Cultura de seguridad de la información. Custodio de la ventaja competitiva empresarial

Hablar de una cultura de seguridad de la información en el contexto de una sociedad altamente conectada, de información instantánea, con movilidad permanente y exigente de nuevos servicios tecnológicos, es hablar de un blanco móvil en un escenario dinámico, es decir, el desafío de crear valor desde la protección de los activos de información, haciendo parte de las exigencias de los mercados emergentes donde la velocidad de ingreso, la oportunidad del producto y las ventajas superiores de los servicios marcan la diferencia cuando de crear una experiencia diferente se trata.

La seguridad de la información como función de cumplimiento estratégico de una organización, debe ser la custodia de la esencia del tratamiento de la información, motivando la protección de aquello que importa a la empresa, con el fin de preservar la ventaja competitiva de la organización y su posición privilegiada en un mercado. En este sentido, el fortalecimiento de la cultura de seguridad de la información, se convierte en un esfuerzo dirigido desde la misma estrategia corporativa, que leído en clave de objetivo estratégico de negocio, significa asegurar que las decisiones que se toman se ajustan al cumplimiento de una declaración de cuidado y protección de aquello que nos diferencia y hace que seamos valorados en los mercados.

En este sentido, la inversión en la cultura de seguridad de la información, es equivalente a los esfuerzos que las organizaciones actuales hacen alrededor de temas tan relevantes como ética, lavado de activos, corrupción, financiación del terrorismo, entre otros, los cuales en últimas buscan hacer más consciente a las personas en las organizaciones de los riesgos a los cuales se encuentra expuesta a diario la empresa, como mecanismo de prevención frente a posibles fallas o retos regulatorios que pueda enfrentar la organización en el tratamiento de su información o la de terceros en su custodia.

Como quiera que la cultura de seguridad de la información describe un conjunto de creencias, prácticas, símbolos, rituales y valores alrededor del tratamiento de la información que definen que es importante en el ejercicio de protección de la información, es preciso establecer cuándo esta mezcla homogénea de condiciones sociales y humanas se convierte en un apalancador de la estrategia corporativa y cuándo se funda como un inhibidor de las potencialidades de la empresa frente a su entorno de negocio.

Una cultura de seguridad de la información que se encuentre enraizada dentro de los valores corporativos y se haga realidad en los comportamientos de la empresa, es decir, se practique desde aquello que nos interesa proteger y que es relevante para la toma de decisiones estratégicas, es una cultura que previene a la organización de actuaciones ilegales, de responsabilidades civiles frente a daños, de reclamaciones de sus grupos de interés y de reclamos por violaciones de políticas o compromisos voluntariamente adquiridos por la empresa.

En este sentido, la cultura de seguridad de la información protege la reputación y el valor mismo de la organización toda vez que en el ejercicio sistemático de comportamientos íntegros respecto del tratamiento de la información, se entiende a nivel corporativo que una actuación inadecuada puede tener consecuencias que afecten las relaciones de la empresa tanto dentro como fuera de ella. Esto es, comprometer el buen nombre de la corporación en el futuro inmediato degradando su reconocimiento empresarial, afectando la confianza de los terceros para hacer mejores negocios con ella.

Una cultura de seguridad de la información así expuesta y fundada desde el ejercicio de estrategia corporativa no tendrá otro efecto que el fortalecimiento de la organización en su sector de negocio, el desarrollo de un liderazgo explícito ante sus competidores y el reconocimiento de su entorno como jugador decidido y comprometido, no solamente con el buen tratamiento de la información, sino con la búsqueda del bien común como declaración general de todas sus actuaciones.

Cuando desarrollamos una cultura de seguridad de la información fundada exclusivamente en reglas y castigos por violaciones a las mismas, generamos un ambiente de temor, de desconfianza y de “encubrimiento de los errores”. Si bien, es necesario adelantar procesos disciplinarios y sancionatorios cuando se advierte una violación crítica frente al tratamiento de la información, que termine alterando una relación de negocios o impactando una futura, es claro que el fortalecimiento de los valores frente a la información y el liderazgo con el ejemplo, son factores determinantes para movilizar los esfuerzos de transformación de los comportamientos adecuados para proteger la información.

