Durante ICANN52, numerosos miembros de la comunidad preguntaron sobre el estado de los servicios digitales de la ICANN. Asimismo, en respuesta a una de mis publicaciones en el blog, algunos de ustedes se reunieron con Chris Gift, Vicepresidente de Servicios Digitales, y conmigo a fin de comprender con mayor profundidad el estado de estos servicios y los planes al respecto. Y en un anuncio reciente, la ICANN dijo que compartiríamos más información sobre nuestras iniciativas plurianuales de "fortalecimiento de los servicios digitales". Escribo este blog a fin de iniciar este proceso de mantenerlos a ustedes —nuestra comunidad— informados de nuestras numerosas actividades de TI actuales y planificadas para que puedan participar en ellas.
Los cinco "módulos" de facilitación de TI
Para ayudar a establecer una buena línea de base, repito parte de un mensaje de un blog/vlog anterior. En términos generales, la ICANN ofrece cinco módulos de activos facilitados por TI en forma de "servicios digitales".
- Servicios web orientados a la comunidad
- Servicios de partes contratadas
- Servicios técnicos para la comunidad
- IANA services
- Servicios de operaciones orientados al personal
Como podrán imaginar, cada uno de estos es tratado en forma muy distinta, especialmente desde una perspectiva de seguridad de TI. En total, tenemos más de 80 servicios digitales que benefician a la comunidad, a la Junta Directiva y al personal de la ICANN. He hablado y escrito sobre los datos que estos servicios recopilan, cotejan y depuran, y he caracterizado esta información en tanto elementos valiosos que la ICANN protege. Usando y ampliando una metáfora bancaria, la ICANN en su conjunto es la "ventanilla de depósito de datos" y nosotros —en TI— somos los custodios físicos de esos datos. Esto es un fondo público que tomamos muy en serio.
Auditorías anuales externas en curso
A fin de asegurarnos de que estamos protegiendo en forma adecuada estos valiosos elementos, en junio-julio de 2014 invitamos a una compañía líder y mundialmente reconocida a auditar de pies a cabeza todos nuestros activos de TI. La metodología que adoptamos y utilizamos para evaluar nuestros sistemas es el Marco de Controles Críticos de Seguridad 20 (anteriormente SANS Institute). Seguiremos utilizando este marco durante varios años más para que la ICANN pueda examinar sus activos de TI en un "espejo" de talla mundial y ver de qué manera nuestras iniciativas cambian su "imagen" a lo largo del tiempo. También me complace decir que esta misma compañía fue contratada para realizar auditorías anuales periódicas y actualmente está evaluando el progreso que hemos logrado en los últimos 12 meses, y pronto tendremos los resultados.
Los resultados de la evaluación de 2014 mostraron que nos fue bien en algunas áreas y que había elementos que mejorar en otras. Más valiosa que esta evaluación general fue una lista clara de áreas específicas en las que pudimos centrar nuestra atención de inmediato e introducir mejoras rápidamente.
Tomamos cada una de las recomendaciones y las ordenamos de diversas maneras. Las clasificamos en una matriz de importancia/urgencia; identificamos cada una con un nivel de esfuerzo y con el coste real previsto. Luego las ordenamos por prioridad.
Esto dio como resultado una hoja de ruta de 16 proyectos para el año fiscal 2015 y parte del año fiscal 2016. Estos proyectos son nuestra prioridad número uno, y nueve de ellos han sido finalizados, entre ellos: detección avanzada de intrusiones en servidores Windows, implementación completa de soluciones para detección de intrusiones (IDS) y soluciones para la prevención de intrusiones (IPS), IDS perimetral, supervisión centralizada para administración de revisiones, administración de software de servidores programada periódicamente y monitoreada, y monitoreo de cuentas con privilegios, por nombrar solo algunos. Estos proyectos son importantes y han comenzado a resolver algunas de las necesidades más acuciantes de la ICANN. También hay muchos otros proyectos actualmente en curso.
