miércoles, 30 de noviembre de 2011

Función y propósito de la seguridad de la información

Revisando reflexiones elaboradas por R. Ackoff (en su libro: Differences that make a difference) alrededor de qué es una función y qué es un propósito, encontramos muchas reflexiones que pueden ser de utilidad para el responsable de la seguridad de la información. Mientras una función es el uso de algo que puede tener alguna cosa, tener un propósito implica hacer selecciones y tomar opciones para hacer que ese algo se movilice.

En este sentido, desarrollar una función de seguridad de la información en la empresa es establecer los mecanismos, estrategias y acciones que nos permiten hacer realidad las metas operativas de la seguridad de la información representadas en prevención de ataques, control del spam, revisión y control antivirus, aseguramiento de firewalls, entre otras temáticas, que lo que buscan es medir la efectividad y eficiencia de las implementaciones de hardware y software para proteger la infraestructura tecnológica de riesgos que atenten contra la confidencialidad, integridad y disponibilidad.

Todo lo anterior, se podría implementar sólo como una vista operativa y funcional, aún sin un propósito específico, y tendría efectos positivos en la exigente labor de administración de la seguridad de una organización. Sin embargo, esta postura, no respondería a la necesidad de anticipación requerida y demandada por la organización para movilizar la transformación de la empresa e incrementar el nivel de protección de la información requerido por el negocio ahora y en el futuro.

Cuando la seguridad de la información tiene un propósito, tiene un fundamento, un sueño que lograr y unas metas para cumplir, es capaz de movilizar elementos organizacionales como tiempo, personas y finanzas, para destruir lo que las personas “creen” y renovar lo que las personas “hacen”; haciendo visible un cambio de paradigma en el tratamiento de la información, es decir, pasar de “algo” que alguien hace por mí, a “algo que es parte inherente de mi”.

Materializar este tipo de paradigmas implica no solamente entender la función de seguridad de la información per se, sino encontrar un sentido práctico a la protección de los activos de información, como una manera de hacernos responsables reales en el tratamiento de la información, para tomar las opciones y selecciones conscientes que incrementen la percepción de tranquilidad y seguridad de los activos identificados, clasificados y puestos a disposición de una organización y sus metas grandes y ambiciosas.

Cuando hablamos de la función de seguridad de la información en una organización, sin tener en cuenta su propósito, es hablar de una serie de actividades y acciones que no tienen claramente un sentido o direccionamiento, a pesar de que éstas funcionen de la manera prevista. De igual forma, contar con el propósito motivador de la seguridad en una organización, pero no tener acceso a los recursos suficientes para movilizarlo, se convierte en un buen ejercicio académico que motiva a pocos y no convence a muchos. En este sentido, cada vez que nos hacemos “de mayor edad”, y más pausados en nuestras reflexiones, debemos renovar nuestro niño interior, ese que está libre de autorestricciones y se dejar sorprender con las nuevas lecciones de la inseguridad de la información.

Adicionalmente, si agregamos un símil sobre lo que venimos reflexionando y para ello utilizamos el concepto de una “caja de herramientas”, podemos notar que la función de aquella, entre otras que le podemos asignar, es poder custodiar y mantener funcional los elementos disponibles allí. Si esto es cierto, el poder de la "caja de herramientas" (en este caso de la seguridad de la información) no está en su diseño, ni funcionalidad; está en el propósito que alguien le ha asignado, en las decisiones y opciones que se han tomado para continuar entendiendo las acciones de la inseguridad de la información, teniendo como referente base las declaraciones y protocolos legales propios que las brechas de seguridad de la información imponen a la empresa.

Tener propósitos en la vida y vivirlos con intensidad cada día, es encontrar la fuente de la disciplina, la energía para hacer que las cosas pasen y el libro de la sabiduría para tomar las opciones requeridas y necesarias que permitan elevar nuestro potencial. Si lo anterior es cierto, el responsable de la seguridad de la información, entendiendo el valor propio de las implementaciones tecnológicas y la realidad de las mediciones, podrá responder de manera ágil y contundente a las preguntas políticas que exigen los ejecutivos de la empresa, preguntas que no son otra cosa, que una expresión de las necesidades y expectativas que ellos tienen para proyectarse en su mercado o sector de negocio.

Así las cosas y como quiera que aún debemos cruzar el umbral de las decisiones de presidencia y/o junta directiva, es importante recorrer el camino del propósito desde la realidad interna de la empresa, para formular estrategias operativas que, reconociendo el valor estratégico de la información, sean capaces de cautivar las metas de negocio y sus decisiones estratégicas, desde las prácticas diarias de protección de la información.

domingo, 23 de octubre de 2011

El fraude a través de medios tecnológicos. Más que predicciones, algunos pronósticos sobre su evolución


Introducción

Con frecuencia escuchamos hablar sobre el fraude, sobre como personas desarrollan actos intencionales o causados por omisión para engañar a otros, con resultados que generalmente terminan con una pérdida para alguien y una ganancia para un delincuente. El fraude es tan antiguo como la humanidad, la capacidad de traicionar, adulterar, falsificar, suplantar, de efectuar una acción con “dolus”, es decir, con ardid, treta o artimaña, está enraizada en cada una de los seres humanos en mayor o en menor medida, según su estructura de bienes libremente elegidos y su inclinación natural a lo menos bueno.

En ese sentido, tratar de establecer un patrón o perfil de los defraudadores pasa primero por identificar algunas situaciones que se presentan alrededor de las personas, que pueden llevar a la materialización de un fraude. Sin perjuicio de lo anterior, es importante anotar que los indicadores que se presentan a continuación son sencillamente una lista de consideraciones y alertas extraídas de las mejores prácticas internacionales, que generalmente han coincidido con una posterior ejecución de actividades ilícitas que terminan en apropiaciones de bienes tangibles o intangibles en las organizaciones y daños concretos en ellas.

Banderas rojas o alertas sobre el fraude

De acuerdo con la ACFE – Association of Certified Fraud Examiners, ésta son algunas banderas rojas (indicadores o alertas que pueden facilitar la materialización de un fraude) detalladas en su informe anual sobre el fraude a nivel global:

• Problemas de adicción (sustancias psicoactivas o problemas con el juego)
• Dificultades financieras o altas deudas personales
• Viviendo más allá de sus propios medios
• Divorcio reciente o problemas familiares (con los hijos, hermanos, etc)
• Problema legales pasados (no relacionados con el fraude)
• Irritabilidad inusual, sospechosa o defensiva
• Frecuentes reclamos acerca de pago de cuotas o préstamos
• Frecuentes reclamos acerca de la falta de autoridad
• Reusar o no busca alcanzar una promoción en la empresa
• Inusual asociación cercana con vendedores o clientes
• Presión excesiva de la familia o sus pares para tener éxito
• Presión excesiva por su rendimiento dentro de la organización
• Control excesivo relacionado con el trabajo, falta de voluntad para compartir asignaciones o aceptar la supervisión
• Inestabilidad en las circunstancias de la vida (cambios frecuentes de trabajo, cambios frecuentes de residencia, etc)
• Renuencia a tomar vacaciones
• Actitud negociante permanente (sagaz y sin escrúpulos)
• Historia de otros problemas relacionados con su trabajo (por ejemplo, bajo rendimiento o problemas éticos)

Si analizamos con detalle esta lista (parcial de alertas) encontramos que muchas de ellas hacen relación con situaciones y contextos personales que llevan a los individuos a ejecutar conductas que ponen a prueba su estructura de valores y principios. Cualquiera de las condiciones detalladas, debe someterse a un análisis detallado dado que cada persona y realidad son diferentes y muchas veces, lo que aparentemente es una alerta de los que pueda estar sucediendo, puede ser una condición de excepción para un individuo particular.

Como quiera que estos síntomas manifiestan conductas que llaman la atención para la gerencia de las organizaciones, es importante anotar que se hace necesario revisar igualmente, aquellas garantías que la empresa debe brindar a sus colaboradores, para generar un ambiente sano y psicológicamente estable que permitan el ejercicio adecuado del desarrollo individual y profesional de sus empleados.