Una cultura de seguridad de la información que solamente busca culpables o violadores de las reglas, no podrá incorporarse como fuente de valor para la estrategia de la empresa, sino como factor que limita y compromete una gestión efectiva de la protección del valor de los activos críticos de información. Esto se presenta dado que la cultura de la represión y castigo en el mediano plazo genera “antecedentes negativos” que disuaden a futuros agresores de las políticas en sus intenciones, no por convencimiento de la importancia del tema, sino por el miedo a la sanción, lo que claramente no anima una cultura de protección saludable, sino una cultura de protección perversa que sólo espera el comportamiento inadecuado para actuar.

Así las cosas y como quiera que se hace necesario integrar las reglas, estándares y procedimientos para el tratamiento de la información, así como los valores y comportamientos íntegros frente a su protección, la cultura de seguridad de la información debe transformarse de ese conjunto de prácticas necesarias para asegurar el cumplimiento de una norma, a una forma de hacer negocios de manera efectiva y confiable, a una lectura estratégica de metas corporativas que abre nuevas posibilidades con nuevos jugadores del entorno.

Conscientes que nuestro entorno actual demanda compartir información y mantener relaciones informadas de manera permanente, desarrollar una cultura de seguridad de la información basada en reglas no será la mejor opción por lo anteriormente anotado, sino en una que conjugue las reglas, los valores y la cultura, así como aquello que hace única la relación entre las partes.

Entender estas tres condiciones base para elaborar una propuesta de un conjunto de prácticas relevantes y efectivas de protección de la información, es la respuesta que el entorno de negocios actual espera, una experiencia para movilizar esfuerzos de manera confiable, no por miedo a sanciones o represión, no por ventaja o posicionamiento de uno u otro actor, sino por el logro de un beneficio mutuo que hace que el mercado reconozca la voluntad de los participantes para administrar los riesgos del tratamiento de la información de manera conjunta, asegurando sus objetivos comunes sin comprometer la independencia o ventaja competitiva particular, esto es, potencializando las sinergias de ambas empresas.

En este entendido, la cultura de seguridad de la información descifra la forma como la empresa se hace más rentable, más reconocida y recordada, pues es capaz de conjugar la ventaja competitiva, es decir, esa forma particular a través de la cual una organización se diferencia en un mercado, con la manera en la cual la empresa desde su hacer natural, reconoce a la información como bien requerido y estratégico para operar, para tomar decisiones y confirmar su compromiso ejecutivo con la protección de la información, más allá de un tema de cumplimiento, sino como declaración de gobierno corporativo.

Referencias

CHATMAN, J. y CHA, S. (2003) Leading by levaraging culture. California Management Review. Vol.45, No.4. Summer.

ALFAWAZ, S., NELSON, K. and MOHANNAK, K. (2010) Information security culture: a behaviour compliance conceptual framework. In: Australasian Information Security Conference (AISC) proceedings. Brisbane, Australia.

LIM, J., CHANG, S., MAYNARD, S. y AHMAD, A. (2009) Exploring the Relationship between Organizational Culture and Information Security Culture. Proceedings of the 7th Australian Information Security Management Conference. Perth, West Australia.

La estrategia en seguridad de la información. Descubriendo permanentemente la inseguridad de la información

Introducción

Los cambios acelerados que se tienen en la actualidad y las tensiones emergentes frente al compartir y proteger información, ejercen sobre los ejecutivos de la seguridad de la información presiones que los obligan a repensar la manera como cumplir la promesa de valor inherente a su rol: “hacer que las cosas pasen de manera confiable, aun existan condiciones que amenacen su continuidad”.