Implementación de Salesforce.com
Por otra parte, paralelamente la ICANN ha contratado los servicios de una firma de especialistas para revisar la implementación de Salesforce.com: la base de datos, la base de códigos y la configuración. La revisión destacó varias áreas en las que podríamos fortalecer nuestra plataforma. Desde entonces, hemos lanzado varias revisiones de software para resolver las posibles vulnerabilidades que fueron identificadas. Esperamos completar todo el trabajo antes de que finalice el año calendario 2015. Trabajaremos con los usuarios de estas plataformas a fin de asegurarnos de minimizar la interrupción del servicio, mientras, a la vez, mejoramos la seguridad.
Recientemente, la Junta Directiva de la ICANN aprobó fondos para contratar firmas similares para revisar la base de códigos utilizada en todas las plataformas de servicios digitales de la ICANN. Luego de ello, rápidamente la ICANN contrató los servicios de dos de estas firmas. Su tarea será revisar una o dos plataformas (incluidos todos los servicios que alojan) de pies a cabeza y trabajar con nosotros para resolver cualquier cuestión que pudiera salir a la luz. Una vez finalizado esto, pasaremos a otras dos plataformas. Y así sucesivamente... hasta finalizar.
Preparándonos para las amenazas a la ciberseguridad
Paralelamente, en un tercer frente, el personal de la ICANN ha realizado una capacitación obligatoria en concientización sobre ciberseguridad. Se ha hecho un "seguimiento" de la capacitación con pruebas de evaluación, supervisadas y revisadas periódicamente. Como resultado de esta iniciativa, el personal de la ICANN ahora está mensurablemente más alerta y consciente de los vectores de amenazas. Para afianzar aún más lo aprendido, la ICANN contrató los servicios de una firma especializada en ingeniería social. El trabajo de esta firma está señalando otras áreas específicas en las que se requieren acciones de remediación adicionales (que se están implementando).
La ICANN —como cualquier otra organización de alto perfil— es vulnerable a los ataques, especialmente dado el escenario de amenazas informáticas globales y en aumento. No podemos controlar quién nos ataca y cuándo. PERO... podemos elegir qué armadura usar para defendernos cuando nos ataquen.
En este sentido, el Equipo de Respuesta ante Incidentes Informáticos (CIRT) de la ICANN contrató a una firma de especialistas en la materia para que determinados miembros del personal realicen una serie de ejercicios de simulación a fin de optimizar nuestros ritmos de respuesta y prepararnos mejor para reaccionar ante futuros incidentes.
También estamos utilizando técnicas de análisis de escenarios para elaborar, refinar y ejecutar planes de recuperación en casos de desastre. Tal como sucede al asegurar una casa contra intrusos, esto no es un ejercicio que se haga por única vez. Por el contrario, se trata de un ejercicio razonado, con la implementación de planes y programas para reforzar sistemáticamente nuestras defensas. Como con todo buen plan, revaluaremos periódicamente nuestro plan y ajustaremos las líneas de base según sea necesario.
Ahora tenemos una hoja de ruta de TI específica —respaldada por un presupuesto sustentador y recursos humanos adecuados— para el año fiscal 2016 y el año fiscal 2017. Estamos preparados para ejecutar. Pueden consultar nuestros planes en el Plan Operativo y Presupuesto para el Año Fiscal 2016.
Asimismo, periódicamente informamos al Comité de Riesgos de la Junta Directiva (BRC), y la actualización de TI es actualmente un ítem pendiente en su agenda. Su participación ha sido invalorable para obtener orientación, los recursos necesarios y la tracción específica que se requieren para ejecutar el extenso programa de seguridad informática con que hoy cuenta la ICANN.
Tengo planeado compartir cada tanto nuevas perspectivas sobre nuestro progreso y sobre nuestros planes futuros. Si tienen alguna sugerencia o alguna idea, compártanla conmigo escribiendo a ashwin.rangan@icann.org. Mejor aún, si tienen pensado asistir a ICANN53 en Buenos Aires, podemos reunirnos y charlar.
¡Gracias!
