ISACA: ”Digital Trust es una actitud, una confianza en los sistemas de información”

Hace unas semanas, Silicon cubrió el evento internacional de ISACA sobre Digital Trust en Roma, donde tuvimos la oportunidad de entrevistar a Chris Dimitriadis, director de estrategia global de ISACA, para conocer en profundidad el framework.

En esta ocasión, Ramsés Gallego, director internacional de tecnología de CyberRes, nos ha concedido una entrevista para hablar sobre Digital Trust, el último framework lanzado por ISACA. Para realizar esta entrevista, Gallego interviene en calidad de evangelista de ISACA, empresa donde ha ocupado diferentes cargos, entre ellos, vicepresidente internacional en el consejo de administración de la compañía.

—¿Cómo define Ramsés Gallego Digital Trust?

Digital Trust es una actitud. Digital Trust es la confianza en los sistemas de información. Confianza que, por otra parte, siempre es subjetiva. Uno es confiable porque otros deciden entregarle la confianza. Eso me parece, en el caso de Digital Trust, completamente instrumental. Yo puedo decir que mi compañía es superconfiable, pero a ojos de un tercero, las acciones que haces, los procesos que tienes, cuán robusta y sólida es la imagen es absolutamente clave. Respondiendo a tu pregunta: La confianza en los sistemas de información y en las transacciones, de tal manera que percibamos que son robustas y sólidas para merecer la confianza.

—El nuevo framework Digital Trust está basado en frameworks anteriores como el COBIT 2019. ¿Cómo se estructura este conjunto de recomendaciones?

COBIT 2019, en sus diversas interacciones, COBIT versiones 1, 2, 3, 4, 4.1. Ahí decidimos cambiar la numeración. Hubo otros frameworks llamados RiskIT, marco de trabajo dedicado a los riesgos de la tecnologías de la información, y el VAL IT, que era el valor de las tecnologías de la información. Todos ellos fueron unidos bajo COBIT 2019.

COBIT 2019, del cual soy coautor, fue pensado para ser personalizable. Uno no abraza este framework en su totalidad. Si quiere, si. Pero su belleza radica en que es posible coger los procesos que quieras, de forma independiente. Es en este punto donde, en ISACA vimos la oportunidad para moldearlo, personalizarlo y cogerlo como base para el framework de Digital Trust.

¿Cuál es la arquitectura de Digital Trust? Tiene que ver con disponibilidad, con ética… Para ser confiable uno tiene que ser transparente y tener calidad en los procesos, tiene que ser íntegro en esos procesos. Con lo cuál, todo estos valores forman la manera en la que el ecosistema es entendido como algo sistemático (seguir procesos y procedimientos) y sistémico (que pertenece a un todo). Si el ecosistema cree y transmite calidad, disponibilidad, ética, responsabilidad, transparencia, integridad,.. merece la confianza. De ahí Digital Trust, viniendo de COBIT 2019.

—Estamos en una época de transformación digital de negocios y empresas, ¿cómo se consigue integrar el framework de Digital Trust en una empresa?

Primero hay que tener la voluntad inequívoca de ‘no solo digo que soy confiable, sino que lo voy a demostrar’. Esta es la fase de aceptación. Después, viene la fase de formación y de comunicación. Si mis procesos son robustos, sólidos, fiables y confiables, los clientes vendrán y verán, no solo que tengo un buen servicio, sino que, además, dispongo de doble factor de autenticación, integración con diferentes pasarelas, federación con los servicios robustecidos. Entonces, ¿cómo abrazan las compañías Digital Trust? Aceptándolo, abrazándolo, comunicándolo. Al final, la manera en la que eres percibido es la que dirá si merecemos o no merecemos Digital Trust.

El COBIT 2019 se centraba en el gobierno de la empresa IT. Este macroframework consistía en frameworks destinados a distintas áreas de la empresa. Existen COBIT 2019 para riesgos, para service management, para privacidad.., con estas divisiones del marco de trabajo permite personalizarse para ciertos entornos.

—¿Por qué el gobierno de la empresa digital se sitúa en el corazón de la confianza digital?

El buen gobierno de la empresa digital se sitúa en el corazón de ética, disponibilidad, transparencia, métricas.., ¿Cuántas veces medimos temas como la reputación o la ética? Es fundamental. El buen gobierno se sitúa en el corazón de Digital Trust por que es diferente gestionar que gobernar. El set de responsabilidades de gobierno de la empresa IT es muy diferente de la gestión, y COBIT 2019 ya diferenciaba entre gestión y gobierno. Incluso, el framework también habla de cómo se recluta a la gente, de retención del talento. Que la confianza digital también tenga un aspecto de personas, transacciones, de infraestructura y, por supuesto, de tecnología me parece brillante.

—¿Por qué en ISACA consideráis que Digital Trust está en el ADN de la relaciones en la era digital?

Esas transacciones tienen que ser íntegras, robustas, sólidas.., algunas se hacen machine to machine ya que vivimos en un mundo de machine learning. Al final, somos las personas las que confiamos en las personas. Las personas entregamos la confianza. Normalmente, una máquina confía por que el algoritmo se lo dice o no se lo dice. En tecnología se conoce como “handshaking” lo que hacen las máquinas, pero las personas confiamos por que nos parece confiable, me parece un experto que sabe de lo que habla. En el ADN de todo esto están las personas, somos las que entregamos confianza.

Por esta razón ISACA ha estado muy acertada en emplear el término Ecosistema, porque además de englobar desarrolladores, nube, plataforma, redes sociales, dispositivos, móviles.., también incluye las transacciones, que al fin y al cabo, se hacen “human to human”. Las personas entregamos la confianza. Digital Trust es subjetiva por naturaleza. Yo decido si confío en un banco u otra empresa.

—Desde ISCA creéis que la privacidad es un pilar fundamental de la confianza. ¿Por qué?

Simplificando lo que voy a decir, en cualquier compañía hay tres pilares fundamentales: identidades, datos y aplicaciones. Cuando Digital Trust habla de responder a las preguntas de ¿quién tiene acceso a qué, a qué datos se accede, y qué aplicaciones se emplean para el acceso? y más preguntas instrumentales como ¿durante cuánto tiempo?¿Con qué profundidad? ya tenemos datos e identidades cubiertas. Después, que las aplicaciones sean suficientemente compactas, robustas, sólidas, coherentes y consistentes. Ese es el ecosistema que al final trasladamos desde el framework de ISACA.

Si yo como usuario de cualquier tipo de negocio tengo la percepción de que las identidades, los datos y las aplicaciones de esa empresa merecen mi confianza, tengo un acercamiento inequívoco al Digital Trust. Si una empresa cuenta con aplicaciones seguras frente a ciberataques, datos cifrados, tokenizados y encriptados, y se controla quién tiene acceso a qué, es la aproximación terrenal al framework de Digital Trust.