El perfil de defraudador

En consecuencia con lo anterior, es importante anotar que, si bien es claro que debemos tener precaución frente a los juicios de valor ante situaciones o alertas como las mencionadas anteriormente, es igual de importante establecer aquellas características propias y más relevantes de las personas que pueden llegar a cometer un fraude. En este sentido, la firma KPMG en su estudio sobre la caracterización del defraudador publicado en 2011, anota de manera específica, algunas de ellas, como resultado de la encuesta realizada a nivel global. Ellas son:
• Generalmente son hombres
• Entre 36 y 45 años de edad
• Cometen el fraude en contra de su propio empleador
• Generalmente trabajan en el área de Finanzas o en un cargo relacionado con las finanzas
• Por lo general es un representante de la Dirección
• Cuenta con más de 10 años de servicio en la empresa
• Es una persona que a menudo comparte con otros.

Es interesante observar que los resultados muestran claramente que aquellas personas con mayor tiempo en la organización son más proclives a conductas ilícitas, posiblemente porque conocen con claridad los aciertos y debilidades de las medidas de control, y adicionalmente, saben hasta donde pueden llegar sin llegar a comprometerse y salir sin ninguna implicación. Igualmente, el rango de edad que se establece, nos habla de una persona que técnicamente ya ha alcanzado su madurez profesional y busca establecer un futuro más reposado y tranquilo, por lo cual contar con solidez y libertad financiera se vuelve algo clave para ellos y sus familiares.

Llama la atención que es el área financiera donde en mayor medida se identifican los casos de fraude, pues al estar allí la circulación de especies monetarias y la forma como la organización efectúa sus operaciones, se vuelve más detallado y más agudo el análisis de los posibles delincuentes para efectuar sus actividades ilícitas. En este contexto, los controles internos de operación y las estrategias de seguridad y control son un elemento fundamental para mantener un ambiente monitorizado, asegurado y con trazabilidad de lo que ocurre (un detalle de las actividades de control se puede encontrar en el informe de la ACFE mencionado previamente). Con esto la idea, es reducir las ocasiones o escenarios que motiven actividades que puedan afectar la caja de la organización.

Revisando la naturaleza del fraude

Identificar el perfil de posible delincuente y contextualizarlo aún en un ejercicio organizacional son actividades que dan cuenta de la necesidad de seguir de cerca las tendencias que la inseguridad misma nos plantea en el entorno corporativo y de actuación general. De igual forma, se hace cardinal, estudiar cada uno de los fraudes para adelantar las caracterizaciones de las pérdidas en sí mismas, que nos permitan afinar aún más las estrategias para cerrarle la brecha a aquellos que aún persistan en apropiarse de los bienes de las organizaciones.

En consecuencia y siguiendo los resultados del estudio realizado por la firma Deloitte sobre el fraude a nivel global, podemos advertir una priorización de la naturaleza de los fraudes identificados, que revelan tendencias sugestivas, que nos permiten visualizar los gustos y motivaciones de los defraudadores o mejor aún, sus movilizadores más frecuentes para concretar sus actos. Los resultados son:
1. Robo de activos físicos
2. Robo de información
3. Fraude en la contratación
4. Corrupción y soborno
5. Fraudes externos

Como se puede apreciar los tres primeros resultados nos manifiestan que son los activos físicos, los temas de la información y la contratación los que con mayor frecuencia son materializados por los delincuentes. Esto nos indica que cada vez más se hace imperioso contar con buenas prácticas para el tratamiento de la información, para evitar que caiga en las manos equivocadas y con ella se puedan motivar actuaciones que lleven a pérdidas significativas en las empresas. No es de extrañar, que todo aquello donde se manejen grandes volúmenes de dinero sea susceptible de incidentes de fraude. En este sentido, los controles y buenas prácticas de contratación se vuelven factores críticos de éxito para alcanzar mayor transparencia y agilidad en las empresas y mitigar la brecha de posibles ilícitos que se quieran o puedan plantear.

Es importante anotar, que no es posible tener un contexto organizacional sin incidentes o sin fraudes, pues la ocasión para el riesgo siempre se presenta en mayor o menor medida y siempre habrá personas con debilidades de personalidad y con estructuras de valores débiles, los cuales serán terreno fértil para la inseguridad y la inclinación propia de nuestra naturaleza caída.

Fraude a través de los medios tecnológicos

De otra parte, como toda evolución natural de los fenómenos delincuenciales, éstos han encontrado en la tecnología un vehículo eficaz para materializar sus acciones, pues la velocidad, la presencia anónima que se tiene, el alcance de sus actos y la limitada preparación de los entes de policía judicial, configuran un escenario motivador para repensar nuevamente sus estrategias y avanzar en el desarrollo de nuevos modelos para defraudar a los individuos y organizaciones.

En consecuencia, las acciones relevantes que se puedan adelantar por parte de los entes investigadores para dar con la identificación y modus operandi de los delincuentes a través de medios tecnológicos, es un reto que implica reconstruir un escenario de fraude y encontrar las evidencias informáticas relacionadas con el mismo. Si bien, las organizaciones hoy cuentan con diferentes elementos de seguridad y control en sus operaciones, cuando no trasladamos al mundo de internet, éstos pierden claramente su efectividad, dada la heterogeneidad de ambientes y configuraciones existentes que posiblemente no sigan las buenas prácticas que se exigen frente al aseguramiento de las infraestructuras y aseguramiento de flujos de información.

Amén de lo anterior, el reporte de la encuesta global de fraude 2011 realizado por la firma Ernst & Young corrobora esta situación, cuando establece que una tercera parte de los participantes en la encuesta advierten de los altos costos que implica la revisión exhaustiva de correos electrónicos (u otra información electrónicamente almacenada) con el fin de ofrecer asesoría legal efectiva, dejando a las organizaciones un sabor agridulce de lo que requiere hacer para procesar o judicializar a un posible delincuente en la organización. El mismo informe anota que se evalúa la disminución de los presupuestos en estos temas dado que en muchas ocasiones estos esfuerzos resultan infructuosos frente al resultado final de proceso jurídico y la reparación para la organización.

En línea con lo comentado previamente, los delincuentes utilizan igualmente los medios sociales informáticos para generar expectativas, rumores o desinformación que le permitan tener una posición más estratégica para avanzar en sus métodos de fraude. En este escenario, las redes sociales son el medio más expedito para generar situaciones premeditadas que impacten la imagen y buen nombre de las empresas. Mal utilizadas son tácticas de inteligencia que pueden desviar la atención o generar tráficos de información sensibles que comprometan las prácticas de negocio de las empresas y por ende, su posicionamiento dentro de un sector empresarial.

Lo anterior se confirma en el reporte global sobre el fraude 2011 desarrollado por la firma Kroll, donde se advierten estrategias utilizando la tecnología o internet para afectar la imagen de las firmas y ocasionar daños emergentes que comprometan la estabilidad de las empresas. Particularmente se habla del caso de la British Petroleum y el incidente internacional del derrame de crudo en el Golfo. En este sentido, el informe afirma:

“(…) En 2010, BP recibió un ataque online por cómo manejaba el derrame en el Golfo de México. Además de campañas en su contra en blogs y en Facebook, la compañía debió luchar contra mensajes enviados desde una cuenta falsa de Twitter, el aparentemente “real” BPGlobalPR. En un punto, la cuenta de relaciones públicas falsa en Twitter tenía más seguidores que la real. El desafío para BP fue responder a un ataque desde varios flancos en Internet. No había un único ISP ni sitio web para ocuparse de los varios ataques. (…)”

Avances interdisciplinarios para entender el fraude a través de medios tecnológicos

Todos estos elementos comentados nos hablan claramente que existe una nueva evolución del fraude y la inseguridad en los diferentes contextos empresariales; que la delincuencia continua observado y aprovechando los adelantos informáticos y las oportunidades que ofrecen los desarrollos tecnológicos, para evolucionar rápidamente, sin dejar margen de reacción a los entes de seguridad y control tanto de las empresas como de los estados.

Pese a lo mencionado, se vienen adelantando importantes avances a nivel jurídico, criminológico y criminalístico que nos permiten avizorar nuevas condiciones y actividades para enfrentar a la delincuencia en un mundo digital e interconectado. El entendimiento jurídico de las escenas asociadas con crímenes de alta tecnología comienza a arrojar los primeros resultados, los cuales se advierten en nuevas propuestas de regulación que buscan asegurar mejor la información y los datos, para lo cual las organizaciones debe tomar las medidas del caso, no para interpretar dicha norma, sino para afianzar sus prácticas en este sentido.