En este contexto lleno de “verdades inestables”, tecnologías novedosas e individuos dispuestos a compartir sus propios secretos, el responsable de la seguridad de la información, debe revisar sus estrategias para ir más allá de las restricciones propias de los controles y renovar la pasión inicial de su misión, esa que le da sentido a su hacer, la protección de la información. (CANO 2013)

En el ejercicio de influenciar y persuadir, habilidades propias del encargado de la seguridad de la información, anota Montgomery (2012, pág.28), “los buenos estrategas nunca están quietos. Sin importar lo bien que se haya concebido, cualquier estrategia práctica en una empresa de hoy fracasará si los líderes la conciben como un producto terminado. (…)”.

Es decir, que en el ejercicio de la práctica de seguridad de la información, la inercia y la falacia de una consolidación del concepto, son alertas que deben asistir a los participantes del área de seguridad para formular nuevamente las preguntas fundamentales que permitan alcanzar el soporte y apoyo requerido por la organización y su cuerpo ejecutivo.

Una estrategia de seguridad de la información vigente

Por tanto, mantener una estrategia de seguridad vigente en una organización exige del responsable de la seguridad de la información un ejercicio permanente de validación social por parte de terceros, reciprocidad con la organización y sus objetivos estratégicos, consistencia y compromiso con sus mensajes y conexión permanente con el lenguaje de los ejecutivos de la empresa. (SIMONIS 2013)

La validación social, busca que las experiencias de la seguridad de la información locales sean compartidas con otras empresas semejantes, es decir, que otras organizaciones en el entorno han pasado por situaciones similares y han tomado acciones que son análogas a las que se han tomado al interior de la compañía. Si bien, esto no es determinante para efectos de la estrategia, si establece un referente válido para el gobierno corporativo, en el sentido de que es una experiencia probada y que requiere revisión en el contexto de la empresa.

La reciprocidad con la organización y sus objetivos estratégicos se traduce en crear una condición gana-gana, donde las intervenciones del área de seguridad de la información no sólo ayudan a cerrar la brecha frente a los riesgos claves identificados en el flujo de información de un proceso, sino que adicionalmente genera “una percepción diferente” en los participantes del mismo, que hace se valorice el proceso y las áreas que en ella participan.

La consistencia y compromiso con los mensajes demuestra la capacidad del área de seguridad de cumplir con las promesas de valor declaradas para la organización, donde el ejercicio de la misión, se practica por cada uno de sus integrantes y se despliega en ese mismo sentido. Adicionalmente, se hace evidente la pasión de los miembros del equipo de seguridad de la información, lo que proyecta las actividades de la función de seguridad en el ejercicio de su espíritu de cumplimiento, el cual se refleja en el fortalecimiento de la cultura de protección de la información, anticipación de riesgos emergentes y aseguramiento de la operación.

Finalmente y no menos importante, la conexión permanente con el lenguaje de los ejecutivos de la empresa, el cual busca crear un vínculo positivo, que facilite una comunicación efectiva que permita superar el miedo, la incertidumbre y la dudas, por una declaración más propositiva y activa, que entiende el umbral del riesgo residual que acepta la empresa y promueve una visión emocionalmente retadora, para crear historias de éxito compartidas con el primer nivel de la organización.

En línea con lo que afirma Montgomery (2012, pág.82): “ (…) Los propósitos viables, los que valen lo suficiente para guiar lo que sucede en una empresa, no sólo deben importarte a ti, sino a quienes hacen negocios contigo. (…)”, la seguridad de la información debe estar articulada con aquello que es valioso para la empresa, que genera sentido y propósito tanto para los empleados de la empresa como para los terceros que transforman la compañía. Esto es, el valor de la información, no es solamente una declaración ejecutiva, sino un sentimiento y emoción enraizado en los comportamientos de los participantes, que ven en su cuidado, parte de la naturaleza de las relaciones de negocio.

Si esto no es así, se hace necesario que el ejecutivo de la seguridad de la información, revise la forma cómo “crea valor para la organización”, pues en la medida que es capaz de crear valor para los demás, anota Montgomery (idem) será capaz de captar algo de ese valor para su área. Esto es, la creación o generación de valor se traduce en un cambio de percepción en un contexto específico, que hace que las personas que allí participan verifiquen una nueva condición particularmente positiva de una experiencia hasta el momento desconocida.

