individuos de confianza que tienen acceso a cosas sensitivas como parte de su trabajo. Probablemente su riesgo es tan o si no

más alto [con esta persona de confianza] que con cualquier otro.” Pero sacar algo de este poder y estos accesos de los empleados IT puede ser un procedimiento delicado. En el estudio del CERT, el 92 por ciento de todos los ataques internos a su organización fueron precedidos por un evento negativo relacionado al trabajo, como una disputa con un jefe, una degradación o una transferencia. “La gente que siempre ha tenido acceso privilegiado ha disfrutado de hacer cualquier cosa que desearan,” dice Kark. “Si pones control donde antes no había, va a haber resistencia.” Roche de Network Services Company estaba “un poco preocupado” sobre que tipo de resistencia había instituido una nueva política para como su personal de IT monitorearía las computadoras de los empleados. Cada persona de IT recibía un ID específico y una contraseña para entrar en los sistemas, monitorear y “hacer un reporte” sobre un empleado. Cada evento de monitoreo puede ser iniciado solo por RRHH, y cada uno sería registrado. Roche le da crédito al tiempo que se tomo para explicarle a todos porque estaba creando esta política y porque era importante para la compañía por el hecho de que no recibió la resistencia que había anticipado. Eso, y la percepción de que “no querrían que alguien se lo haga a ellos.” Kark dice que hay tres partes clave que los CIOs necesitan asegurarse (y comunicar a su personal) cuando implementan este tipo de políticas. Primero, poner en claro quien en IT tiene la propiedad y la responsabilidad por cada parte del proceso cuando cualquier tipo de evento se dispara por RRHH, legales, seguridad física o los departamentos de regulación.

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 9 de 12


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

Segundo, es necesario que haya un árbol de decisiones de como los empleados IT responderán a cada incidente e investigación, con un análisis detallado de las diferentes situaciones y los procedimientos resultantes. Y tercero, los CIOs y su personal deben correr simulaciones y probar como los procesos funcionan cuando un evento sucede.

“practicas y procedimientos relacionados a las operaciones IT,” incluyendo revisar contraseñas, capacidad de registro, revisar como los sistemas son monitoreados y otros mecanismos de control de acceso. La auditoria necesita ser una objetiva “examinación de registros por una grupo imparcial de terceros,” dice Hunter.

Por todos los reclamos de Riel en Morgan Stanley, fue, irónicamente, uno de los subordinados de Riel quien siguió la cadena de comandos y delató a Riel.

Además de asegurarse que reviso todo y balanceo a su grupo IT, John Halamka, CIO de CareGroup y Harvard Medical School, se queda con Third Brigate, una compañía de hacking de white-hats, para conducir pruebas de vulnerabilidad periódicas. Además de proveer una revisión de sus sistemas de seguridad, Third Brigate puede también contarle a Halamka que podría hacer su personal IT al sistema, si quisieran. (Halamka dice que nunca ha tenido que echar a un empleado de IT por abusar de los privilegios de acceso.)

Más allá de la insistencia de Morgan Stanley de que sus procedimientos funcionaron apropiadamente, muchas cosas salieron mal. Por supuesto, muchas cosas pueden salir mal en cualquier lado, pero aceptando lo inevitable, y planeando como manejarla, es la clave para una buena seguridad y mucha menos ansiedad por parte del CIO. “Hacemos todo lo que podemos para controlar esto,” dice Sanzone de Credit Suisse. “Pero seguro, me preocupa.”

“Lo que siempre digo es que, si piensa que no tiene problema de seguridad, no ha analizado la situación lo suficiente,” dice Halamka.

¿Tiene todo en orden? Antes de que los CIOs empiecen a preocuparse sobre otras partes del negocio tiene que asegurarse de que su propio lugar este en orden. Richard Hunter, VP y analista de seguridad y privacidad en Gartner, dice que los CIOs deberían tener audiciones de seguridad IT por regulación en las

Sobre el Autor Thomas Wailgum Twailgum(at)cio.com

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 10 de 12


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

CXO Community CXO Community es una comunidad conformada por ejecutivos de tecnología de la información y seguridad de la información comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de mejoras. CXO Community proporciona a esta comunidad vehículos confiables (Revista, Portal Web y Jornadas Ejecutivas) facilitando el intercambio de experiencias y conocimiento. CXO Community otorga oportunidades periódicas para lograr encuentros y promueve el relacionamiento dentro de la comunidad. >> Diariamente en el Portal Web: Ejecutivos de la seguridad tienen la información necesaria para la toma de decisiones en forma inmediata. >> Bimestralmente a través de la Revista: Audiencia de CSOs/ CISOs/ CIOs leales y comprometidos buscando solucionar brechas de seguridad y mitigar los riesgos presentes en su gestión. >> Anualmente en las Jornadas Ejecutivas: Ejecutivos comprometidos con la seguridad interactúan recíprocamente con sus pares y referentes del mercado dentro de un ambiente que favorece la mejora académica y la red de contactos.