Como parte de este análisis interdisciplinario, se viene generando propuestas para continuar cercando a los delincuentes, para decirles que estamos preparados para enfrentar los retos propios de una delincuencia organizada e interconectada. Es así que, trabajos como el de los doctores VASIU nos permiten continuar aprendiendo y repensando los elementos legales a considerar frente al fraude a través de medios tecnológicos. Dichos elementos:
• El conocimiento e intención de cometer fraude
• El acceso a un computador protegido o excediendo su autorización
• La obtención de un beneficio para el que comete el fraude

Nos muestran que es posible avanzar en una vista sistémica de la inseguridad, de las motivaciones de los facinerosos informáticos y sus técnicas apalancadas en tecnologías emergentes.

Fruto de estos avances se han venido formulando leyes en los diferentes países que poco a poco permean las agendas legislativas y ponen de manifiesto que las inseguridad de las calles y los “raponazos” callejeros, son tan relevantes como la inseguridad de la información en internet y los “raponazos” electrónicos que día a día ocurren en la “ciudad” que es Internet.

Reflexiones finales

Así las cosas y como quiera que la mente humana puede desarrollar las más bellas expresiones de alegría, cariño y generosidad, así como diseñar y explotar las más oscuras, egoístas y perversas intenciones, se hace necesario hacer un llamado a todas las naciones para que se desarrolle un frente común de contención y acción que haga de internet un lugar más sano y generoso con todos sus habitantes, con las prácticas de negocio y con los niños, población que generalmente es la más vulnerable.

Debemos propender y confirmar que nuestras acciones en internet, son tan reales como nuestras actuaciones en la vida cotidiana y por tanto, no podemos soslayar nuestros principios y valores habituales por el solo hecho de estar “conectado a internet”. La cultura de que “todo se puede” en internet, no debe ser la norma que se erija frente a la transformación social que exige nuestra actual sociedad, pues de hacerlo estaríamos avocados a una degeneración del tejido humano que afectaría las buenas intenciones y las posibilidades que trae consigo la tecnología para las empresas, los individuos y las naciones.

Ackoff en su libro “Differences that make a difference” establece que una cosa es hacer un pronóstico (en inglés forecast) y otra hacer una predicción. Mientras un pronóstico es una declaración de un futuro esperado basado en una proyección de qué ha pasado y qué pasa hoy, una predicción es una declaración de un futuro esperado que no está basado en hechos y datos, sino en las creencias acerca de lo que se prevé, sus causas o generadores. En otras palabras, la predicción puede ser sobre cosas que no han ocurrido en el pasado y los pronósticos basados en estadísticas y métodos de proyección normalizados y verificables.

En este contexto, todos los reportes e informes que hemos comentado en este documento nos hablan sobre pronósticos acerca del fraude en sus diferentes manifestaciones, como una forma de establecer líneas de investigación y acción que nos permitan caminar cerca de los movimientos conocidos de los delincuentes. Predecir las tendencias y comportamientos del fraude en un mundo gobernado por las comunicaciones y la información instantánea, es una apuesta abierta y sin límites para encontrar en la inseguridad de la información nuevas razones para continuar aprendiendo, es decir, lanzarnos a experimentar la incertidumbre y declarar que no sabemos.

Referencias

ACKOFF, R. (2011) Differences that make a difference. Editorial Triarchy Press.
VASIU, L. y VASIU, I. (2004) Dissecting computer fraud: from definitional issues to a taxonomy. Proceedings of the 37th Hawaii International Conference on System Sciences. Disponible en: http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.108.9517 (Consultado: 23-10-2011)
KROLL (2011) Global Fraud Report. Mayo. Disponible en: http://www.krollconsulting.com/media/pdfs/Kroll_Global_Fraud_Report_May_2011_Spanish_Final.pdf (Consultado: 23-10-2011)
ERNST & YOUNG (2011) Global Fraud Survey. Disponible en: http://www.ey.com/Publication/vwLUAssets/EY_11th_GLOBAL_FRAUD_Survey/$FILE/EY_11th_GLOBAL_FRAUD_Survey.pdf (Consultado: 23-10-2011)
DELOITTE (2011) Global Fraud Survey 2011. Disponible en: http://www.deloitte.com/assets/Dcom-Lebanon/Local%20Assets/Documents/FAS/Deloitte%20%20GCC%20Fraud%20%20Survey%202011.pdf (Consultado: 23-10-2011)
KPMG (2011) Who is the tipical fraudster? Disponible en: http://www.kpmg.com/EE/en/IssuesAndInsights/ArticlesPublications/Documents/Forensic-Fraudster-Survey-WEB.pdf (Consultado: 23-10-2011)
ACFE (2010) Report to nations on occupational fraud and abuse. 2010 Global Fraud Survey. Disponible en: http://www.acfe.com/uploadedFiles/ACFE_Website/Content/documents/rttn-2010.pdf (Consultado: 23-10-2011)

lunes, 17 de octubre de 2011

3765 Lecciones aprendidas: Más que pecados de obra u omisión


Revisando los resultados de la investigación realizada por la Digital Forensic Association denominada “The Leaking Vault 2011”, encontramos nuevas y renovadas razones para insistir en el estudio y profundización de la inseguridad de la información, como la fuente misma de ideas para continuar asegurando la información en las empresas.

Este estudio analizó más de 3765 incidentes reportados en más de 33 países a nivel global entre el año 2005 y 2010, identificando interesantes hallazgos que nos sugieren marcos de acción para mantenernos cerca de la inevitabilidad de la falla, bien por fenómenos eminentemente tecnológicos como por comportamientos inadecuados.

A continuación mencionamos algunos resultados relevantes del estudio con el fin de plantear ciertas reflexiones que nos permitan intentar acercarnos al fenómeno de la fuga y/o pérdida de la información y entender mejor su asimetría en el contexto empresarial.

• Los vectores más representativos para la pérdida y/o fuga de información son los computadores portátiles, las técnicas de hacking y los documentos impresos.
• Se perfila el web como un nuevo vector para pérdida y/fuga de la información.
• Dejar los portátiles y documentos impresos desatendidos son comportamientos que potencian la pérdida y/o fuga de la información
• No se cuenta con la trazabilidad de los documentos desde que la información se genera hasta su disposición final.
• El malware es la técnica más utilizada para crear entornos que materialicen la pérdida y/o fuga de la información.
• La pérdida de información está generalmente asociada con personal externo o terceros contratados, mientras la fuga de la información, tiene una fuerte asociación con empleados de las empresas.
• Existe un bajo reporte público de las brechas de seguridad (pérdida y/ fuga de información) por parte de las empresas en los diferentes países.
• Se identifica una tendencia de exposición de datos relacionados con registros médicos en la muestra analizada.
• Dentro de los datos que generalmente se exponen con las brechas de seguridad son: Número de seguro social, Número de licencia de conducción, número de la tarjeta de crédito, número de la cuenta bancaria, fecha de nacimiento y datos médicos.

Considerando estos hallazgos retomemos algunas meditaciones que generalmente se detallan en diferentes medios y documentos sobre esta realidad de la pérdida y/o fuga de la información.

El estudio indica que los portátiles, las técnicas de hacking y los documentos impresos son los vectores de ataque más comunes y responsables por más del 90% de los incidentes. En este sentido, sin considerar las técnicas de hacking, son nuestros comportamientos frente al aseguramiento de los portátiles y los documentos impresos, el que genera la mayor vulnerabilidad y oportunidad para que la inseguridad se materialice en diferentes contextos de la realidad organizacional y personal.

Cuántas veces hemos enviado una impresión con documentos clasificados como sensibles o restringidos, cuántas veces hemos dejado el computador portátil desatendido, cuántas veces nos siguen recordando la necesidad de asegurar estos comportamientos y aún continuamos abriéndole posibilidades a los atacantes para que se hagan dueños de la información clave de la empresa o creando el entorno para que, incluso nuestra información personal sea utilizada con fines ilícitos o fraudulentos. Si bien la fuga y/o pérdida de la información no podrá erradicarse por completo, si podemos mantener un umbral cerrado y conocido que nos permita cercar a la inseguridad de la información en terrenos conocidos y claramente abiertos para que la impunidad no sea la protagonista cada vez que se revele un evento de éstos.