Por tanto, la académica de Harvard Cynthia Montgomery establece en su libro “El Estratega”, que “mientras más preciso seas para expresar el propósito, mejor apoyará tu estrategia en desarrollo y, muy posiblemente, obtendrá nuevas perspectivas sobre tu negocio. (…)”, esto es, que en el ejercicio de transformar la distinción de seguridad de la información de una empresa, para que se convierta en una expresión natural de la forma como cada una de las persona actúa, requiere materializar un propósito, ese que lo hace distinto, que comunica los aspectos únicos de la función y las ventajas que ofrece, las cuales son valoradas tanto por la agenda ejecutiva, como por las personas en la empresa.

El reto de anticipar las amenazas emergentes

Como quiera que la seguridad de la información es una función que actúa sobre lo inesperado y que generalmente cuenta con instrumentos de verificación y medición fundados en temas conocidos, es necesario que cada uno de los miembros de esta área, desarrollen su capacidad de anticipación como parte de las competencias propias de sus cargos, toda vez que es la forma más concreta y expedita para desarrollar un sistema de creación de valor, que de manera conjunta refuerce mutuamente la identidad que le confiere sus compromiso: “anticiparse a los riesgos y amenazas emergentes que impacten la seguridad de la información”.

En línea con lo anterior, Rerup (2013) establece  un modelo que ayuda a la empresas a identificar las medidas adecuadas para estar más atentas a las crisis. Dicho modelo, denominado triangulación de la atención, contempla tres dimensiones a saber: la estabilidad, la agudeza y la coherencia.

La estabilidad o “capacidad para mantener la atención en un tema concreto a lo largo del tiempo (…)”, es decir “ese conocimiento, profundo pero focalizado, de lo que ocurre en un contexto determinado. (…)”. Muchas veces en seguridad de la información requerimos conocimientos especializados y analíticos concentrados, que nos permitan estudiar una situación en profundidad para ver aspectos específicos de una situación que revisados de manera general no es viable advertir aquello que posiblemente ha materializado la falla.

La agudeza o “capacidad para atender distintas cosas simultáneamente e identificar patrones. (…)”, es decir la capacidad de identificar y analizar las relaciones entre las diferentes partes, para revelar comportamientos o situaciones, que no aparecen sino en el ejercicio conjunto de entendimiento de las mismas, advirtiendo propiedades emergentes que muestran una realidad subyacente invisible a nuestros ojos lineales y perceptible en nuestro pensamiento sistémico.

En seguridad de la información, ocurren muchas situaciones y eventos al mismo tiempo y nuestra capacidad limitada para entender los mismos, nos intimida frente a las amenazas que duermen latentes en el mundo de los datos consolidados fruto del ejercicio monitorización de la seguridad. Así las cosas, la correlación de eventos, la verificación de anomalías en los tráficos de red, los comportamientos inesperados de las máquinas y las personas, deben ser parte de la capacidad sistémica que debe desarrollar el área de seguridad de la información, que asistida por los registros de los dispositivos tecnológicos, deben darle las pautas para armar el rompecabezas que ilustre el umbral vigente que motiva o limita la inevitabilidad de la falla.

La coherencia o “capacidad para coordinar la estabilidad y agudeza en niveles diferentes. (…)” es decir, la forma de afinar y advertir los diferentes matices que se pudieron haber pasado luego de hacer tanto el ejercicio de focalización, como el de análisis de relaciones. “El objetivo de la coherencia es coordinar la atención colectiva de personas, unidades y funciones” que permita compartir “diversas interpretaciones” para reducir “la confusión, identificar indicios o alertas importantes y entender lo que realmente sucede en el entorno más amplio”.

En seguridad de la información, la aplicación de la coherencia, deberá ser una capacidad propia del equipo de seguridad  y particularmente de su líder, el cual deberá combinar las tres dimensiones de tal forma que pueda anticipar los movimiento asimétricos de las fallas, o más bien, preparar sus movimientos de manera anticipada para que la evidencia identificada entre su ejercicio de estabilidad y agudeza, le permita actuar de manera consistente y no errática frente a las situaciones de crisis.

