INFORMATION TECHNOLOGY: AN ANALYSIS OF THE GAP BETWEEN SPECIALISTS AND NON-TECHNICAL STAFF AND ITS MULTI-DIMENSIONAL IMPLICATIONS - MILTON F. MARIN CEDEÑO , Investigaciones, Trabajos Académicos, Proyectos, y Publicaciones Estudiantiles presentados por alumnos de la Universidad disponibles al publico es este archivo.

Publicaciones de Estudiantes

Autor: MILTON F. MARIN CEDEÑO
Titulo: INFORMATION TECHNOLOGY: AN ANALYSIS OF THE GAP BETWEEN SPECIALISTS AND NON-TECHNICAL STAFF AND ITS MULTI-DIMENSIONAL IMPLICATIONS
Area:
Pais:
Perfil:
Programa: PhD in Science and Engineering
Available for Download: Yes

Diseminar información, ideas innovadoras y conocimientos académicos es una función importante para Atlantic Internacional University. Publicaremos noticias, artículos, comentarios y otras publicaciones de nuestros estudiantes y otros colaboradores. Si desea contactar al autor por motivos profesionales favor enviar su petición por este medio.


	Agradecimientos A mi Padre Celestial por los dones y talentos que Él me ha dado que me permitieron emprender esta tarea de enriquecimiento personal. A mi familia, a mi esposa e hijos, por el soporte emocional que siempre me han brindado y por su eterna paciencia. A la Corporación de Operadores de Servicios Telemáticos, por la ayuda financiera y el tiempo dispensados. A Adriana González Céspedes por su valiosa ayuda en el soporte con el procesador de palabras y su valiosa revisión a esta Tesis y sus comentarios. A Carlos Solano Benavides por su constante apoyo en todo sentido. A los ingenieros Róger Araya Fonseca, Michael Barquero León, Miguel Aguilar Zamora, por su excelente trabajo en la preparación de indicadores, aplicación de la encuesta, sus análisis y observaciones, sus aportes y comentarios. Y finalmente al Dr. Franklin Valcin por su paciencia, ayuda y comentarios motivadores. Sin el concurso de cada uno de ustedes y las bendiciones de Dios, hubiese sido muy difícil terminar con éxito este programa de Doctorado, a todos muchas gracias y que Dios les colme de bendiciones. Resumen Ejecutivo La desconexión es un tema prácticamente desconocido al menos bajo ese nombre. Un concepto similar es el de no alineamiento entre las Tecnologías de Información y Comunicación (TIC) y los objetivos estratégicos de una organización. El primer concepto es más que no alineamiento, es además de esto último un problema serio de comunicación entre los profesionales tecnólogos de las TIC y los no tecnólogos o personal administrativo; un problema de dos culturas dentro de una cultura mayor que aunque a veces intentan "caminar" juntas, en ocasiones toma caminos diferentes en detrimento de los intereses últimos de una organización. Esta tesis pretende no sólo medir el grado de desconexión existente entre los profesionales de la tecnología informática y el resto de la organización, sino que pretende dejar claro que el problema en realidad sí existe, aunque no se conozca en el fondo que se sufre o que se hayan sentido los síntomas sin preciar qué tipo de "enfermedad" se padece. Al mismo tiempo se plantea que en la medida en que la desconexión cree una brecha de diferentes proporciones, en esa misma medida la información puede estar "comprometida", potenciar las vulnerabilidades que puedan existir y maximizar las amenazas que están presentes tanto en el ambiente externo como en el interno Se utilizaron indicadores para medir el grado de desconexión presente en las organizaciones que permitieron que el instrumento fuera aplicado mediante una encuesta en ellas. Para efectos de establecer correlaciones e indicadores cruzados, se establecieron cinco grupos, compuestos cada uno por una serie de preguntas, las cuales se muestran en el apéndice I, que responden a los objetivos I indicados. Con los resultados obtenidos se prepararan varios gráficos para presentar en forma visual los hallazgos. Al concluir el trabajo al menos con la información recabada, se concluyó que el fenómeno de la desconexión es tan real como la falta de alineamiento y que, definitivamente, las organizaciones deben enfrentarla con diferentes estrategias para cerrar esa brecha, que el autor cree podría de alguna manera disminuirse en forma natural, que no será suficiente si no se realizan esfuerzos en ese sentido, para cerrarla completamente. I. INTRODUCCIÓN El concepto de seguridad siempre ha estado presente en la vida de todas las personas, aunque circunscrito a la protección de las familias y a las posesiones más cercanas a éstas, llámense propiedades muebles o inmuebles; y cuando apareció el dinero se incluyó éste también. Con la aparición de la Internet y su exponencial crecimiento y utilización, especialmente desde los inicios de la década de los noventa, las preocupaciones básicas aumentan en forma considerable, pues aparecen otros elementos relacionados con ellas. Por eso, cabe preguntarse: ¿Está la información personal o familiar realmente asegurada y protegida? ¿Puede alguien con un "clic" del "ratón" tener acceso a información almacenada en algún banco, hospital, oficina de seguros, universidad, e incluso en la propia computadora personal?" La Web es una red pública, lo que significa que se intercambia información confidencial en un entorno que, por naturaleza, no es seguro." (McCarthy:16). Es un hecho que muchas empresas públicas y privadas mantienen información relativa a personas, a las familias de éstas y también de las organizaciones, por lo que habría que preguntarse: ¿Garantizan ellas que esa información sólo será utilizada para los propósitos propios de su quehacer y por la razón por la cual la poseen? La gente se ha ido acostumbrando a realizar muchas transacciones "en línea", desde mandar un "correo" personal, "chatear" utilizando los servicios de mensajería y realizar transacciones de pago, transferencias bancarias y compras, hasta obtener un título universitario a distancia, "en línea", por medio de la Internet. Sin embargo, en la medida en que eso se haga más a menudo más regularmente también se pone en riesgo la información personal que "fluye" por la red. 7 No obstante que esos riesgos pueden minimizarse, para esto se requiere un enfoque diferente en cuanto al tratamiento de la información. Por ejemplo, debe ponerse mucho cuidado y atención al diseño de los sistemas y las tecnologías empleadas; deben diseñarse procesos que garanticen tanto el acceso físico a las instalaciones en las que se almacene la información, y no menos importante es que se establezcan los procedimientos adecuados para la correcta utilización, respaldo, modificación, etc. de dicha información. El aseguramiento de la información Antes de intentar definir qué es el aseguramiento de la información es importante hacer una acotación: "la seguridad de la información no garantiza la seguridad de su organización, de su información o de sus sistemas de cómputo." (Maiwald:4). Puede creerse que si se cuenta con lo que se podría entender como un entorno seguro entonces ya no hay de qué preocuparse, que si se compran los equipos adecuados, tanto de hardware como de software, al vendedor apropiado, todos los problemas en cuanto a seguridad estarán resueltos. Sin embargo, el aseguramiento de la información depende de una resolución total de una organización o de un individuo para mitigar, hasta donde sea posible, las vulnerabilidades internas y enfrentar las amenazas que haya en el entorno, con las contramedidas adecuadas. Piénsese cuando se construían castillos. Se puede construir una puerta suficientemente fuerte como para tratar de impedir la entrada de algún extraño, pero si este utiliza un instrumento aun más poderoso que ella la derribará o destruirá en algún momento. Igual sucede si se cava un foso alrededor de una propiedad y se llena de caimanes, pirañas, etc.; pero si alguien desde adentro baja la puerta, ya la seguridad está "comprometida" o está en peligro. En este trabajo 8 se utiliza el término "comprometida" como parte de la jerga que es de uso común entre los profesionales de la seguridad de la información indicando que la información está en peligro de ser utilizada en forma no autorizada. . Pero, ¿qué es la seguridad de la información? Según Maywald, "son las medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o la denegación del uso del conocimiento, hechos, datos o capacidades." (:24). Entonces, se puede afirmar que seguridad de la información son todos aquellas medidas preventivas que se toman para proteger tanto la información como la capacidad de los medios en que se almacena. El aseguramiento de la información hay que considerarlo no como un evento sino como un proceso, que incluye desde aspectos infraestructurales hasta herramientas y equipo, sin dejar de lado aspectos humanos tan importantes como actitudes, puntos de vista y sentimientos; todo esto integrado en una estrategia consecuente. Se podrían implementar mecanismos de seguridad altamente especializados, pero tener una actitud displicente o descuidada ante ellos; sin mencionar la mala fe o el sabotaje y, por tanto, obtener resultados sumamente pobres. Para lograr un entendimiento adecuado de los pilares que integran el aseguramiento de la información es importante analizar los elementos básicos que conforman el marco de referencia, lo cual se discute en el próximo capítulo. 