Misión CXO Community tiene el objetivo de orientar su base de recursos informativos (Revista, Portal Web, Jornadas, Conferencias, Cursos, etc.) a efectos de mantenerlo informado, de manera proactiva, sobre los desafíos y las amenazas para su profesión. CXO Community brinda a los líderes en la gestión de riesgos operativos e informáticos – áreas de seguridad corporativa e informática -, información para prevenir fraudes y pérdidas de datos, así como para asegurar la privacidad y la continuidad del negocio. Todo ello con la profundidad profesional necesaria para apoyar la toma de decisiones fundamentadas. CXO Community ayuda a su comunidad y al mercado a construir organizaciones más rentables y seguras, desarrollando y reproduciendo investigaciones sólidas, proveyendo herramientas y argumentos para la evaluación de soluciones y apoyando la divulgación de los criterios más efectivos en términos de estrategia y análisis de inversión en seguridad.

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 11 de 12


El riesgo de convertirse en el Gran Hermano Por Thomas Wailgum

Nuestros Servicios •

La Revista: La revista destaca los acontecimientos y desafíos que afectan a los CSOs de la región en medianas y grandes empresas. La revista se focaliza sobre la información necesaria, el compromiso y la influencia en su comunidad. Los responsables de marketing tienen en este medio, la oportunidad de realzar el valor de marca de las soluciones y productos que los CSOs analizarán dentro del proceso de evaluación y toma de decisiones de compra.

El Portal: El Portal Web es una fuente permanente de información valiosa que alcanza a una gran comunidad de ejecutivos de seguridad. CXO-community.com.ar provee respuestas a los temas y problemas actuales en seguridad a través de artículos, experiencia de colegas, investigaciones, informes profesionales, videos, contenido de proveedores, etc. La actualización constante promueve la visita repetida y la búsqueda de información en un completo archivo temático. El Portal posee un boletín informativo periódico que llega a los principales referentes del mercado de tecnología, seguridad y management.

Jornadas Ejecutivas: Los CSOs consideran a sus pares profesionales un recurso fundamental a la hora de encarar una planificación o implementación de una nueva estrategia. Los seminarios ejecutivos atraen, a nivel nacional, a líderes de empresas del sector privado, público y del gobierno, proveyendo una plataforma inigualable de oportunidades e intercambio académico, experiencia profesional y mejora de red de contactos. El contenido del programa es elaborado por los más reconocidos profesionales y visionarios del mercado de la seguridad, en un ambiente abierto de intercambio de ideas, problemas, desafíos y mejores prácticas.

Centro Académico: Los CSOs y sus equipos realizan una carrera profesional basada en el aprendizaje continuo. Es por ello que CXO Community, bajo acuerdo con profesionales y organizaciones de reconocida trayectoria del mercado, presenta periódicamente alternativas de cursos académicos y prácticos que permitan el crecimiento profesional de los ejecutiv os de seguridad. El contenido del programa es elaborado por los más reconocidos profesionales y visionarios del mercado de la seguridad, en un ambiente abierto de intercambio de ideas, problemas, desafíos y mejores prácticas.

CXO Community está conformada por los líderes de tecnología, informática y seguridad comprometidos por el interés profesional en compartir sus fuentes informativas, intercambiar experiencias, mejores prácticas y oportunidades de crecimiento profesional (email: info@cxo-community.com // portal: www.cxo-community.com) Página 12 de 12

Profile for CXO Community

El riesgo de convertirse en el Gran Hermano  

¿Le han pedido que monitoree a sus empleados cuando utilizan IT? Es un camino resbaladizo, según muestran litigios referentes. Aquí tiene a...

El riesgo de convertirse en el Gran Hermano  

¿Le han pedido que monitoree a sus empleados cuando utilizan IT? Es un camino resbaladizo, según muestran litigios referentes. Aquí tiene a...

Advertisement