En este sentido, se hace necesario empoderar a los analistas de seguridad y fortalecer sus competencias en estos elementos concretos, para que advirtiendo situaciones que puedan comprometer la protección de la información, tengan la capacidad y la autoridad para enfrentarlo y resolverlo a tiempo.

De otra parte y complementario con lo anterior, anota Rerup, que “actuar demasiado rápido limita la oportunidad de beneficiarse de la información que sólo se revela con el paso del tiempo. (…)”, por tanto, se requiere incorporar la vista de un tercero independiente, que conociendo del negocio y experimentado en la práctica de la seguridad de la información, pueda captar una mejor vista de los eventos y aumentar la comprensión del cuadro general del momento, aun cuando se desconozca que sucederá.

Así las cosas y como quiera que la función de seguridad de la información se moviliza por umbrales de riesgos residuales, requiere constantemente ampliar su radar de acción, es decir, es necesario que escuche constantemente el ambiente, recoja información de sus grupos de interés para reformular continuamente su entendimiento de la protección de la información.

En consecuencia con lo anterior, deberá mantener una lenguaje propositivo con la alta gerencia, a pesar de las críticas permanentes que tiene frente a eventos desafortunados que ocurren en la práctica general de su función, que no son otra cosas que señales que deben ser analizadas en el cuadro general de comprensión de los umbrales definidos y así continuar recomponiendo los patrones y amenazas emergentes que dictan los hechos y datos compilados.

Reflexiones finales

Revisar la tendencias y reportes de diferentes proveedores y analistas, es una tarea que cada participante del área de seguridad de la información debe realizar, como quiera que no hacerlo, es impactar de manera decidida el esfuerzo de revelar los pasos silenciosos de la inevitabilidad de la falla. Si bien estos reportes no son determinantes a la hora de tomar acciones definitivas, si alimentan el modelo general, de aquello que define, parafraseando a Montgomery “el por qué existe la función de seguridad de la información, lo que hace diferente o mejor que otros, así como la configuración única de actividades y recursos alrededor que permite cumplir con la promesa de valor”.

Conquistar el reto de la protección de la información pasa por el descubrimiento de las motivaciones y comportamientos humanos frente a la protección de la información, que descubren algunas facetas propias de las personas, su historia, percepciones y experiencias, las cuales son fuente de análisis y reflexión que movilizan las acciones del equipo de seguridad de la organización para construir y fortalecer una cultura de aseguramiento ajustada con las expectativas, creencias y contextos de una organización en particular.

Así mismo, exige mantener un equilibrio dinámico en el entendimiento de los flujos de información, las necesidades de las áreas y los procesos de la empresa, que en un contexto de competencia, “es capaz de replantearse su estrategia, antes que el futuro la asalte” (HAMEL 2012, pág.115), esto es, anticiparse a los riesgos emergentes, mientras desarrolla y asegura su operación de manera confiable, aún sabiendo que no conocemos lo que puede ocurrir.

Finalmente y no menos importante, tenemos los avances tecnológicos y las medidas técnicas de protección, que complementan el cuadro del estratega de la seguridad. Dicho avances, deben afinar el instinto natural de proyección y análisis de patrones del área de seguridad de la información, para “abrazar intensamente el presente, sin un superávit de futuro que genere angustia e intranquilidad” (ALVAREZ DE MON  2013, pág.19) en la alta gerencia.

Conciliar estos tres aspectos, en el ejercicio de la estrategia y de la visualización previa de las amenazas emergentes, exige de los profesionales de la seguridad de la información, una dosis importante de creatividad, de desaprendizaje, la cual inicia con un trabajo disciplinado, analítico y planificado, para luego dejar que “los huecos o situaciones no explicadas” fruto de las reflexiones formales, permitan que afloren espontáneamente propuestas que los liberen de sus propias auto-restricciones, para pensar nuevamente con pasión e iniciativa sobre la inevitabilidad falla, aumentando su sensibilidad y conocimiento del riesgo, que no es otra cosa que su habilidad de convivir con la incertidumbre.