9 II. MARCO CONCEPTUAL Y DEFINICIÓN DE LA INVESTIGACIÓN Los activos de una organización De lo que se trata es de proteger los activos de la organización con las políticas adecuadas y dentro de marco del aseguramiento de la información, en lo cual se utilizan indistintamente este concepto y el de seguridad informática. Los activos pueden ser tangibles o intangibles, como tradicionalmente se han clasificado. Dentro de los intangibles se incluyen ahora aspectos como la propiedad intelectual, el valor de la marca, el capital intelectual, las patentes, la información y hasta el posicionamiento alcanzado por la organización en el mercado. Dentro de los tangibles se incluyen, entre otros, enrutadores (routers), conmutadores (switches), servidores, computadoras, impresoras, etc., y software de toda naturaleza, tanto aplicativos como operativos, sin dejar de lado los que dentro de la práctica contable se consideran como tales, o sea, todos los que se pueden convertir en dinero, ya sean líquidos o fijos. Todos estos activos son o pueden ser potencialmente considerados objetivos para un "ataque". Al respecto, Amanda Andrés escribe: "Dado que Internet es una red pública, cualquier persona en ella puede "mirar" cualquier otro sistema que esté en ella. En el principio esto no era un asunto tan importante, porque la información sensitiva no era fácilmente accesible, pero conforme Internet crecía las compañías cada vez más frecuentemente accesaban distintos tipos de información que estaba en la 10 red. Este acercamiento fue muy bueno para ellas pero también una gran invitación para los atacantes." (Traducción libre) (:1). Los activos mencionados tienen algún tipo de valor para una organización, pero hay un valor, no un activo, que a veces se deja de lado: el factor humano. Este puede ser, y definitivamente lo es, la "pieza" más importante dentro de la seguridad informática. La gente es la que logra que todas las otras partes del marco conceptual de la seguridad informática encajen adecuadamente. No importa si se cuenta con los mejores equipos de detección de intrusos, de cortafuegos (firewalls), de software especializado y aun de políticas y normativas adecuadas, si el personal no coopera o no tiene la actitud correcta o apropiada, o si no es el mejor personal con el que se pueda contar. En tal caso de nada sirve lo primero. El personal es el que puede llevar a la organización al logro de su visión y a potenciar el valor de toda la empresa, o bien, a ocasionar que ésta desaparezca. El valor de los activos Dependiendo del activo y de su importancia dentro de la organización, así también deben considerarse los riesgos y la manera en que dichos activos deben ser protegidos. En cuanto a la protección de los tangibles, se consideran generalmente adecuadas ciertas prácticas para protegerlos y, por lo normal, caen dentro del aseguramiento de la infraestructura física. En cuanto a los intangibles, su aseguramiento ya no es tan sencillo. Algunos no se pueden encadenar o poner bajo llave, e incluso a veces no se sabe cuál es su valor. Por tanto, las preguntas que surgen son: ¿Se conoce realmente el valor de la marca?, ¿se ha medido adecuadamente el valor de las patentes? Y en cuanto a la información, ¿qué tan valiosa es? 11 Si se acepta el hecho de que la información tiene valor, entonces allí hay una razón para protegerla. Hay qué identificar cuál es la más valiosa para la organización, en términos de terceros, llámense clientes o proveedores que mantienen alianzas con la empresa, el Estado o la misma organización, o cuánto valdría en manos de la competencia. Como menciona Kay, "la pérdida de la lista de nuestros clientes puede ser recuperada de los respaldos que hemos hecho, si se han perdido o dañado los originales, pero si esta lista cae en manos de nuestros competidores el daño financiero potencial puede ser devastador." (:324) A ese respecto Andrés menciona que "las brechas de seguridad pueden tener un profundo impacto en la reputación de una empresa, en el valor de su marca o en la imagen corporativa en general." (:3) Hay que tener presente que los recursos de una organización no son infinitos y, por lo tanto, hay que evaluar los riesgos inherentes a cada uno de los activos para decidir cuántos de esos recursos serán asignados a su debida protección; así mismo, cuál va a ser el esfuerzo dedicado a ello. Más adelante se darán algunos lineamientos en este sentido. Para concluir esta aparte en cuanto al valor de la información, hay que resaltar que el valor de la información puede variar en el tiempo, según las circunstancias. Lo que fue valioso en un momento, por ejemplo, mantener en secreto que la empresa pasaba por un período difícil, ya no lo será cuando se hagan públicos los informes de que la empresa ha tenido excelentes utilidades. Dado que, según McCarthy, "la seguridad informática se basa en tres componentes las personas, los procesos y tecnología" (:32), en el apartado 12 siguiente se trata un aspecto fundamental, y es en cuanto a la responsabilidad que por, supuesto, tiene que ver con personas. Los responsables de la información Algunos de los inconvenientes relacionados con la "asignación de responsabilidades" para el aseguramiento de la información, que son fundamentales en él, han sido no sólo la poca participación de la alta dirección en aspectos relacionados con la tecnología sino también el desconocimiento que ésta tiene de los términos y de los problemas propios de la informática. Lo anterior ha desembocado en que la alta dirección cree que el aseguramiento de la información es responsabilidad y resorte único del personal de tecnología, cuando en realidad "la gestión de seguridad y del riesgo relativo a la información debería ser un esfuerzo inspirado a nivel ejecutivo." (McCarthy:61) También eso lleva a pensar que el riesgo de la información es un riesgo empresarial y no tan sólo de una unidad o departamento en la organización. En este sentido McCarthy es contundente: "Los objetivos de seguridad que dependen de prioridades empresariales han de enmarcarse en un amplio conjunto de prácticas de seguridad, las cuales deben desarrollarse en colaboración con los ejecutivos, diferentes áreas de negocio, el personal de recursos humanos, el departamento de tecnologías de la información y los equipos de seguridad de la información y los equipos de seguridad de la propia empresa". (:44) Si todos los actores entienden bien su papel y lo ejecutan de acuerdo con las mejores prácticas y en consonancia con los procedimientos y normas de la organización, las posibilidades de que las amenazas comprometan la información de la empresa disminuyen. No se eliminan por completo dado que los ataques 13 pueden ser variables exógenas o endógenas, pero se puede mitigar su impacto; variables que serán discutidas más adelante. La única manera de que la información no sea comprometida es teniéndola guardada bajo llave en una caja fuerte bajo estrictas medidas de seguridad; no conectándose a Internet o no trabajando en red; pero tales medidas estarían fuera de la realidad. En el próximo apartado se presentan los pilares en que se basa el aseguramiento de la información, así como los elementos que permitirán la aplicación de estos elementos base. Pilares del aseguramiento de la información Los pilares fundamentales que constituyen los conceptos base del aseguramiento de la información son la confidencialidad, la integridad y la disponibilidad (C-I-A, por sus siglas en inglés). Trevor Kay define dos de estos conceptos de la siguiente manera: "Confidencialidad es el concepto que garantiza que los datos no deben estar disponibles ni revelados o publicados para conocimiento de personas no autorizadas. Integridad es la protección de la información de daño o manipulación deliberada." (Traducción libre) (Kay:203) Disponibilidad: "Que la información esté libre para ser utilizada por los usuarios autorizados cuando fuere requerida". (Nichols:45) 14 Estos tres conceptos requieren algunos detalles que los clarifiquen. La confidencialidad obliga a que la información se mantenga privada o secreta y a que no sea entregada a quienes no estén debidamente autorizados para ello. Procesos como la encriptación, tanto en el nivel de datos, la infraestructura de redes y los canales de comunicación, como en los controles de acceso