Con la alta interacción que tenemos ahora con el WEB y las posibilidades de descarga y carga de información en sitios alternos, la información tiene un flujo inesperado y muchas veces no controlado que genera brechas de seguridad que pueden llegar a comprometer el buen nombre de la empresa o la persona. Tómese un momento para pensar qué pasaría si información de un nuevo producto, o una nueva patente se expone en un sitio en internet y es accedida por terceros sin autorización. Qué pasaría si fotos comprometedoras, que tenemos al interior de nuestros equipos, fuese transportada y expuesta sin nuestra autorización en un perfil de facebook. Estas y otras situaciones nos deben mantener alerta y consciente del aseguramiento de la información y de los protocolos que ésta debe seguir cuando se autorice su movimiento dentro o fuera del dominio de la organización o persona.

De otra parte, los atacantes, sabiendo que las personas son susceptibles de movilizar cuando aparecen nuevos servicios, atractivas ofertas en internet y, sobre manera propuestas de acceso a información privilegiada con pocas exigencias, desarrollan a través de código malicioso estrategias y entornos que buscan tener el control de la máquina o dispositivo de almacenamiento de información con el fin de acceder sin autorización a información personal o corporativa. Esta técnica se aprovecha, nuevamente y en gran medida, de nuestros comportamientos inadecuados frente a la protección de nuestros equipos portátiles o de escritorio. La falta de higiene informática es una de las responsable del gran número de infecciones y plagas informáticas, que pasan entre otras por botnets, gusanos, software espía dado que tenemos una “falsa sensación de seguridad” pues al conectarnos a internet creemos que no somos objetivo de interés de los intrusos, cuando en realidad es todo lo contrario.

Es muy revelador encontrar que la pérdida de información está asociada con los terceros de confianza de la empresa. Con frecuencia encontramos acuerdos de confidencialidad firmados con los contratistas a los cuales poco se les hace seguimiento o auditoría, generando espacios de incertidumbre en el manejo mismo de la información sensible de las empresas. Si bien es importante tener estrategias contractuales para mantener la responsabilidad del tercero frente al manejo de la información, cobra mayor relevancia poder  incluir dentro del modelo de seguridad de la información de la empresa la forma como las empresas contratistas deben darle tratamiento a la información y asegurar el seguimiento y aplicación de las directrices que sobre el particular se den.

De otra parte, se anota que la fuga de información se presenta con mayor frecuencia relacionada con el personal interno de la empresa. Este hallazgo nos habla de muchas posibilidades para analizar. Por un lado, podemos pensar en los aspectos éticos y de cumplimiento de los empleados, elementos propios de la lealtad empresarial, no necesariamente asociados con consideraciones legales, sino de identidad corporativa. Por otro, una falta de consciencia de los empleados de la empresa frente al manejo de la información y sus implicaciones; frente a su personal y con sus grupos de interés. Por tanto, si bien las organizaciones adelantan esfuerzos ingentes para incorporar la cultura de riesgos en el tejido social empresarial, se hace necesario insistir en la comunicación del valor de la información como activo estratégico de las corporaciones y elemento fundamental para soportar la ventaja competitiva de la empresa.

Si bien, en los países desarrollados se viene dando una tendencia por revelar las brechas de seguridad que se han presentado en las organizaciones, como una forma de responsabilidad social y empresarial con sus clientes, en nuestros países en vía de desarrollo, no logramos despegar del todo para seguir esta buena práctica. Por el momento, los reportes de incidentes de seguridad se conocen por “chismes” o “comentarios de pasillo” que se filtran en conversaciones con terceros en los sitios menos indicados: ascensores, restaurantes, filas de acceso a bancos, salas de espera, en general en sitios públicos o por descuidos de pantallas de computadores sin filtros de privacidad que exponen un “secreto” de alguna empresa o persona.

Como bien nos dice la sabiduría popular: “no hay nada oculto entre cielo y tierra que no se llegue a saber”, si debemos establecer los canales oficiales para que la información fluya de la manera más adecuada, en el contexto indicado y sin juicios de valor, para que se informe conforme se es requerido y con los detalles necesarios. No se trata de esconder lo que ha ocurrido, sino de entregar de la mejor forma la información para continuar avanzando en las estrategias de aseguramiento de la información en los procesos de negocio de las empresas.

Ver en un informe internacional que en el análisis de los incidentes se encuentra en la mayoría de las ocasiones información relacionada con datos médicos es realmente inesperado. Estamos acostumbrados a que las brechas de seguridad expongan datos corporativos, secretos industriales o elementos claves de estrategias de empresas, pero que en su mayoría sean datos relacionados con los registros de los galenos sí que es novedad. Esta tendencia en los países desarrollados se explica por la alta relación que existe de estos datos con el acceso a información complementaria de la persona: cuentas bancarias, estados de préstamos, pago de impuestos, identificación personal, entre otras, que son claves para establecer estrategias de suplantación y generar fraudes a nombre de terceras personas.

Si bien lo anterior nos debe llamar la atención frente a los efectos que esto tiene en la vida de las personas, estamos a tiempo para que en nuestras economías emergentes se tomen las medidas requeridas frente a la protección de datos personales, como una primera iniciativa que asegure y fortalezca las prácticas de seguridad y control frente al tratamiento de esta información. Así mismo, sea esa la motivación para que cada uno de nosotros continúe aprendiendo que la información es un activo esencial de nuestra relación social en el siglo XXI y la moneda fundamental de nuestra interacción en un mundo interconectado y abierto como lo es internet.

El informe no indica con detalles aspectos relacionados con las redes sociales, móviles (ahora tabletas, dispositivos de lectura, entre otros) o computación en la nube como otros drivers para las brechas de seguridad de las empresas y las personas, sin embargo es claro que estos tres elementos son parte de los nuevos vectores de la pérdida y/o fuga de la información, pues al estar en permanente movimiento y sin un aparente control, el ciclo de vida de la información no tendrá elementos suficientes para mantener la trazabilidad de las operaciones o tratamiento que se le haga a ésta, dejando la puerta abierta a inesperados eventos que ya empiezan a manifestarse en el mundo actual.

En consecuencia, este estudio, que de manera exhaustiva y formal revela tendencias que intuitivamente conocíamos, nos pone de manifiesto que la ecuación de la inseguridad se conjunta alrededor de la información, la inevitabilidad de la falla y los medios informáticos, con un multiplicador o inhibidor fundamental como son los comportamientos humanos.

En este sentido, que todas estas lecciones aprendidas de los 3765 incidentes puedan empezar a modificar el ADN corporativo de la cultura de las organizaciones frente al tratamiento de la información y nos haga a cada uno de nosotros sensibles a los movimientos de nuestra maestra la inseguridad, para que nuestros próximos “pecados” frente uso de la información, bien sean de obra u omisión, sean un nuevo comienzo para pensar diferente y superar las rutinas defensivas propias de aquellos que “buscan culpables” y no nuevas oportunidades para aprender.

domingo, 9 de octubre de 2011

ISACA Latin CACS 2011 - Una experiencia para desafiar una región

Introducción

Se comenta en los medios informativos y por los analistas económicos internacionales que Latinoamérica es y será un destino natural para los capitales y oportunidades de los grandes inversionistas del mundo. Los temas de minería, explotación de hidrocarburos, biodiversidad y nuevos capitales humanos calificados, hacen de las Américas un lugar privilegiado para desarrollar nuevas iniciativas en el contexto de los negocios emergentes basados en servicios financieros, telecomunicaciones, servicios de consultoría, investigación y desarrollo, entre otros.

En este contexto, poder asistir a uno de los eventos latinoamericanos más importantes en temas de auditoría, seguridad y control en sistemas de información, es una forma de comprender la dinámica de una región que atenta a los cambios globales y sus crisis, es capaz de mantener el paso firme frente a los retos de cumplimiento, aseguramiento y gobierno corporativo que su contexto le demanda.

Durante los días 3 al 5 de octubre de 2011, Puerto Rico fue sede de presentaciones y talleres que se desarrollaron en el contexto del LatinCACS que anualmente programa ISACA para todos los interesados de la región que quieren comprender mejor los retos que la dinámica empresarial demanda frente a las tecnologías de información y comunicaciones.

La jornada académica estuvo animada por temas relevantes para las empresas de la región como son la “gestión del valor de TI”, la seguridad en los sistemas SCADA, la computación en la nube, la ciberseguridad y la ciberdefensa y los temas de privacidad de los empleados. Cada de uno de estas temáticas, desarrolladas por destacados profesionales de la región revelan la necesidad de avanzar con celeridad en cada uno ellas, como factores direccionadores del desarrollo de las empresas y naciones hacia mejores y mayores estándares de productividad y rentabilidad corporativas.