Referencias

ALVAREZ DE MON, A. (2009) Incertidumbre, hábitat natural del directivo. IESEInsight. No.1. Segundo trimestre.

CANO, J. (2013) Inseguridad de la información. Una visión estratégica. Editorial Alfaomega.

HAMEL, G. (2012) Lo que importa ahora. Cómo triunfar en un mundo de cambios implacables, competencia feroz e innovación sin barreras. Editorial Norma

MONTGOMERY, C. (2012) El estratega. Conviértete en el líder que tu negocio necesita. Harvard Business School. Editorial Aguilar.

RERUP, C. (2013) Active sus sensores ante lo inesperado. IESEInsight. No.15. Cuarto trimestre.

SIMONIS, D. (2013) A new approach to security success. ISSA Journal. April. Pp 10-15

Ciber amenazas. La inseguridad de la información en el contexto global

Las noticias recientes nos advierten sobre un cambio seductor de las condiciones en las cuales las personas, naciones y organizaciones enfrentan la realidad de la globalización, un escenario donde la información instantánea, las redes sociales y la tercerización de operaciones son una norma para sobrevivir en el agresivo entorno de competencia empresarial y participar de una porción del mercado.

En este sentido, los informativos electrónicos en internet anuncian múltiples iniciativas que buscan empoderar cada vez más a los usuarios, para que tenga una experiencia novedosa cada vez y propongan formas diferentes de “conectar los puntos” de diferentes alternativas y generar un nuevo producto o servicio que desequilibre a los actores del mundo interconectado y marcar la diferencia en el ejercicio de hacer del cliente una fuente permanente de ventaja competitiva.

Si bien este es el panorama del mundo que tenemos actualmente, no menos importante son las tensiones informáticas que se han venido presentando, donde las naciones entran en el juego de las operaciones tecnológicas encubiertas - OTE, planteadas desde las posibilidades técnicas actuales y con propósitos “reprochables”, como son entre otras, robo de información, deshabilitar infraestructuras informáticas, infiltrar redes ajenas, desarrollar aplicaciones avanzadas de extracción de información, despliegue de código malicioso sofisticado para destruir o impedir la operación de una infraestructura, entre otras.

Este tipo de actividades, que nos traen a la memoria los ejercicios de espionaje de los años 60’s y las condiciones de la llamada “guerra fría” (de una amenaza nuclear), nos ponen de manifiesto una vez más, la necesidad que tienen las naciones de controlar y demostrar su primacía en el contexto internacional y de otra parte, mostrar las capacidades militares avanzadas (basadas en tecnologías de información y operaciones informáticas avanzadas) que ahora revelan una nuevo teatro de operaciones denominado como “ciber espacio” basado en ciber amenazas.

 Ciber amenazas

En un reporte reciente de la firma Mandiant (http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf), se hace evidente una operación continuada de la República Popular China, donde se demuestra el robo de información de al menos 141 organizaciones en el mundo, particularmente de aquellas con idioma inglés. Este tipo de actividades, necesariamente exige un equipo de trabajo especializado, que en el informe en mención, se sugiere dadas las condiciones y actividades identificadas en las infraestructuras de tecnología de información analizadas.

De otra parte, un equipo de la firma Kaspersky, reveló la operación Octubre Rojo (http://www.cbsnews.com/8301-205_162-57563936/kaspersky-labs-finds-red-october-cyber-espionage-malware) un ejercicio de espionaje altamente elaborado, que tenía como objetivo gobiernos, centros de investigación (temas nucleares y militares) y diplomáticos. Las acciones realizadas se basaron en un código maliciosos que utilizaba fallas inherente de programas conocidos con adobe acrobat reader o Microsoft office. Parte de la estrategia era vulnerar (y permanecer en) las máquinas con estas aplicaciones, sin perjuicio que se pudiese hacer lo mismo con móviles como Windows phone, iphones o dispositivos de nokia.