a las redes o a cualquier dispositivo de almacenamiento, son fundamentales para mantener dicha privacidad. La integridad se refiere a que la información debe permanecer completa y no sufrir alteraciones cuando se utilice, a menos que existan los privilegios adecuados para hacerlo. No obstante, todos esos posibles cambios deben quedar registrados, es decir, debe llevarse una bitácora en la que se indicará quién alteró la información, cuándo lo hizo, cuáles fueron esos cambios y lo demás que el administrador de los datos considere prudente, adecuado y lógico que quede registrado. Aquella información en la cual no se pueda confiar no es o no será de utilidad; si no sirve de nada pero es confiable, puede ser que en el futuro sí lo sea; pero si no es confiable, de nada sirve. ¿Qué se ganaría con crearla y almacenarla con gasto de tiempo y dinero y otros recursos si no será de beneficio? Nichols plantea una interesante pregunta referida a la integridad: "¿Qué información debe ser protegida de modificación ilícita o destrucción, cuánta protección se requiere y por cuánto tiempo? (:45). Estas preguntas no serán contestadas en este momento pero sus respuestas pueden ser encontradas a los largo de esta tesis. Por último está el pilar de la disponibilidad de la tríada C-I-A. Si la información no está disponible cuando se necesita, a pesar de su confidencialidad e integridad, entonces tampoco es de utilidad. Si los sistemas de información o las redes de computadoras no están en línea cuando se requieran, no solamente son un desperdicio de lo que se invirtió en ellas sino que podrían causar daños a 15 quienes dependen de ellos, pues causan pérdidas monetarias o de imagen, y hasta de reputación. Hay que plantearse en ese sentido algunas preguntas interesantes, tales como en cuánto tiempo debe estar disponible y cuánto costaría a la organización, los clientes o los proveedores el que no lo fuera. Esos elementos de la tríada C-I-A están interrelacionados. Se puede tener un grado muy alto de confidencialidad pero la disponibilidad podría ser casi nula o nula; o bien, una muy baja confidencialidad con una alta disponibilidad. Piénsese en el catálogo de una universidad. Cuando se ingresa a una sucursal bancaria electrónica, la integridad debe ser de muy alto nivel, lo mismo que la confidencialidad y la disponibilidad. Cada organización, en forma particular, es la que define las características de estos pilares, dependiendo del tipo de información, y puede variar según sus propios objetivos. Los pilares de la tríada C-I-A se fundamentan en dos "facilitadores", la autenticación y la "no repudiación" (responsabilidad). Kay define estos conceptos de la siguiente manera: "No repudiación": "es el término empleado para describir la inhabilidad de una persona de negar o repudiar el origen de la firma de un documento, o de negar o repudiar el recibo de un mensaje o documento." (:204) Autenticación: "es el concepto que identifica de manera inequívoca a un individuo y que garantiza su identidad. Es el simple hecho que garantiza que alguien es quien reclama ser". (Kay:203). La "no repudiación" provee información o evidencia de que algo realmente ha ocurrido. 16 La autenticación es necesaria para probar la identidad de alguien con quien se está compartiendo información. Las formas más corrientes son mediante la utilización de mecanismos de ingreso y contraseñas, tarjetas de identificación de usuarios, firmas digitales y mecanismos biométricos. Los desafíos del aseguramiento de la información Si la seguridad sólo consistiera en comprar algunos productos, instalar cortafuegos o un servidor proxy, todos en la unidad o departamento de tecnología estarían muy contentos, pero la verdad es otra. La organización debe lidiar con al menos tres grandes desafíos: las amenazas, las vulnerabilidades y los riesgos. Si se logra entender estos conceptos, es definitivo que se pueden, si no eliminar, al menos minimizar sus efectos. Cuando se habla de amenazas debe entenderse que éstas son cualquier evento o circunstancia que puede poner en peligro los recursos de información de la entidad, desde el punto de vista de su confidencialidad, integridad o disponibilidad (C-I-A). En el próximo apartado se aborda el tema de las amenazas, lo que permitirá establecer el objetivo de esta tesis. La desconexión Es un problema suscitado o derivado de un problema de comunicación. Los tecnólogos utilizan su propio lenguaje y los administradores hacen lo propio. Pero lo más grave es que por razones históricas al utilizar cada uno la jerga propia de 17 su disciplina, ambos mundos se fueron separando. Charles B. Wang, en su libro Tecnovisión, define este concepto de la siguiente manera. "Es un conflicto penetrante y sin embargo artificial, que ha desalineado los objetivos de gerentes ejecutivos y tecnólogos, y que deteriora a las organizaciones o les impide obtener utilidades efectivas en relación con los costos de su inversión en la tecnología de la información." (:1) Charles B. Wang, Andreu, Ricart y Valor, y el autor de esta tesis, son los únicos que utilizan este término, y el tercero lo ha popularizado en la academia. Todos saben que en realidad hay un fenómeno que separa a estos dos tipos de ejecutivos, y aunque no han utilizado este concepto en forma explícita o quizás lo han llamado con otro nombre, nadie duda de su existencia. Si se busca en Internet el concepto desconexión, así simple y llanamente, aparecerán poco más de un millón de enlaces. Si la búsqueda se hace más detallada, por ejemplo, mediante "desconexión informática", pueden hallarse poco más de ciento ochenta mil enlaces. Lo interesante es que ninguno de ellos tiene que ver con el concepto de desconexión tal como lo expone Charles B. Wang. Si se explica el concepto a los profesionales de ambos mundos, informáticos y administradores, es probable que no hayan escuchado el concepto, pero sí lo han "sentido", y todos estarán de acuerdo en que sí existe esa separación tal como se ha definido. Sin embargo, esta tesis plantea un concepto un poco más allá de lo que dice Wang. No es un asunto solo de falta de alineamiento, es lo anterior sumado a un desconocimiento aunque sea parcial de los alcances de la tecnología por parte de los administradores y al no conocimiento completo del giro del negocio por parte de los de tecnología; se debe agregar además a la no integración de la TIC a la totalidad del negocio como elemento infraestructural. 18 Esta desconexión ha conllevado grandes problemas. Entre los más relevantes está el cuestionamiento de si en realidad las tecnologías de la información y las comunicaciones (TIC) han producido de acuerdo con lo que se ha invertido en ellas. En este sentido, Nicholas Carr responde con un categórico no. Nicholas Carr primero indica: "[las tecnologías de la información] han penetrado en la industria, el comercio mayorista y minorista y los servicios empresariales; se las encuentra en las oficinas de los ejecutivos y en las fábricas, en los laboratorios de I+D y en los hogares de los clientes."(23) Lo anterior es cierto. Sólo basta con echar una mirada a cualquier oficina y no es necesario realizar una investigación científica para darse cuenta de que la tecnología está presente en ese lugar. Y en el caso de los hogares la utilización parcial de la tecnología, mediante el uso de computadoras personales, ha ido creciendo a un ritmo vertiginoso. Volviendo al inicio, Nicholas Carr manifiesta que en el caso de las organizaciones lucrativas las TIC no cumplieron su promesa.