Gestión del valor

Cuando se habla de la gestión del valor de TI, es importante aclarar que podemos invocar los conceptos de ISACA en su modelo de VAL IT, así como otros relevantes en otras disciplinas administrativas que van a contribuir a un mejor entendimiento de este reto de las organizaciones actuales. Es claro, que la alta gerencia de las empresas reconoce en TI un elemento clave dentro de su gestión, pero que aún no desarrolla su potencial para elevar sus conversaciones a nivel de las juntas directivas.

En este contexto las conferencias desarrolladas en el evento, plantearon entre otras tesis, un concepto de valor como la relación existente entre la satisfacción de las expectativas de las partes interesadas y los recursos utilizados para ello. Esta definición, establece el reconocimiento de las esperanzas o deseos de la alta gerencia sobre el negocio, para a la luz de los riesgos de servicios, proyectos e innovación, la empresa cuente con un factor diferenciador que le permita apalancar su modelo de generación de valor.

De igual forma, cuando de construir, desarrollar, comunicar y proteger el valor, la tecnología cuenta con un factor fundamental, que si bien parece desalineado con la estrategia de negocio, encuentra en ella la fuente misma de las ideas que le permita evolucionar de ser un proveedor de servicios a un aliado de negocio. Esta última frase, que frecuentemente se escucha en los eventos internacionales, es el gran desafío de los gerentes o vicepresidentes de tecnología: poder educar a la gerencia en cómo la tecnología genera diferencia, más que cómo ésta es capaz de generar mayores ahorros.

De la mano con lo anterior, otro renombrado profesional en gobierno de TI, profundizó lo ya planteado en el contexto de la competitividad de los países, particularmente los latinoamericanos. Para este especialista, la competitividad la define “el que menos pierde en el contexto de un mercado” o dicho de otra forma “aquella empresa que genera resultados arriba del promedio de manera sostenida”. En el escenario actual de incertidumbres y desbalances macroeconómicos mundiales, la tecnología de información funge como un habilitador de alianzas y encuentros entre diferentes empresas, con el fin de marcar la diferencia ya no sólo individual, sino colectiva en el contexto de las realidades internacionales.

La tecnología de información y comunicaciones como fuente de creatividad y coordinación de iniciativas empresariales debe responder rápidamente a los cambios, so pena de convertirse en el mediano o largo plazo en un “commodity” perfectamente copiable y sustituible, dado su fuerte influencia y uso para fortalecer elementos como velocidad, calidad y costos que benefician la operación de las corporaciones. Así las cosas, la tecnología de información, como quiera que ésta debe ser funcional y operacional frente a los retos del día a día de las empresas, también se hace necesario repensar sus aproximaciones conceptuales y lenguajes corporativos, para que asegurando la disponibilidad de la infraestructura, pueda proteger el valor de la empresa, incrementar la agilidad de la transformación de la organización y ascender en su discurso al cuerpo empresarial de las juntas directivas.

El reto de los SCADA

Por otra parte los sistemas SCADA o Supervisory Control and Data Adquisition, son elementos fundamentales de las infraestructuras críticas de las naciones como son entre otras: los sistemas de distribución de energía, de derivados de los hidrocarburos, de funcionamiento de acueductos y otros servicios, así como de sistemas de transporte y emergencia de muchos países. Estos sistemas, por demás complejos e finamente interconectados con la realidad de tableros de distribución, válvulas de presión, medidores de temperatura o sistemas cerrados de televisión o control de acceso, establecen un reto de gobierno frente a la seguridad de la información de una empresa.

Estos sistemas, que si bien están automatizados y articulados con sistemas de información especializados, poco a poco han venido siendo objeto de ataques informáticos básicos y sofisticados, generando en las diferentes empresas encargadas de éstos, una incertidumbre creciente que obliga a sus responsables a una revisión completa del aseguramiento de los mismos. Dentro de los riesgos más relevantes para esta infraestructura tenemos: código malicioso, revelación no autorizada de datos críticos, modificación y manipulación no autorizada de datos sensibles, negación del servicio, acceso no autorizado a los registros de auditoría y modificación de los mismos.

Si bien para el mundo de los sistemas de información tradicionales, del trinomio de la seguridad de la información (confidencialidad, integridad y disponibilidad) las confidencialidad y la integridad son, en su orden, elementos claves para asegurar, en los sistemas SCADA dada la necesidad de funcionamiento permanente y generación de información en tiempo real, la disponibilidad se vuelve la fuente misma de las actividades para el aseguramiento de estos sistemas.

Sin perjuicio de lo anterior, los eventos recientes relacionados “armas informáticas” desarrolladas para poner en tela de juicio las protecciones hasta el momento desarrolladas para los sistemas de control, como es el caso de Stuxnet, un código malicioso capaz de tomar control de sistemas de control y telemetría, nos muestra que se hace necesario repensar el modelo de seguridad y control de estos sistemas y formular estrategias que correspondan con el reto de su operación ahora en redes IP y con exposición en las redes nacionales.

Dentro de las mejores prácticas establecidas para estos sistemas tenemos: monitoreo y aseguramiento de los registros de auditoría, biometría, firewalls, sistemas de detección de intrusos, detección y eliminación de código malicioso, criptografía asimétrica, control de acceso basado en roles y sobre manera, una alta sensibilización del personal que opera esta plataforma con el fin de asegurar el correcto entendimiento de la responsabilidad frente a la protección de estos sistemas y los impactos de eventos inesperados no sólo para la organización, sino para la nación.

Las reflexiones en la nube

Adicionalmente, fueron muchos momentos dedicados para comprender la computación en la nube y sus diversas aplicaciones e impactos. Muchos profesionales de Latinoamérica ven esta tendencia una importante posibilidad y forma de generar factores diferenciadores con tecnología, mucho de ello apalancado por el factor costos, pero se hace necesario una revisión juiciosa y sosegada para evaluar frente a las necesidades y retos empresariales, los riesgos que implica necesariamente entregar la información y los datos a terceros.

Por un lado las reflexiones se orientaron por el lado de la clasificación de la información, la protección de la misma y las implicaciones del tráfico transnacional de información personal (muchas veces no consentida) que genera incertidumbres para las empresas y los reguladores de las naciones. Por otro, se cuestionó los modelos actuales de seguridad y cumplimiento que podría derivar en movimientos de firma de auditores o personas certificadas a diferentes puntos del mundo para asegurar que el Cloud Service Provider o proveedor de servicios en la nube, cumple con lo establecido en el contrato y hace su mejor esfuerzo para limitar los impactos de posibles incidentes que se presenten.

En este escenario, se concluye que aún no se alcanza la madurez necesaria de la evolución de este modelo, de tal forma que aquellos que tomen la decisión de subirse a la nube, deberán estar alertas frente al tratamiento de incidentes que se presenten allí, los elementos de análisis forenses que se deban generar y los incumplimientos normativos, bien por acción u omisión se pudiesen presentar frente a la realidad de la información de las organizaciones. Existen algunos referentes internacionales que se sugieren para continuar aprendiendo de estos retos como son la guía de controles del Cloud Security Alliance y la guía de aseguramiento de control de ISACA IT Control for Cloud Computing.

Repensando la defensa de las naciones

Acciones internacionales como las creadas por Anonymous en diferentes países latinoamericanos revela un creciente interés en ese nuevo reto de gobernabilidad de las naciones denominado ciberseguridad y ciberdefensa. Luego de un largo exilio de los temas de defensa nacional, concentrados en realidades de campo operacional y de inteligencia tradicional, las naciones comienzan a comprender que existe un nuevo campo de acción y una nueva forma de impactar la realidad. Esta realidad convocada desde las redes sociales, interconectada con dispositivos móviles y reflejados en servidores y equipos en la nube, nos muestra el empoderamiento de las nuevas generaciones frente a una realidad digital que nos supera y nos cuestiona.

La ciberseguridad, como desarrollo de prácticas operacionales de protección y control, y la ciberdefensa, como la capacidad desarrollada por las naciones para defender sus activos de información estratégicos e infraestructura crítica nacional, son conceptos que poco a poco se deben incorporar en el lenguaje de los profesionales de gobierno de TI, no como una forma extendida de gobernar la tecnología de información en el contexto nacional, sino como una disciplina independiente que apalanca la gobernabilidad de una nación, la protección de los ciudadanos y las instituciones en un contexto global.