Los dos eventos anteriores, los podemos denominar ciber espionaje, como esas actividades no autorizadas que identifican, monitorean y capturan información clave o sensible de sus objetivos a través de estrategias informáticas avanzadas y persistentes, con el fin de establecer una ventaja estratégica comparativas que sugiera una posición privilegiada frente a un contexto determinado.

Estas actividades, que por demás son claramente contrarias a la ley, son acciones que en muchos de los casos son autorizadas por los gobiernos, como técnicas ocultas que les permiten anticipar sus movimientos, frente a sus “competidores” o “adversarios” y así mantener una posición ventajosa ante cualquier movimiento u estrategia en contra de los intereses de una nación.

De otro lado, las organizaciones criminales, que no son ajenas a las condiciones anteriores, de igual forma han venido evolucionando para mantener sus estrategias ilegales representadas en robo de activos de información y financieros, aprovechamiento de fallas en aplicaciones transaccionales (con movimiento de dinero), lavado de activos vía internet, falsificación de números de tarjeta de crédito, entre otras, que nos indican claramente que “el crimen nunca duerme”.

En este sentido, el ciber crimen, como esa conducta reprochable contraria a derecho, que se manifiesta abierta o silenciosamente sobre los activos de información e infraestructuras organizacionales provocando fallas operacionales y alteraciones de sus sistemas con fines ilícitos, nos alerta sobre la necesidad de profundizar en los ejercicios de valoración de las vulnerabilidades de las infraestructuras y las prácticas de gestión segura de la información por parte de las personas.

Si bien el ciber crimen es una realidad, ampliamente probada por múltiples estudios y noticias a nivel internacional, se hace necesario que los gobiernos promuevan estrategias de comunicación más agresivas que vinculen tanto a la generación “conectada”, como a aquellos que recientemente se inician en la tecnologías, para que se conviertan en las redes extendidas de seguridad de la información, que apalanques los esfuerzos de las nuevas fuerzas policiales ahora en el ejercicio de sus funciones a través de internet.

La carrera armamentista fruto de las tensiones internacionales propios de la primera y segunda guerra mundial, ahora están tomando un matiz algo diferente. Mientras en aquellas décadas, el poder las armas sugería una posición dominante, particularmente por lo poderoso de las mismas y su capacidad de destrucción, hoy las armas se desarrollan en un contexto alterno donde no son los percutores, o las municiones explosivas las que hacen la diferencia, sino las funciones tecnológicamente programadas en aplicaciones las que perfeccionan el ejercicio de conquistar al “adversario” aún sin que éste logre identificarlo.

Las denominadas ciber armas, que siguiendo la definición de MELE, “son dispositivos o conjunto de instrucciones informáticas destinadas a dañar ilegalmente un sistema que actúe como infraestructura crítica, su información, sus datos o programas contenidos en ella o pertinentes al mismo, o incluso la intención de facilitar la interrupción, total o parcial, o la alteración de su funcionamiento.” En este contexto, este nuevo armamento se construye con la habilidad de personas especializadas y con talento basado en la inseguridad de la información, como fundamento de los resultados que se pretenden sobre los objetivos nacionales estratégicos.

Las armas de destrucción masiva que tanto alertaron a la humanidad en el pasado, si bien aún están activas en muchas partes del mundo, las armas informáticas y tecnológicamente avanzadas, se están desarrollando y no sabemos aún cuáles son sus alcances. Sin embargo, lo que sí sabemos es que comparten nuestra misma maestra, la inseguridad de la información, y por tanto, sus lecciones permanentes que desconciertan, hacen parte de nuestro radar para continuar atentos a sus variantes y mantener el espíritu de aventura que nos lleva a desaprender cada día en el ejercicio de proteger la información.