(24) Sin embargo, el asunto no se puede achacar a las TIC por sí mismas, pues no es un asunto de hardware, no es de software ni tampoco de las telecomunicaciones. Es un asunto que, en términos de seguridad informática, se llama el "efecto capa 8", o sea, el factor humano. Para aclarar lo de la "capa 8", el modelo OSI (Open Systems Interconnection) es un modelo que utiliza una estructura de siete capas para representar la transmisión de datos residentes en una computadora a una aplicación residente en otra computadora. Por ejemplo, la capa uno o capa física es utilizada para definir y controlar las señales eléctricas en un medio físico. La capa cinco o capa de sesión provee los mecanismos necesarios para que dos computadoras mantengan "una conversación" por medio de la red; y cuando se establece la sesión las dos computadoras pueden enviar información. Dada esta aclaración, en forma jocosa se habla entonces de esa 19 capa especial o "capa 8" que, en definitiva, puede hacer que la tecnología produzca hasta 100% o no produzca del todo. Entonces, hay que entender que el problema de la desconexión no es un asunto de tecnología y, si no se acepta eso, entonces se está lejos de resolverlo. Las quejas de ambas partes es que hay un problema. Hay quejas de un lado que indican que los plazos de entrega de lo ofrecido por los tecnólogos no se cumplen, que se exceden en el presupuesto, etc. Por otro lado, los tecnólogos manifiestan que los administradores no los toman en cuenta en el giro total del negocio. Charles B. Wang manifiesta que "la desconexión es el único problema de la alta gerencia que no se puede delegar" y que "mientras se siga culpando a la tecnología (o a cualquier persona o cosa) seremos incapaces de combatir la desconexión." (:26) Las organizaciones son las responsables de que esa pared divisoria entre tecnología y administración se haya fortalecido con los años, y, aunque sea una pared de cristal, absolutamente transparente, es una pared de varios centímetros de grosor que no es fácil de derribar, dado que ellas mismas han ayudado a fortalecerla. Muchas organizaciones crean una estructura especial, con sus normativas, procedimientos, políticas, nivel salarial, etc. diferentes para su personal del área informática. Es claro que el nivel de conocimientos que se requiere para toda esta cultura de la era de las computadoras, que son especializados, requieren una valoración distinta; pero esto no implica que se haga una diferencia tal que cree estructuras paralelas. Sin embargo, lo que más primaba era ese "terror" que muchos sentían ante esa tecnología, que hizo su aparición a mediados de la década de los cincuenta en el siglo pasado. Con la aparición de la microcomputadora se esperaba que eso fuera desapareciendo, pero no sucedió así. Es claro que los ejecutivos utilizan su laptop o desktop para sus tareas básicas de procesamiento de documentos, preparar presentaciones o generar sus hojas de cálculo. Pero, si se produce un error, por insignificante que sea, la unidad 20 informática hace su aparición salvadora, puesto que el primero es "incapaz" de resolverlo por sí mismo, dado que cree que cualquier cosa que haga puede agravar el problema. El tecnólogo resuelve la situación con un halo de triunfalismo y para nada enseña al administrador cómo resolverlo si se volviera a presentar. El asunto es aun de mayor ralea cuando se trata de equipos más sofisticados, pues el administrador no desea ni verlos. Y esto es una realidad. Los tecnólogos tienen su propio conjunto de valores, jerga, etc. con los cuales no están familiarizados el administrador o los profesionales de la gerencia. Y esta brecha se ensancha cada vez más. Los informáticos tienen su propia forma de comunicarse, los profesionales en el área de telemática la suya y, si se agregan los profesionales de seguridad de la información, se presenta una Babel de proporciones dantescas de las cuales la alta o media gerencia, sólo para citar a unos pocos, no desea ni siquiera darse por enterada. Si se hace un poco de historia y se recuerda a los mainframes o grandes computadoras comerciales de inicios de los sesenta del siglo XX, se puede entender mejor este fenómeno. Eran equipos que requerían ambientes aun más controlados y asegurados que de alguna forma contribuyeron a separar físicamente a los tecnólogos de los no tecnólogos e iniciaron esta desconexión. Los no tecnólogos abandonaron poco a poco a los tecnólogos cuando no podían entender su jerga o la manera en que programaban a esos grandes "dinosaurios" de la tecnología, o bien, no podían entender algunos de los comportamientos "extraños" de este tipo de profesional, desde la forma de vestirse -a veces un poco estrafalaria- hasta por algunos de sus hábitos y costumbres de dormir o trabajar en horas no comunes. Poco a poco se fue aislando a la función informática del resto del negocio. Entonces los objetivos del negocio se fueron desviando de los objetivos de la tecnología, y viceversa. Es un hecho tan conocido lo anterior que se pueden encontrar en los libros de texto capítulos enteros para intentar lograr el alineamiento de los objetivos del negocio con los de la tecnología. Por ejemplo, Aligning the IS Direction and Priorities to the Business Direction and Priorities de Anita Cassidy, o Strategic 21 Alignment with the Business en Managing Information Technology for Business Value de Martin Curley, sin citar textos especializados dedicados a indicar cómo alinear los objetivos de la organización con los objetivos de tecnología, tal el caso de "Estrategia y Sistemas de Información" de Rafael Andreu, Joan Ricart y Josep Valor. Estos mismos autores, en ese texto, hacen una breve mención a la desconexión: "Muchas empresas están todavía en una fase de descoordinación, con utilizaciones crecientes de la TI/SI, pero sin un proceso claro de planificación de la misma. Para empresas en esta situación, con claros síntomas de quejas por parte de los usuarios de falta de criterio en la fijación de prioridades, de desconexión entre el departamento de TI/SI y el resto de la empresa, etc., el procedimiento..." (Fin de la cita, el resaltado no es del original)(:4). Más adelante indican ellos mismos: "Para aquellas empresas que han logrado derribar la pared que tradicionalmente aísla al departamento de SI del resto se abren nuevas oportunidades". (:5) Por lo que se ha explicado en el párrafo precedente, es un hecho que ha existido, por mucho tiempo, esa desconexión y que el esfuerzo por alinear los objetivos de las TIC con los objetivos empresariales es la prueba más fuerte de dicho fenómeno. El propósito de esta tesis es demostrar que sí existe una desconexión tal como se explicó anteriormente. La posibilidad de que la información sea utilizada en forma no apropiada es aun mayor, o, peor aún, de que la desconexión sea una amenaza adicional y un potenciador de otras amenazas, como se explica más adelante. En los próximos apartados, con el propósito de permitir plantear la desconexión como un problema grave para la seguridad de la información, primero se aclara quién o quiénes son los responsables de ella y quién o quiénes deberían protegerla; además, cuáles son las posibles amenazas que podrían 22 dañar ese valioso activo. A continuación se hace hincapié en quién o quiénes deberían ser los responsables de la información. Responsables de la información Algunos de los problemas relacionados con la "asignación de responsabilidades" en cuanto al aseguramiento de la información, que son fundamentales en este sentido, han sido no sólo la poca participación de la alta dirección en aspectos relacionados con la tecnología sino también el desconocimiento de ésta de los términos y de los problemas propios de la informática. Lo anterior ha desembocado en que la alta dirección crea que el aseguramiento de la información es responsabilidad y resorte único del personal de tecnología, cuando en realidad "la gestión de seguridad y del riesgo relativo a la información debería ser un esfuerzo inspirado a nivel ejecutivo." (Trevor:43). Lo anterior lleva a pensar que el riesgo de la información es un riesgo empresarial y no tan sólo de una unidad o departamento en la organización. En este sentido Trevor es contundente: "Los objetivos de seguridad que dependen de prioridades empresariales han de enmarcarse en un amplio conjunto de prácticas de seguridad, las cuales deben desarrollarse en colaboración con los ejecutivos, diferentes áreas de negocio, el personal de recursos humanos, el departamento de tecnologías de la información y los equipos de seguridad de la información y los equipos de seguridad de la propia empresa." (:44) Si todos los actores entienden bien su papel y lo ejecutan de acuerdo con las mejores prácticas y, en consonancia, con los procedimientos y normas de la organización, las posibilidades de que las amenazas comprometan la información de la empresa disminuyen; no se eliminan por completo dado que los ataques pueden ser variables exógenas o endógenas, pero se puede mitigar su impacto. La única manera de que la información no sea comprometida es teniéndola guardada bajo llave en una caja fuerte bajo estrictas medidas de seguridad, o 23 bien sin conectarse a Internet o no trabajar en red; pero tales medidas estarían fuera de la realidad. Se requiere saber cuál es el problema de que no haya entendimiento de los diferentes actores en cuanto a la protección de la información, y precisamente esa es la propuesta de esta tesis: la desconexión. En el próximo apartado se tratará el tema de las amenazas. Las amenazas a la información Las amenazas pueden ser tanto físicas como electrónicas y dependerán del negocio al que su organización se dedique y de las diferentes relaciones de los actores que interactúen con ella. La pregunta que debe obligatoriamente debe hacerse es: ¿Se debe defender a la organización de todas las amenazas posibles? Para responder, lo primero que hay que analizar son los diferentes tipos de amenazas que hay en el entorno, luego cuáles de ellas tienen una probabilidad de ocurrencia más alta y con qué recursos se cuenta para hacerles frente. Es un hecho que los recursos económicos son escasos, que no son ilimitados e infinitos y que si se destinan a atender el asunto A se tendrán menos recursos para atender el B, o viceversa. Por lo tanto, el conocer profundamente hacia dónde se dirige la organización, en qué negocio se encuentra, cuáles son sus objetivos y metas fundamentales, deben ser los impulsadores que guíen la asignación de dichos recursos para enfrentar las amenazas. 