Si hoy a nivel internacional es una norma tener buenas prácticas en temas de gobierno corporativo, las naciones deben concretar esfuerzos para desarrollar estructuras que le permitan gobernabilidad a las naciones en el siglo XXI en un contexto digital; es decir, más allá de un nombre e identidad nacional, se hace necesario desarrollar programas nacionales de prácticas de protección de información, reconocimiento de las fronteras y condiciones de seguridad y control de la nación y sobre manera, la declaración abierta y fundamental que eleve a la información, como un bien jurídico y estratégico de la nación en todas sus actividades.

Si bien los países desarrollados han venido avanzando en el desarrollo y operación de planes para la ciberseguridad y ciberdefensa, es necesario que nuestra región inicie su camino en esta aventura, que implica necesariamente repensar el estado-nación en las consideraciones constitucionales de las naciones, para comprender que la defensa de nación no solamente cubre aire, mar, tierra, sino la red y sus confines, como una nueva frontera para proteger los derechos de los ciudadanos y de las nuevas generaciones que ahora viven en internet.

La privacidad: un derecho individual y corporativo

Finalmente y no menos importante, tenemos los temas de privacidad, protección de datos personales y la realidad del acceso a la información privada de los empleados en las empresas. Los retos jurídicos que esto implica, recaen en los avances jurisprudenciales de los países latinoamericanos donde el derecho de “habeas data”, se conjuga en primera persona (natural) frente al “conocer, actualizar y rectificar” que de igual forma tienen las personas jurídicas en los ordenamientos constitucionales latinoamericanos.

Si bien, podemos desarrollar contextos de acceso seguro, acordados y revisados con los titulares del dato, ellos jamás renuncian a su derecho constitucional de privacidad, que en cualquier momento podrán invocar, si ven vulnerados sus derechos frente a la información que sobre ellos, un tercero tiene acceso. No podemos ignorar, que frente a este debate del acceso o no a la información personal, existe la condición natural de los agentes de inteligencia de los gobiernos, los organismos de seguridad del estado y las solicitudes judiciales que autorizan a entes de policía judicial, como actores fundamentales que requieren, bajo el imperio de la ley, asegurar la información necesaria para actuar en derecho frente a las amenazas o retos de seguridad nacional.

Sin un consenso aparente en estas reflexiones, pronto Colombia tendrá una nueva ley de protección de datos personales que exigirá a cada una de las empresas desarrollar un manual de prácticas que muestre su compromiso y aseguramiento frente al acceso a los datos personales que manejen las organizaciones. Esto necesariamente deberá generar un esfuerzo colectivo de las empresas, que orientado por un nuevo desafío de cumplimiento, deben abordar la problemática de la protección de la información de manera general y, ahora en particular, para los datos de carácter personal.

Este tipo de iniciativas frente a la privacidad de la información no son nuevas en la región, sin embargo son generalmente inadvertidas por las áreas de tecnologías de información y seguridad de la información, dado el limitado monitoreo de los avances normativos en la materia que ejercen tanto el área jurídica como el área de tecnología. En este sentido, una relación más fluida entre las dos disciplinas y un trabajo interdisciplinario entre ellas, podrá generar nuevas y sostenibles ventajas competitivas frente a los retos empresariales donde la tecnología de la información es parte fundamental de la estrategia para desequilibrar los mercados.

Reflexiones finales

Así las cosas y aunque durante los días del evento se presentaron otros temas, igualmente relevantes para enriquecer el trabajo de los profesionales de seguridad y control, así como para los auditores de tecnología de información y altos ejecutivos empresariales, las reflexiones aquí representadas crearon en la audiencia memorias y enlaces frente a su realidad actual, para persuadir y motivar nuevas fronteras y retos corporativos y así, encontrar con cada uno de sus ejecutivos y profesionales, eso que deseamos y aquello que queremos ser: cruzar el umbral de la inercia corporativa y lanzarnos a escribir el futuro con letra imprenta y misteriosamente cursiva.

domingo, 4 de septiembre de 2011

Peritos Informáticos. Testigos expertos frente a la inseguridad de la información

Introducción

Cada vez más escuchamos que se adelantan procesos jurídicos donde se solicitan elementos materiales probatorios informáticos como parte de los componentes requeridos para identificar lo que realmente ocurrió. En este contexto, al igual que en la realidad norteamericana se hace necesaria la participación del “computer expert witness” o lo que en nuestro ordenamiento jurídico denominamos “peritos informáticos” o "expertos en informática forense" según reza el artículo 236 del Código de procedimiento penal Colombiano, Ley 906 de 2004.

Siguiendo una serie de reflexiones publicadas por Bruce A. Olson (ver referencias), experimentado abogado y especialista en computación forense, vamos a revisar algunas consideraciones claves que los “peritos informáticos” deben tener en cuenta para participar de manera adecuada en el desarrollo de audiencias y juicios donde se presenten materiales o componentes informáticos.

Un perito informático, de acuerdo con las reglas federales para manejo de la evidencia de USA, se define como “testigo calificado que por su conocimiento, habilidades, experiencia, entrenamiento o educación puede declarar o dar una opinión sobre una materia técnica, científica o especializada…”, el cual está allí para asistir al jurado y los participantes de la audiencia en el entendimiento de la evidencia y así establecer las claridades requeridas para tomar las decisiones respecto del caso en estudio.

En consecuencia con lo anterior, las reglas federales previamente mencionadas detallan las exigencias propias que deben considerarse en la opinión del perito informático, como son: “1. El testimonio deben estar basado en la suficiencia de hechos y datos, 2. El testimonio es producto de principios y métodos confiables y finalmente 3. El testigo ha aplicado los principios y métodos de manera confiable a los hechos de caso.” Por tanto, el perito informático califica como un profesional acreditado que utilizando el método científico es capaz de verificar o no hipótesis o cuestionamientos particulares siguiendo las exigencias de la disciplina científica; nunca para encontrar la verdad, que es algo que escapa al método en sí mismo. (*)

Acreditando al testigo experto en informática

En este sentido, parte del proceso que se surte en un proceso judicial es la acreditación de nuestro testigo experto, para lo cual Olson establece algunas características y condiciones básicas que permitan adelantar esta fase sin mayores dificultades. En primer lugar, al entregar su hoja de vida, asegure que todo lo que está allí es real y es susceptible de verificarse, pues su contraparte revisará cuidadosamente todas sus credenciales para evidenciar cualquier inconformidad o inconsistencia. Seguidamente, si cuenta con publicaciones efectuadas (las efectuadas en los últimos diez años), adjunte las mismas preferiblemente solicitándolas directamente al editor de la revista o cuerpo editorial de la publicación, de tal forma que pueda preparar un “dossier” claro y preciso que pueda ser revisado por un tercero.

De otro lado, entregue la información relacionada con sus títulos académicos y formación adicional que tenga; con las certificaciones indique la fuente de las mismas, la forma como se obtuvo, quien fue el patrocinador de la misma (si así ha sido) y la duración del entrenamiento. Así mismo, el detalle de su experiencia laboral, detallando la empresa, cargo desempeñado, logros particulares y motivos por los cuales se terminó el contrato con la empresa (si así ha sido). Recuerde, que todo esto será objeto de revisión, investigación y escrutinio por parte de la contraparte. Por tanto, prepárese para enfrentar cualquier cuestionamiento sobre algún inconveniente que haya tenido en su pasada vida laboral, pues deberá responder frente a la audiencia por los mismos, si hubiere lugar.

Finalmente si hubiese participado en otros casos semejantes, tenga en cuenta en cuales, el número del proceso y los expedientes concretos para mantener la trazabilidad de sus participaciones y testimonios, los cuales igualmente serán revisados por terceros.

Presentando los hechos analizados

Una vez se encuentra acreditado el “computer expert witness”, se debe asegurar una estrategia metodológica para presentar su informe científico sobre los hechos revisados, de tal forma, que siga las exigencias propias del testimonio de los expertos (ver (*)). En esta línea, Olson sugiere que el perito informático desarrolle su presentación con los siguientes elementos:
1. Inicialmente basado en su formación académica y entrenamientos, establezca los elementos conceptuales sobre los cuales se basa su reporte.
2. Presente los hechos fundamentales que fueron objeto de sus análisis.
3. Detalle y describa los procedimientos aplicados, técnicas de verificación y herramientas tecnológicas utilizadas.
4. Detalle el proceso de verificación de la toma de los datos informáticos y las condiciones en las cuales se adelantó dicho proceso.
5. Presente el análisis de los datos recolectados frente a los hechos de la investigación.
6. Entregue las conclusiones relacionadas con los hechos investigados.