El evento de las torres gemelas de New York en 2001, los atentados a las instalaciones del metro en Madrid en 2004, las explosiones en el metro de Londres en 2005 o el atento en Beirut en 2012 con un carro bomba, entre otros son situaciones que generan confusión, desconcierto y temor en las personas, toda vez que los móviles de los hechos, se definen en una declaración de inconformidad de un grupo de individuos que buscan llamar la atención sobre sus demandas y exigen acciones respecto de las mismas.

En la actualidad los eventos de terrorismo continúan, pero ahora tienen una variante tecnológica que transforma el ADN de los terroristas tradicionales, motivando acciones que generen inestabilidad y pérdida de control en sistemas de información de misión crítica, de tal forma, que las organizaciones o naciones perciban una sensación de incertidumbre que puede y será capitalizada por el atacante o grupo terrorista.

El aprendizaje acelerado que han tenido las organizaciones terroristas en  sus métodos ahora utilizando a internet como plataforma ha sido vertiginoso y estamos a la espera que se advierta una operación coordinada de alcance internacional que aumente el pie de fuerza informático en las diversas naciones ante en este tipo de actividades no autorizadas vía la red, que rete las estrategias de protección informática de las naciones desarrolladas.

En consecuencia podríamos decir, siguiendo a Taylor et all (mencionado en CANO 2008), que “El ciberterrorismo es un ataque premeditado, políticamente o ideológicamente motivado o una amenaza de ataque contra la información, los sistemas de información, programas de computadores y datos que puede llevar una acción violenta contra objetivos civiles.” Nótese, que al final el ciber terrorista estará actuando desde la oscuridad de los parajes de la red, planteando su estrategia no solamente para doblegar infraestructuras críticas u objetivos estratégicos de los gobiernos, sino atentando contra la fragilidad de la mente humana y el valor fundamental para una vida en sociedad, como lo es la confianza y el sentido de soberanía propio de las naciones.

Como quiera que las ciber amenazas mencionadas previamente, establecen ya un escenario complejo y asimétrico para configurar una estrategia de protección coherente y confiable, la posibilidad de un ciber ataque de importantes proporciones, es cada vez más un escenario factible, toda vez que la hiperconectividad del mundo actual y las relaciones entre los individuos se encuentra asistida de tecnologías y sistemas de información, que mantienen en línea todo el día y a toda hora.

Un ciber ataque, como el planteado en la cinta “Duro de matar 4”, ya no es una fantasía del cine, ni una condición ajena a las naciones y empresas del siglo XXI. Se hace necesario, pensar más allá de los referentes actuales para considerar escenarios que siendo posibles, encuentren condiciones que favorezcan la materialización de actividades que comprometan la gobernabilidad de una nación. Como se advierte en el informe Securing Cyberspace for the 44th Presidency: “El problema no es simplemente la confidencialidad de los datos y la disponibilidad del servicio, sino la integridad de la información almacenada en nuestras redes digitales. (…)”.

Así las cosas, las ciber amenazas establecen un panorama de riesgos exigente y desafiante para cualquier ejecutivo de seguridad de la información. Si bien, las lecciones aprendidas en el contexto corporativo pueden ser útiles para enfrentar el reto global de las amenazas informáticas planteadas, habrá nuevamente que atender las clases magistrales de la inseguridad de la información ahora en un contexto global, para iniciar nuestro nuevo recorrido por sus caminos inesperados e impredecibles, donde nuestros análisis más elaborados serán cuestionados por la fuerza de sus argumentos.

Referencias

CANO, J. (2008) Ciber crimen y ciber terrorismo. Dos amenazas emergentes. ISACA Journal. Vol. 6.

Securing Cyberspace for the 44th Presidency. A Report of the CSIS Commission on Cybersecurity for the 44th Presidency. 2008 Disponible en: http://csis.org/files/media/csis/pubs/081208_securingcyberspace_44.pdf

MELE, S. (2012) Ciberarmas. Aspectos legales y estratégicos. Reporte de Investigación. Instituto Italiano de Estudios Estratégicos. Disponible en: http://www.strategicstudies.it/wp-content/uploads/2011/10/Paper-Apr-2012_Cyberweapons.pdf