24 El cuadro siguiente ilustra los diferentes tipos de amenazas Amenazas Accidentales Deliberadas naturals Terremotos Divulgación Alteración de datos Inundaciones Disturbios Alteración de eléctricos "software" Huracanes Interrupción del Amenaza de fluido eléctrico bomba Deslizamientos Divulgación Tormentas de Incendio Sabotaje arena Nevadas Falla del hardware Fraude Tornado Derrame de Disturbios civiles líquidos Tsunami Error humano Huelga Erupciones Error de "software" Robo volcánicas Ventiscas Interrupción de Vandalismo las telecomunicaciones Fuente: Peltier. Capítulo 4. Edición electrónica. Traducción libre. Las amenazas electrónicas están constituidas por los ataques a las redes de datos por medio de virus, bombas lógicas, caballos de troya, gusanos, y todo tipo de código malicioso. En cuanto a las vulnerabilidades, es importante mencionar que son otro aspecto de los riesgos y se pueden conceptualizar como cualquier debilidad en un sistema o proceso que pueda ser utilizado por un atacante. El tener una vulnerabilidad en sí no comporta riesgo, excepto cuando ella hace pareo con una amenaza. Para explicar mejor esto se puede utilizar un ejemplo. Si usted vive, por 25 decir algo, en un lugar alejado en el estado de Oklahoma, puede dormir sin preocuparse, pues nadie intentará entrar a su casa o la probabilidad es casi inexistente. La vulnerabilidad está allí, pero no hay una amenaza, con lo cual el riesgo es mínimo. Ahora, si usted vive en una ciudad con alto nivel de criminalidad y deja la puerta abierta de su casa, ya sea de día o de noche, con las amenazas que definitivamente sí existen en su entorno, se puede decir con un alto grado de certeza que está en verdadero riesgo o que éste es muy alto. En el caso del aseguramiento de la información, el problema es que muchas veces no se sabe que se tienen vulnerabilidades, pues estas permanecen ocultas hasta que alguien las encuentra y, la mayoría de las veces, quienes lo hacen son los que están al otro lado de la acera, los que amenazan la organización, o individuos dentro la organización, los insiders. La amenaza interna, los insiders En cuanto a las amenazas internas, definitivamente el principal riesgo puede estar en manos de los mismos colaboradores o personal interno de la organización. En inglés el término insider es definido como "alguien que tiene un conocimiento especial o que puede acceder información confidencial de su organización". Ese término es muy común entre los especialistas de la seguridad informática y lamentablemente no existe un término en español que refleje el concepto. Se puede utilizar "interno", "personal interno", "colaborador interno", etc., pero no es tan preciso como el de insider, puesto que un insider es cualquiera que está dentro de la organización pero no siempre será precisamente empleado de ella. Si se habla en términos de insider threat el asunto se vuelve un poco más complejo. Por insider se debe entender: "cualquiera que tenga acceso especial o conocimiento de la organización con el propósito de causar daño a ella". 26 En una película cinematográfica, The Italian Job, se deja escuchar una frase interesante: "yo confío en todos, en quien no puedo confiar es en el diablo que tenemos dentro" (de la organización). Cualquiera de los colaboradores tiene el potencial de causar daño a una organización y no por el hecho de que reciba un salario se han comprado su corazón y su mente, y, como diría Peter Drucker, tampoco se ha comprado su completa lealtad. A veces se hace referencia a estos elementos como "la quinta columna". Peltier deja por fuera una amenaza interna, el espionaje, que es una realidad hoy en día. Para muestra un botón: "7 de julio de 2006 No es de extrañar por tanto que, desde que en 1886 un farmacéutico creara la fórmula secreta de esta bebida, sus rivales hayan intentado encontrar la poción que tanta riqueza ha generado a sus propietarios. Al menos de momento, el secreto mejor guardado de la centenaria compañía, está a salvo pese a la operación de espionaje industrial que ha sufrido y que ha sido abortada gracias a la ayuda de su eterna rival, Pepsi. Tres trabajadores de Coca Cola fueron detenidos por intentar vender a Pepsi la formula secreta por un millón y medio de dólares pero la operación fue desbarata por el FBI. Los detenidos son Joya Williams, de 41 años, ejecutiva de Coca Cola; Edmund Duhaney, de 43 años, e Ibrahim Dimson, de 30 años. Coca-Cola expresó el jueves su "sincero aprecio" hacia Pepsi por su actitud, al tiempo que el portavoz de esta última firma, dijo que "hemos hecho lo que cualquier empresa responsable hubiese hecho; la competencia puede ser fiera, pero debe ser justa". Aunque han sido varios los intentos por desvelar el secreto y el refresco se ha intentado copiar en todo el mundo, la compañía asegura que ninguna de las 27 fórmulas que circulan es legítima, al tiempo que se asegura que desde su origen se ha mantenido oculto un ingrediente, que tampoco en esta ocasión ha sido desvelado. Tomado de Internet: blnews.com/txt/noticia.php?id=131812 S Con solo digitar en GOOGLE "espionaje y la fórmula de Coca Cola" se pueden hallar más de 26.000 enlaces referentes a este tema y si se digita "espionaje industrial" se pueden encontrar más de 255.000; si se busca con cuidado se hallarán historias que relatan cómo los insiders de todo tipo de posición en una empresa están dispuestos a "vender su alma" por unos cuantos dólares. El asunto es sólo encontrar el precio adecuado de cada uno de ellos. Normalmente en las organizaciones se cierran los ojos ante esta verdad: la gente de adentro puede causar grandes daños. Es probable que las razones que se puedan aducir son que se puede caer en la paranoia, o bien, es mejor que nadie se dé cuenta de lo que sucedió, o que la víctima pueda volver a ser victimizada, al igual que como sucede con las personas en el mundo real. Sin embargo, como lo manifiesta Eric Cole, "el verdadero culpable es el atacante, no la víctima" (:5). Cuando se contrata personal en raras oportunidades quienes contratan verifican aspectos fundamentales de los contratados; se aceptan las referencias tal como vienen, sin siquiera llamar e investigar sobre aspectos del comportamiento de quien se contrata; pues esto supondría un costo adicional. Este tipo de errores pueden pagarse muy caro. Ahora bien, el porcentaje de personal con bajos principios o valores no es alto, pero un solo individuo puede causar el desplome de toda una organización. Sólo hay que recordar casos muy sonados en Boeing, Emron y otras, para no ir muy lejos, que son del dominio público. Normalmente, cuando se habla de seguridad informática en una empresa u organización las referencias irán dirigidas a los ataques externos, y en la mayoría de los casos se olvidan los ataques que pueden generarse internamente. 28 Muy a menudo se piden estadísticas que demuestren de dónde vienen los ataques en su mayor proporción: interna o externamente. El asunto es que eso no es de tanta importancia, ya que un ataque es un ataque. Cualquier ataque que se produzca puede causar daño a una organización, dañar su reputación o dejarla fuera del mercado, pues las consecuencias de un ataque, ya sea interno o externo, pueden ser las mismas. El ataque interno puede causar más daño por la siguiente razón: ya está adentro. No debe saltar obstáculos perimetrales y normalmente tiene posibilidades de acceso o aun hasta privilegios para utilizar información clasificada. Si a esto se suma que la mayoría de las organizaciones han decidido facultar ("empoderar") a sus colaboradores al darles más privilegios para utilizar información, dado que uno de los pilares del "empowerment" es precisamente compartirla con todos en la organización, el asunto se torna más complejo. En la medida en que más y más personas pueden tener acceso a información privilegiada o sensible, mayor es la posibilidad de que se produzca un daño. Se puede argüir que se cuenta con personal altamente maduro y de sólidos principios morales. Si se está completamente seguro de eso, es probable que se minimice el riesgo; lo que no se puede garantizar es que haya una solución ideal. El autor de esta tesis ha enseñado el principio del "Síndrome de Judas" por años: "Puedes confiar en 11 de 12, aunque los haya seleccionado personalmente, (pero) si alguien se disgusta te puede vender por treinta monedas de plata o menos". El objeto de esta tesis no es desarrollar contramedidas para garantizar que los insiders no hagan mal uso de la información, pero sí indicar que se debe considerar seriamente este tipo de ataques como una amenaza real, aunque pueda ser tan sólo latente. Se puede encontrar valiosa información sobre este tema en muchos sitios seguros de la World Wide Web. En la siguiente dirección http://www.sei.cmu.edu/publications/documents/04.reports/04tr021/04tr021.html 29 del Engineering Institute/Carnegie Mellon se encontró lo que se describe a continuación: "La motivación de 81% de los "insiders" fue el dinero. 