Es importante que el perito tenga en cuenta que podrá ser controvertido por su contraparte, para comprometer la credibilidad de su informe y las opiniones que allí se encuentran establecidas. Por tanto, usted deberá sujetarse a los hechos y mantener la tranquilidad que la da la aplicación sistemática y científica de sus métodos, los cuales podrán ser revisados por cualquier persona y llegar a conclusiones equivalentes.

Al igual que en Colombia, en Norteamérica es claro que la participación de un especialista en temas de tecnología en un proceso jurídico, puede darse de dos formas: experto consultado o testigo experto. En el primer caso, es un llamado que le hace la corte al profesional para que ilustre a la audiencia sobre conceptos o claridades técnicas requeridas, que particularmente en el caso de USA, no es necesario que se conozca la identidad del mismo. En el segundo caso, el testigo experto hace parte del caso, sus informes son opiniones que se adjuntan al expediente y son susceptibles de verificación y controversia. En Colombia, el perito informático puede ser objeto de recusación (ver artículos 150, 151 y 152 de Código de Procedimiento Civil – disponible en: http://www.secretariasenado.gov.co/senado/basedoc/codigo/codigo_procedimiento_civil_pr005.html ), lo que implica que este profesional se encuentra expuesto durante el proceso, por lo cual se hace necesario contar con seguros de actuación profesional, que protejan a estos auxiliares de la justicia frente a imponderables que puedan afectar sus actividades relacionadas con sus testimonios basados en elementos materiales probatorios informáticos.

El informe pericial

Las reglas federales para el manejo de la evidencia norteamericana establece el contenido mínimo del informe que deben entregar los “computer expert witness”:

1. Una declaración completa sobre las bases y razones que expresadas por el testigo.
2. Los hechos y los datos considerados por el testigo para formarse su opinión.
3. Cualquier documento que haya utilizado para resumir o apoyar su opinión.
4. Las calificaciones académicas del testigo, incluyendo la lista de todas las publicaciones de su autoría en los últimos 10 años.
5. Una lista de los casos en que haya participado y declarado en calidad de experto en juicio.
6. Una declaración del pago efectuado por el análisis realizado y el testimonio en el caso.

Como podemos ver en la justicia norteamericana se exige que este profesional exponga de manera transparente sus conclusiones frente a los hechos, indicando todos los elementos colaterales alrededor de su contratación (si fuese el caso), así como la experiencia que este pudiese tener en casos anteriores. En Colombia, el informe pericial no tiene una estructura establecida por ley, sin embargo, se sugiere considere entre otros elementos los siguientes: (CANO 2009, pág.174-175)

1. Encabezado que identifique de manera clara y concreta, la solicitud efectuada, los participantes, código de identificación del caso, clasificación de la información y nombre de los investigadores.
2. Introducción donde se describa la conducta o hechos que se investigan, los alcances de la pericia y el objetivo mismo de los análisis realizados.
3. Validación y verificación de la cadena de custodia donde se especifica qué se recibe, de quién, en qué fecha, los objetos y sus características, marcas y seriales, peritos que reciben, identificador del caso, entre otros aspectos.
4. Procedimientos de preparación y adecuación de la evidencia recibida donde se detalle el proceso forense, la preparación de los medios, las herramientas utilizadas, la verificaciones del caso y los detalles de los análisis a realizar.
5. Análisis de la evidencia que muestre la ejecución de las herramientas utilizadas sobre las copias autenticadas de las evidencias recolectadas.
6. Hallazgos o hechos identificados como resultado de la aplicación de las herramientas tecnológicas que hablan generalmente de archivos, sitios en los medios, información recuperada, entre otros aspectos.
7. Conclusiones sobre los hechos investigados, sin juicios de valor, basados en los hechos y datos recolectados con las herramientas informáticas establecidas.
8. Firma de los analistas o peritos como forma de refrendar sus hallazgos y procedimientos aplicados sobre el material probatorio entregado.

Como podemos observar, cada una de las vistas establece elementos complementarios que invitan a los lectores a relacionar lo mejor de cada práctica y establecer sus propios formatos que permitan hacer mucho más formal y menos controvertible sus informes periciales frente la exigente crítica de su contraparte.

Declarando en la audiencia

La presentación del informe o declaración del testigo informático experto, es darle la oportunidad a los abogados para hacer todas las preguntas que él o ella quiera, claro está sujeto a las normas del procedimiento establecido, para que el perito responda en consecuencia. Recuerde que no es la oportunidad para decir todo lo que usted sabe del caso, sino la forma puntual y particular en la cual le dará respuesta a las preguntas que se le formulen y la forma en que será interrogado.

En razón con lo anterior, todas las respuestas que el perito detalle y comente serán parte del registro de la audiencia y no habrá momentos previstos para dejar declaraciones “fuera de los registros” de la corte. Esto significa, que todo lo que se mencione durante su intervención tendrá valorado dentro del proceso mismo y será sujeto de contrainterrogatorio si así se decide por alguna de las partes.

En Colombia existen algunas condiciones para interrogar y contrainterrogar al perito, las cuales conviene conocer para estar preparados frente a las condiciones y características que exhiba la contraparte frente a las declaraciones de este profesional:

Ley 906 de 204 Código de Procedimiento Penal (Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=14787)

Artículo 417. Instrucciones para interrogar al perito. El perito deberá ser interrogado en relación con los siguientes aspectos:
1. Sobre los antecedentes que acrediten su conocimiento teórico sobre la ciencia, técnica o arte en que es experto.
2. Sobre los antecedentes que acrediten su conocimiento en el uso de instrumentos o medios en los cuales es experto.
3. Sobre los antecedentes que acrediten su conocimiento práctico en la ciencia, técnica, arte, oficio o afición aplicables.
4. Sobre los principios científicos, técnicos o artísticos en los que fundamenta sus verificaciones o análisis y grado de aceptación.
5. Sobre los métodos empleados en las investigaciones y análisis relativos al caso.
6. Sobre si en sus exámenes o verificaciones utilizó técnicas de orientación, de probabilidad o de certeza.
7. La corroboración o ratificación de la opinión pericial por otros expertos que declaran también en el mismo juicio, y
8. Sobre temas similares a los anteriores.
El perito responderá de forma clara y precisa las preguntas que le formulen las partes.
El perito tiene, en todo caso, derecho de consultar documentos, notas escritas y publicaciones con la finalidad de fundamentar y aclarar su respuesta.

Artículo 418. Instrucciones para contrainterrogar al perito. El contrainterrogatorio del perito se cumplirá observando las siguientes instrucciones:
1. La finalidad del contrainterrogatorio es refutar, en todo o en parte, lo que el perito ha informado.
2. En el contrainterrogatorio se podrá utilizar cualquier argumento sustentado en principios, técnicas, métodos o recursos acreditados en divulgaciones técnico científicas calificadas, referentes a la materia de controversia.

Reflexiones finales y conclusiones

Finalmente el testigo experto informático deberá prepararse no solamente desde el punto de vista técnico frente a su reporte y los cuestionamientos de su contraparte, sino desde el punto de vista psicológico y emocional de tal forma que pueda mantener una posición tranquila y sana frente a las estrategias que el abogado de la defensa o la fiscalía, emprendan para desacreditarlo o desestabilizarlo y debilitar los resultados del informe presentado.

Como hemos podido revisar y advertir, convertirse en un testigo experto en informática o perito informático y someterse el exigente ejercicio de ser un efectivo auxiliar de la justicia en temas de alta tecnología, no solamente requiere el conocimiento técnico propio de la formación académica y la experiencia aplicada del mismo, sino de un estudio profundo del sistema de administración de justicia, su bondades y limitaciones, que le permitan a este profesional, conocedor de los procedimientos y técnicas científicas para el aseguramiento de las pruebas documentales informáticas, entregar los resultados de sus análisis frente a los hechos investigados, para que la verdad procesal brille basada en los hechos y los datos.

