GTranslate

Arquitecturas de seguridad y sistemas complejos

Convergence polychrome (cité de l'architecture et du patrimoine)

Uno de los mayores impactos de las tecnologías de la información se verifica en el comercio electrónico y, por extensión, la sociedad red. La revolución empezó por la transformación en bits de la información. En efecto, el comercio electrónico ha modificado los hábitos de consumo, a la vez que produce cambios sustanciales en los medios de pago tradicionales. A modo de ejemplo, sólo tenemos que observar el crecimiento de plataformas disruptoras como PayPal o Square.

 En este contexto, como resulta previsible con cualquier cambio revolucionario en el ámbito computacional, el tema de la seguridad es un elemento crítico tanto a nivel de infraestructura o aplicaciones como transaccional. La presente entrada de bitácora reflexiona sobre algunas de las tendencias que se observan en ámbito de comercio electrónico (no obstante, la Cyber Intelligence Sharing and Protection Act, más conocida como “CISPA”, no forma parte de este análisis), y en especial, la problemática relativa a la seguridad informática en un contexto de redes abiertas y computación en nube.

 En Internet nos encontramos con transacciones en las que las partes se conocen, así como, más frecuentemente en las plataformas de comercio con consumidores (B2C, en su acrónimo en inglés) versus las plataformas destinadas a operadores económicos (B2B, en su acrónimo en inglés), transacciones que se realizan entre “desconocidos”. No obstante, hay que precisar que las redes sociales han modificado parcialmente dicho escenario. En las plataformas referidas, los costes transaccionales son reducidos. Esa tendencia fue avanzada de forma preclara por Ronald Coase en su ensayo “The Nature of the Firm” [pdf] (1937), en el que argumentaba que si los costes transaccionales se pudieran reducir, más actores económicos -no sólo empresas- incrementarían el número de relaciones negociales.

 Internet es un sistema complejo. Si bien es extremadamente popular y, entre otros efectos, ha minimizado los costes transaccionales y el rol de los intermediarios, más allá del estado de la seguridad corporativa, todavía permanece la percepción comercial de que las normas no protegen lo suficiente la actividad económica en red. Aunque visto desde otra perspectiva, ¿no será más bien que las empresas desconfían del estado de la tecnología en términos de seguridad informática?

Abordamos entonces uno de los temas claves del comercio electrónico: el de la seguridad en un contexto de web social y móvil, sin olvidar la nube ("cloud computing"). En principio, se da por sentado que el medio utilizado es inseguro. En estos casos, se desarrollan sistemas de protección como la encriptación o transacciones electrónicas en entornos seguras que son incorporados al software ofrecido para cada servicio.
 
Parece evidente que el comercio electrónico requiere la implementación de arquitecturas y procesos de seguridad eficaces. En este sentido, el marco legal actual fomenta la incorporación de medidas de seguridad en ámbito de comercio electrónico y prestación de servicios de la sociedad de la información (a modo de ejemplo, la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal [pdf] o la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico). 

 Un análisis de riesgos conceptual nos permite delimitar los riesgos asociados al procesamiento de datos como puedan ser la pérdida o difusión no autorizada de información de clientes, transaccionales o, incluso, de negocio. Como consecuencia de ello, la legislación vigente obliga a los prestadores de servicios de la sociedad de la información e intermediación a adoptar medidas técnicas y organizacionales que garanticen la confidencialidad, integridad y disponibilidad de la información, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, la minería de datos o métricas como Google Analytics

 Estas medidas deberán garantizar inter alia la segmentación del tratamiento de datos según perfiles, la prevención de alteraciones o pérdidas de los datos e informaciones, y la protección de procesos frente a manipulaciones no autorizadas. En este sentido, la operativa más eficaz para focalizar la seguridad informática desde las perspectivas de eficiencia y costes, es diseñar arquitecturas de seguridad, comenzando en el ámbito conceptual o fase de diseño y, posteriormente, en el de la ejecución "física" o implantación.

 Asimismo, parece de sentido común que las plataformas configuren de forma integrada arquitecturas legales que cumplan con todos los requisitos establecidos por la legislación vigente y asimismo añadan una capa de seguridad. Las cuestiones acerca del cumplimiento legal como la de retención de datos son requisitos relacionados con el almacenamiento impuestos tanto por la legislación de facturación electrónica, así como la legislación de firma electrónica y comercio electrónico.

Por todo ello, parece importante que al mismo tiempo que se invierte en arquitecturas tecnológicas de seguridad, se implementan políticas de adquisición de hardware y calidad del software, y se fijan acuerdos de nivel de servicio (SLA, en su acrónimo en inglés), se enfoque el cumplimiento de la legislación vigente como un arma competitiva y de valor añadido frente a la competencia, a fin de incrementar la confianza de los clientes, minimizar riesgos legales, garantizar la seguridad del negocio, y reducir costes en concepto de pólizas de seguro de responsabilidad civil. 

 En gran medida, el éxito de cualquier iniciativa empresarial de carácter tecnológico dependerá del grado de seguridad de sus sistemas o arquitecturas de seguridad.

Nota: Imagen de Jean Pierre Dalbéra bajo una licencia creative commons Attribution 2.0 Generic (CC BY 2.0).