27% de los "insiders" tenían problemas financieros al momento del incidente. Además de los motivaciones financieras, 23% fueron motivados por la venganza, un 15% estaban insatisfecho con la administración, la cultura o las políticas de la organización; 15% buscaban respeto, y había 27% con otros motivos" (Traducción libre del autor de este estudio). El artículo es de gran interés y se invita al lector a revisarlo profusa y completamente. Es interesante resaltar que en 78% de los incidentes mencionados en el reporte los insiders éstos eran usuarios autorizados con cuentas activas en los sistemas informáticos en el momento del incidente. En 43% de los casos los insiders usaron sus propios nombres de usuario y sus contraseñas para provocar el incidente. Esto indica que no rompieron o quebraron la seguridad de los sistemas sino que tomaron absoluta ventaja de sus privilegios. En algunos casos ni siquiera se preocuparon por hacerlo en forma anónima, lo cual puede significar que, o desconocían que podían ser capturados, o estaban "bastanteando" el campo. Para concluir, 26% de los casos citados en el estudio utilizaron las cuentas de sus colegas o equipos que estaban "abiertos", esto es, se dejaron no atendidos con sus sesiones abiertas. Con lo anterior se desea demostrar que un problema fundamental en la seguridad es definitivamente el factor humano, "la capa 8". Con el propósito de dejar allanado el camino para el planteamiento de los indicadores de desconexión y su relación con las amenazas, se proponen a continuación algunas estrategias para lograr mitigar los riesgos a que está sometida la información. 30 Estrategias para hacer frente a las amenazas Las estrategias en este caso deben obedecer a principios fundamentales puesto que las estrategias son las que permiten, por medio de tácticas o actuaciones concretas, la implementación de las medidas del plan de seguridad. Principio del menor privilegio Este principio dicta que sólo se debiera permitir el mínimo acceso que se requiere por parte de alguien para alcanzar su objetivo. Como lo indica Nicholls, "el universo de información puede ser subdividido de manera tal que los individuos sólo reciban acceso al conjunto de información que necesitan para lograr ejecutar su tarea, pero no a la información que no necesitan."(:28) Eso implica que el acceso a un recurso sólo debiera permitirse a personas específicas o a procesos que así lo requieran. Además, que solo tuvieran acceso a la porción de información necesaria para completar una tarea. Y, por supuesto, sólo por el período requerido. La aplicación de una política de este tipo, que tiene una razón de ser fundamental, puesto que no es necesario que alguien de recursos humanos accese información del departamento de informática no relacionada con asuntos de personal. La dificultad estriba en tener que identificar cada documento o párrafo, e incluso frase, que pueda ser accesada por tal o cual individuo, o que no pueda hacerlo. Por otro lado, este principio permite que muchas decisiones en cuanto al manejo de la información sean más sencillas y, por ende, más seguras. Para aclarar la última frase es necesario indicar lo siguiente. Controlar el uso de la información y, en especial, la que es de valor o bien clasificada se puede 31 alcanzar bajo este principio del menor privilegio. Se procura que la información no caiga en manos de quienes no deban tenerla. Ya se resaltó que los ataques pueden venir de dentro de la organización. En este sentido, Andrés menciona: "Las personas son el componente de seguridad más importante. A menudo también son el enlace más débil en una infraestructura de seguridad." (Cap.1, pág. 4, versión electrónica). Además, al limitar el privilegio de acceso a la información se puede prevenir que un atacante pueda llegar fácilmente a ella. Si no se posee una política restrictiva, la información podría estar comprometida y dicho atacante podría tomar toda la información. Este principio también permite llevar un control de quiénes accesan la información que ha sido clasificada o restringida. Este principio no sólo se aplica a los sistemas de información basados en computadoras. Se puede restringir el acceso físico a información privilegiada que no reside precisamente en componentes computarizados. Y también se puede restringir el acceso a lugares dentro de la organización, independientemente de la información que posea. Puede restringirse el acceso a equipos que son parte de la estructura de redes de la organización, por ejemplo, enrutadores, conmutadores o cortafuegos, y así mismo a impresoras o a cualquier otro equipo que no deba ser manipulado por terceros, que nada tiene que ver con los procesos propios del sistema. Defensa en profundidad Este principio es fundamental e indica que no se puede basar la defensa de la información en un solo mecanismo de seguridad; es aconsejable hacerlo por capas o niveles. Ante la eventual falla de uno de los mecanismos entran en acción los contingentes. Si el foso no fue suficiente para impedir el intento de ingresar al castillo, entonces entran en acción los calderos de aceite hirviente; si esto no impide el avance, las piedras o, finalmente, las flechas y lanzas, pueden lograrlo. Si todo 32 esto falla, no quedará más remedio que el enfrentamiento cuerpo a cuerpo. Hay que recordar que aun la defensa bien planificada puede ser violada desde adentro, por la famosa quinta columna. Si un atacante está dispuesto a entrar es probable que lo consiga. Todo dependerá de: los recursos que posea, el tiempo y la disposición de lograrlo. La historia de las grandes batallas documenta en forma amplia cómo pequeñas vulnerabilidades o el exceso de confianza acabaron con la defensa mejor planificada. En definitiva, una estrategia bien pensada bajo este principio puede constituir una barrera formidable en contra de los atacantes. Bajo este mismo principio lamentablemente se aplica aquello de que si el vecino es más vulnerable es probable que el atacante vuelva su vista hacia él. Principio de separación de riesgos Ya en otro apartado se comentó lo que es un riesgo. Hay que recordar que los riesgos son parte inherente al hecho de estar en este mundo. Los riesgos son la antítesis de la seguridad y, por ende, hay un deseo de eliminarlos. Esto no es posible y nadie lo ha logrado. Se podría intentar, mediante un análisis meticuloso y un plan bien elaborado, eliminarlos en la medida de lo posible. Sin embargo, el problema mayor podría ser el costo, comparado con las posibles pérdidas que los riesgos podrían causar. Se puede pensar en un sencillo problema, la posibilidad de que el auto pueda quedarse sin acumulador. Es un riesgo latente. Entonces, como medida para mitigar esa posibilidad, puede tenerse un acumulador de repuesto. Ahora bien, ¿cuál es la posibilidad de que el acumulador se agote y lo haga en los peores momentos? De suceder, ¿no existen otras posibilidades para solucionar el problema?, por ejemplo, llamar al servicio de emergencias y conseguir una unidad de repuesto; o bien, si el automóvil no es automático, darle velocidad al auto y obligar al generador a dar ignición al motor. Se puede tener un acumulador de repuesto, pero si la unidad base no falla es probable que la vida útil de la unidad 33 de repuesto se agote al mismo tiempo que la primera. Se incurrió en un gasto sin sentido. Pueden darse otros ejemplos más sofisticados, los cuales se dejan al ingenio del lector. Los riesgos pueden separarse en riesgos empresariales, de redes, de servidores o de host, o de aplicaciones. Dentro de los riesgos empresariales pueden citarse los de tipo técnico, de carácter financiero, ambientales, etc. En cuanto a los de redes, son aquellos que pueden dejar inútil la infraestructura, ya sea por aspectos físicos o por ataques de denegación de servicios (un tipo de ataque que podría deberse a que se hacen tantas solicitudes al servidor que este colapsa); o porque un atacante logra el control de él. Los riesgos a que puede estar expuesto un servidor son, por ejemplo, que permita el acceso no autorizado al equipo. Los relativos a las aplicaciones es todo aquello que pudiera dejar en riesgo la información o comprometida, a partir de la utilización programas de software especializado o de otros programas aplicables. Una vez analizados los diferentes tipos de riesgos queda claro que todos están interrelacionados. Dependiendo del tipo de riesgo y del impacto que éstos pueden tener en el valor de la información así serán las medidas que deban tomarse para mitigarlos. En el próximo capítulo se plantea lo que se espera del objeto de esta tesis. 34 III. DINÁMICA DE LAS EXPECTATIVAS En la actualidad, dentro del ambiente empresarial es sumamente conocida la separación que existe, tanto en el nivel operativo como en el estratégico del área de sistemas de información o de las tecnologías de la información y comunicación (TIC), con el resto de la organización. Aunque no se utilice el nombre de desconexión, con estudios preliminares y la aplicación de breves cuestionarios se ha podido comprobar que en realidad sí existe dicha problemática. Todos aceptan que hay problemas de alineamiento entre los objetivos de TIC y los de la organización o empresa. Pero la desconexión es más que una falta de alineamiento. La hipótesis propuesta lleva dos grandes orientaciones: la de demostrar que en realidad sí existe una desconexión y la de dejar planteado que dicha desconexión se constituye en una verdadera amenaza o, al menos, en la potenciadora de las amenazas descritas en el capítulo dos, en el que se define el concepto de investigación. Se plantean una serie de preguntas en un cuestionario, que se constituyen en los indicadores de desconexión. Objetivos de la investigación Objetivo general Medir el grado de desconexión entre las TIC y el resto de la empresa, con el propósito de valorar su relación con las amenazas internas y externas a las que está expuesta la información de una organización humana. 35 Objetivos específicos · Evaluar el grado de desconexión que hay en los diferentes sectores encuestados. · Analizar la visión que tiene el usuario administrativo del área de tecnologías de información y comunicación. · Analizar cómo ven los informáticos su papel dentro de la administración · Determinar si existen o no planes informáticos alineados con los planes de la organización Debido a que el siglo XXI se perfila como un periodo en el que el desarrollo humano estará basado en la informática, es necesario emprender esfuerzos para acercar al cada día más creciente departamento de tecnologías de la información y la comunicación (TIC) con el resto de la empresa, para intentar cerrar la brecha que en la actualidad está presente en la mayoría de compañías alrededor del mundo. En el apéndice de este estudio se incluye un listado de todos los indicadores que se utilizaron con el fin de medir el nivel de "desconexión" entre TIC y el negocio, para poder de esta manera dimensionar de alguna manera el efecto mencionado. Metodología Ya que las organizaciones son reacias a admitir que existe un problema en ellas, la metodología empleada para conseguir que se contestara el cuestionario no siguió ningún lineamiento probabilístico, por cual su validez puede ser cuestionada en tanto no se ajustó al método científico. Fue aplicado de manera profesional a aquellas personas de un total de cuarenta instituciones que estuvieran dispuestas a contestarlo. A todas ellas se les garantizó que la 36 información iba a ser procesada de manera sectorial y que no se identificaría a su organización, empresa o institución de manera específica. La encuesta se aplicó en la misma semana y de manera directa. Fue realizada por tres estudiantes de un programa de maestría en administración de la tecnología de una universidad privada, quienes ayudaron a procesar y tabular la información, y también participaron directamente en el procesamiento de ella con sus comentarios, análisis y observaciones, e incluso con sus propias conclusiones, las cuales se tomaron en cuenta para redactar la interpretación de los resultados del capítulo IV. Adicionalmente, se aplicó el mismo cuestionario para ponderar las 15 respuestas. Participaron en el trabajo quince estudiantes del mismo programa en dicha universidad, además de 10 colaboradores más. Con ese segundo trabajo se diseñó un indicador de desconexión total. Es un hecho comprobado que los procesos de negocios en las empresas de este mundo globalizado dependen en gran medida de las tecnologías de la información para operar, pero, como ya se ha planteado, existe un nivel de desconexión de tecnologías de información con el resto de la empresa. Las tecnologías de información y comunicación (TIC) y las áreas de negocio de la empresa a menudo tienen objetivos que no están alineados. TIC focaliza sus esfuerzos en la reducción de costos de mantenimiento y funcionamiento de sistemas, mientras que el negocio necesita que TIC maximice la creación de valor. Cuando existe desconexión de TIC con el negocio es común observar que los ejecutivos de TIC se definen como "proactivos", mientras que los ejecutivos en las unidades del negocio observan a sus colegas de TIC como "reactivos". En el caso contrario a la desconexión de TIC con el negocio, está claro que esta área impulsa a la organización y maximiza los beneficios; dicho de otro modo, genera valor. 37 Tradicionalmente la función de TIC fue considerada como un área separada del negocio, responsable de proveer servicios básicos como son: servicios de red y desarrollo de sistemas. Hoy se puede decir, sin lugar a dudas, que las tecnologías de la información y la comunicación son fundamentales para la gestión de los recursos de la empresa. Son indispensables para la gestión de la relación con los clientes "CRM" y claves para la gestión del conocimiento del negocio y para el crecimiento e innovación continua. En la actualidad la vinculación entre el cuadro de mando integral (CMI, conocido por sus siglas en inglés como BSC) y el negocio constituye un método fuerte para alinear las TIC con toda la empresa. La relación entre los objetivos del negocio con sus métricas, y la relación de los procesos de TIC con sus objetivos y métricas, es de gran importancia para disminuir la desconexión de las TIC con el negocio. Finalmente, muchos responsables de TIC están utilizando el modelo de CMI para acelerar su proceso de generación de valor, y convirtiéndose en socios de la estrategia del negocio, sin perder de vista el desempeño requerido en el uso de los recursos. Conformación de temas Para efectos de establecer correlaciones e indicadores cruzados, se establecieron cinco grupos, compuestos cada uno por una serie de preguntas, las cuales se muestran en el apéndice I, que responden a los objetivos indicados. Los grupos fueron los siguientes: 38 Planificación estratégica En este apartado se agruparon una serie de preguntas dirigidas a la elaboración, divulgación y actualización del plan estratégico informático (PEI), con fines de determinar la participación colaborativa de la empresa en su desarrollo y, por ende, establecer conexión o desconexión mediante este instrumento. Alineación con niveles superiores Con este tema se conoció la ubicación del gerente con respecto a las TIC en términos de su organización, lo cual incide positiva o negativamente en la conexión o desconexión entre TIC y el resto de la organización. Divulgación del PEI Se midió el nivel de conocimiento del PEI por parte de la organización, en términos de su divulgación y la participación de los diferentes niveles en su construcción y seguimiento. Coordinación TIC usuarios Este es un factor importante en materia de conocer grados de conexión o desconexión. El liderazgo de los patrocinadores, especialmente en el desarrollo de proyectos, es fundamental para su conexión con las TIC y para el aporte que estas soluciones brinden a la organización. Servicio al cliente 39 El servicio al cliente mide en mucho si hay desconexión o no, por medio de la capacitación que se les haya suministrado, el lenguaje en que se comuniquen técnólogos informáticos y administradores, la claridad con que se solicita y presta el servicio, así como la prioridad con que se atiende. Una vez abordado este marco conceptual fundamental para el planteamiento adecuado de la investigación se procederá ahora a presentar los hallazgos de la investigación, mediante la metodología utilizada. Se presentan gráficos que resumen las encuestas realizadas, por sector, con breves explicaciones de cada uno, aunque los cuadros se diseñaron para que fueran lo más explicativos posible. 40 IV. RESUMEN Y ANÁLISIS DE LOS RESULTADOS Alineamiento del PEI con el PEE El alineamiento del plan estratégico informático (PEI) con el plan estratégico de la empresa (PEE) puede lograrse de dos maneras, en forma pasiva o en forma activa. La forma pasiva consiste en definir el PEI a partir de la estrategia corporativa y las necesidades concretas de cada unidad de negocio. Esa metodología es adecuada "cuando si bien las TIC constituyen un soporte importante para la estrategia del negocio, no son en sí mismas una fuente de ventaja competitiva ni tienen el potencial de convertirse en una pieza fundamental de la estrategia competitiva a mediano plazo". (Sandra Sieber y otros: 34) La metodología pasiva aparece cuando en una organización se dispone de muy pocos sistemas de información, están disgregados y la unidad de TIC soluciona los problemas conforme se hacen presentes. En forma activa implica que el PEI se desarrolla en paralelo con el desarrollo del PEE, e indica que la unidad de TIC participó junto con el personal de la empresa mientras se desarrollaba el PEE. Esto permite que se alcance un mayor entendimiento de las necesidades del negocio en materia de tecnología como respaldo fundamental de todos sus procesos. En ambos casos la participación de la alta gerencia es fundamental. Del análisis del gráfico 1 se deduce que, según las empresas encuestadas del sector público, 95% tienen un plan estratégico "empresarial" y menos de 62% cuentan con un plan estratégico informático. Lo sorprendente es el sector financiero analizado, que cuenta tanto con un PEE y con un PEI en su totalidad. Esto puede verse incluso como normal, dada la competencia que se desarrolla en ese sector, además de las regulaciones y lineamientos de la Superintendencia General de Entidades Financieras (SUGEF), que obliga a que estos planes se 41 desarrollen. Con esta información no se puede deducir si los planes están alineados o no. Los próximos gráficos aclaran si existe alineamiento o no. Gráfico 1 ¿Se cuenta con PE y PEI? Otros Industria & Manufactura Servicios Financieros PEI PE Instituciones Públicas 0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 60.00% 70.00% 80.00% 90.00% 100.00% Instituciones Públicas Servicios Financieros Industria & Manufactura Otros PEI 61.11% 100.00% 75.00% 50.00% PE 95.00% 100.00% 100.00% 80.00% Fuente: Elaboración propia para la investigación Alineamiento del PEI con el PEE En el cuestionario se incluyeron preguntas que permitieron medir el grado de alineación del PEI con el PEE de los diferentes sectores considerados. En el gráfico 2 se refleja una participación muy baja del área de TIC en la elaboración del PEE. Ante la pregunta de si la unidad de TIC participa en la elaboración del PEE, en el caso de las instituciones financieras las respuestas fueron positivas en 85%. Si se vuelve al gráfico anterior se puede observar que este tipo de instituciones tienen PEI y PEE en su totalidad. Esto indicaría al menos que hay una falta de alineamiento de 15%, aunque el hecho de que haya 85% que manifestaron que sí participaron tampoco es indicativo de que cuando se elaboró el PEI éste se hizo en plena concordancia con el PEE. 42 Si bien es cierto el PEI no debe desarrollarlo el gerente de TIC, o sus colaboradores, también lo es que si no participaron en el desarrollo del PEE difícilmente van a determinar si el PEI está o no alineado con el PEE. Los otros sectores muestran la misma tendencia de poca participación. La pregunta siguiente sí es un indicador de que hay falta de alineamiento. Al consultarse si el PEI está alineado con el PEE, en el caso del sector público, manifestaron que está alineado sólo en 83,64%. Hay que notar que en dicho sector solo 61% cuentan con un PEI; por lo tanto, sí existe una desconexión, pues hay una relación directa entre la falta de PEI y la falta de alineamiento. En el sector financiero, que cuenta con 100% de PEI y PEE, existe una falta de alineamiento de 20%. Independientemente del nivel de desconexión, es un problema que debiera ser analizado cuidadosamente por esas instancias, dado que en este sector la intensidad de la rivalidad es muy alta, las fusiones están a la orden del día y el ingreso e interés de fuertes grupos financieros bancarios son notorios. En el mes de octubre del 2006 el Scotiabank de Canadá adquirió el Banco Interfin, el banco privado nacional costarricense con los mayores activos y gran solidez e imagen. También cambió de dueños un tiempo antes el Banco Banex, adquirido por un grupo panameño, que a su vez fue adquirido, en el 2006, por un banco de Hong Kong. Independientemente de lo anterior, en la industria financiera los factores claves del negocio son credibilidad y confianza, índice de intermediación, índice de morosidad y servicio basado en una fuerte plataforma tecnológica. Entonces, la falta de alineamiento entre el PEI y el PEE es o puede ser un problema grave, puesto que el que una empresa o institución no esté desarrollando competencias en sus factores claves de negocio les puede dejar fuera, con el agravante de que pueden arrastrar a todo el sector a problemas insospechados. Es interesante notar que el sector "otros" manifiesta que el grado de alineamiento es de 90%. En este grupo se incluyeron varias universidades estatales y privadas, además de líneas aéreas. Aunque por limitaciones del estudio no se presentan los datos en forma separada, sí se observó que en las 43 universidades se da un alineamiento casi de 100%, lo cual es lógico que se presente en la academia. En las líneas aéreas fue de 100% y al efectuar la investigación se pudo constatar que existe un verdadero alineamiento, pues cuentan con instrumentos adecuados, como el cuadro de mando integral y otro tipo de metodologías con indicadores adecuados, que garanticen que las estrategias tecnológicas responden a las estrategias del negocio. Gráfico 2 Alineación de PEI al PEE Otros Industria & Manufactura Servicios Financieros ¿Participa TI en el desarrollo del Plan Instituciones Públicas Estratégico de la empresa? ¿Está alineado el PEI con el Plan Estratégico de la empresa? Instituciones Servicios Industria & Otros Públicas Financieros Manufactura ¿Participa TI en el desarrollo 64.21% 85.00% 63.33% 70.00% del Plan Estratégico de la empresa? ¿Está alineado el PEI con el 83.64% 80.00% 74.29% 90.00% Plan Estratégico de la empresa? Fuente: Elaboración propia para la investigación Ubicación jerárquica y nivel de auditoría informática En la década de los setenta el profesor de Harvard Richard Nolan presentó una teoría que se conoce con el nombre de teoría de las etapas de Nolan, la cual se tratará en el capítulo de análisis general, pues aporta información que puede ser relevante para entender aspectos de la desconexión. En el sector de la industria y la manufactura la ubicación del gerente de TIC en un muy alto porcentaje (87,5%) no está adscrita al máximo jerarca, lo cual le 44 dificulta una mejor relación para posicionar las TIC como parte de la cadena de valor y para desarrollarla en función del negocio; y una situación similar se da en las instituciones públicas (50%). Este es un factor que coadyuva en la desconexión. De acuerdo con la teoría de las etapas de Nolan, estas instituciones estarían en la etapa de contagio, pues es en esta etapa en la que el departamento de sistemas de información es promovido y pasa a depender de la gerencia de finanzas o de la contraloría, pero no de niveles superiores, como la gerencia general. Si en instituciones que se consideran maduras o con relativa permanencia en el mercado el departamento de sistemas aún se encuentra dependiendo de los niveles administrativos inferiores, y esto puede ser reflejo del grado de desconexión que existe en la organización. En las instituciones de corte financiero 100% de los directores de TIC reportan a la alta dirección; pero, como se verá adelante, tampoco es indicativo de que la alta dirección esté "alineada" con la tecnología. De hecho, 10% de instituciones que no tienen un lugar en la agenda para asuntos de tecnología. Entonces, si 100% de las instituciones financieras tienen un PEI, hay un alineamiento de 80%, y 100% si reportan a altos niveles y no están presentes en la agenda gerencial. Entonces existe, aunque en menor grado con respecto a los otros sectores, una desconexión entre ambos mundos. Es mucho más grave, y así se preveía, y fue la razón de plantearse esta hipótesis para esta tesis de grado, que en los otros sectores la desconexión sería mayor. Excepto para el sector financiero, la auditoría de sistemas apenas si alcanza 56%, en el mejor de los casos. Este tipo de procesos es fundamental que se realicen constantemente en las empresas, dado que el activo más valioso en las organizaciones es la información, y, como ya se ha mencionado en los primeros dos capítulos, es responsabilidad de todos que dicha información esté salvaguardada de mal uso. La desconexión se "alimenta" de la falta de auditorías y, lo que es más grave, como se verá más adelante, puede propiciar que se 45 generen vulnerabilidades y que las organizaciones sufran ataques que pongan en peligro sus sistemas.