Referencias

Artículos de Brian Olson - http://www.dfinews.com/authors/4833
CANO, J. (2009) Computación Forense. Descubriendo los rastros informáticos. Ed. AlfaOmega.
Ley 906 de 204 Código de Procedimiento Penal - Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=14787

domingo, 14 de agosto de 2011

Inseguridad de la información: Maestra en la ciencia de la protección de la información

Conforme avanzamos en el desarrollo de esta nueva década del segundo milenio, notamos con preocupación que no estamos capitalizando las lecciones que la inseguridad de la información nos ha impartido con suficiente ilustración y detalle. La inseguridad de la información nos ha demostrado que existen elementos tanto en las personas, como en los procesos y en la tecnología donde puede actuar y renovar nuestro entendimiento de la protección de la información.

Avanzar en una propuesta de una “ciencia de la seguridad” (STOLFO, S., BELLOVIN, S. y EVANS, D. 2011) o en una “ciencia de la protección de la información” (COHEN 2011) es profundizar en los terrenos de la formalidad académica y científica para encontrar allí mejores referentes que nos permitan superar una posible vista artesanal de nuestro proceso de toma de decisiones frente a los retos de la inseguridad en las organizaciones.

Siguiendo los argumentos de STOLFO, BELLOVIN y EVANS (2011), hablar de una ciencia requiere al menos revisar tres elementos fundamentales: sistematización y generalización del conocimiento, desarrollo de leyes universales para hacer predicciones confiables y, conducción de investigaciones para verificar hipótesis y elaborar experimentos. En este sentido, los retos propios de la seguridad de la información se ven avocados a pasar por el filtro de la ciencia, para procurar tener mejores elementos de juicio y así formalizar nuestras acciones, de tal forma, que no sea solamente nuestro instinto o mejor estimación la que prime, sino una profunda revisión de los impactos y consecuencias de los análisis de las situaciones a asegurar, la que afine los criterios de toma de decisión de los analistas de seguridad de la información.

Si bien a la fecha, existe mucho conocimiento acumulado en los temas de seguridad de la información que nos permiten hablar en dominios específicos de temáticas como los son seguridad en redes, gestión de la seguridad, análisis de vulnerabilidades, arquitecturas de seguridad, entre otros, continúan apareciendo temas novedosos como son entre otros seguridad en la nube, seguridad embebida en dispositivos, geolocalización, que nos permiten seguir pensando y soñando con nuevas posibilidades para continuar construyendo la disciplina de la seguridad de la información. (COSTELLO 2011)

Bien dice un practicante de la seguridad, militante de la academia y de la industria, Bruce Schneier, que “en teoría existen sistemas seguros, pero en la práctica no”, denotando que mientras en los diseños y ecuaciones formales, es posible probar la confiabilidad de la seguridad de la información, asegurando la mayor certeza de sus propuestas; una vez se pasa a la aplicación de los mismos, la inevitabilidad de la falla se hace presente en la operacionalización de éstas, dado que en el mundo real, las condiciones no son igualmente replicables a las consideraciones teóricas que sustentan los conceptos. En este sentido, tener leyes universales que nos permitan un comportamiento predecible en seguridad, es enfrentar las mejores estimaciones matemáticas, con las condiciones inesperadas de una realidad llena de efectos colaterales y condiciones disímiles.

Lo más frecuente que se observa en seguridad es el desarrollo de investigaciones y experimentos controlados y no controlados, como la fuente primaria de reflexiones y propuestas para encontrar respuestas a nuestras preguntas, o mejor aún, como la estrategia para plantearnos mejores interrogantes. En este sentido, la seguridad de la información es una búsqueda permanente de un “grial” esquivo y deseado, que si bien todos saben que es inalcanzable, hacemos todo lo que está a nuestro alcance para experimentar, así sea de manera momentánea, un poco de su luz y de sus enseñanzas sobre la protección formal y confiable de la información en cualquier contexto.

Sin embargo, como bien anota COHEN (2011), los científicos o los hombres de ciencia son humanos y cómo seres vivientes, se equivocan, por tanto, la ciencia hace lo mismo. En este sentido, alcanzar confiabilidad de la disciplina científica en seguridad de la información, es entrar en un círculo vicioso donde tanto el hombre como la ciencia, se contaminan mutuamente para producir o generar un resultado que esperamos sea “seguro”, “confiable” y “libre de errores”.

Así las cosas, avanzar en una ciencia de la protección de la información, es reconocer que la inseguridad de la información es la maestra y educadora de los practicantes y académicos; es decir, aquella realidad que induce un aprendizaje, promueve la generación de mejores preguntas y encontrar nuevas respuestas; estimula el pensamiento independiente entre sus estudiantes, suscita la innovación, la creatividad y los retos intelectuales. (ACKOFF 2011)

Si lo anterior es correcto, no es suficiente que continuemos sencillamente comprendiendo los avances tecnológicos y su adecuada implementación en las organizaciones, sino cuestionando las diversas variables y condiciones de las corporaciones, para hacer de la seguridad de la información una forma de repensar la empresa y sus procesos, no como una meditación basada en un discurso restrictivo, sino como aquello que cada uno de nosotros entiende, cuando de cuidar un activo se trata.

En este sentido, FENZ, PARKIN y VAN MOORSEL (2011) aciertan cuando detallan que desarrollar un modelo de conocimiento en seguridad de la información requiere considerar, entre otros elementos, aquellos que hacen referencia a los aspectos sociales, tecnológicos y de negocio, como base para encontrar en el ejercicio de toma de decisiones de los gerentes de seguridad de la información, la información, las relaciones y la prospectiva necesaria para identificar patrones de acción que les permitan estar más cerca de las causas y no solamente de la experiencia de las consecuencias de las fallas.

Por tanto, desarrollar una ciencia de la protección de la información, exige como bien anota el profesor COHEN (2011), un encuentro con las disciplinas sociales y del comportamiento humano asociados con la protección de los activos, como fuente misma de nuestro entendimiento de la complejidad propia de las relaciones entre la tecnología y los procesos de la organización, donde los individuos son la parte activa de éstas, frente a las vulnerabilidades y fallas propias de los artefactos tecnológicos.

Finalmente, considerando y aceptando que la inseguridad de la información es nuestro mejor aliado para crear el futuro, mantenga su vista afinada en el camino y sus señales, para continuar haciendo la diferencia en el ejercicio permanente y renovado de lanzarnos en las “aguas profundas” de la incertidumbre y creer que siempre es posible ir más allá de los datos que representan las propiedades de los objetos y sus eventos, y alcanzar en la sabiduría del error, la forma anticiparnos cada vez más a los retos de la inevitabilidad de la falla.

Referencias
COSTELLO, T. (2011) 2011 IT Tech and strategy trends. IEEE IT Professional. January/February.
FENZ, S., PARKIN, S. y VAN MOORSEL, A. (2011) A Community Knowledge Base for IT Security. IEEE IT Professional. May/June 2011
STOLFO, S., BELLOVIN, S. y EVANS, D. (2011) Measuring Security. IEEE Security and Privacy. May/June 2011
COHEN, F. (2011) Toward information Science protection. Disponible en: http://all.net/Talks/2011-06-15-Keynote-Toward-IP-Science.pdf (consultado: 14-08-2011)
ACKOFF, R. (2011) Differences that make a difference. Triarchy Press.

domingo, 17 de julio de 2011

Análisis forense digital en la nube: El reto de la inseguridad en un ecosistema tecnológico

Estamos asistiendo a una nueva década dominada por las redes sociales, la computación móvil y la computación en la nube. Esta nueva condición de la sociedad digital, ubica a la información como uno de los elementos más sensible y más apetecidos por todos los participantes de esta realidad interconectada. Nada más cierto que el empoderamiento evidente de jóvenes y niños, que exigen de las redes mayor velocidad, mayor conectividad y renovados contenidos. Así las cosas, la información en movimiento, como la vida misma, es un reto que demanda de los mejores analistas de seguridad de la información, propuestas innovadoras para comprender ahora que significa “estar seguros” en un ambiente de cambio permanente, altamente impredecible, inalámbrico y de operación 7x24x365.

Entender la realidad actual de servicios y conexiones “sin cables”, es actualizar la reflexión de los retos asociados con los elementos materiales probatorios informáticos, medianamente conocidos y asegurados en un contexto cableado. Si encontrar o identificar a posibles atacantes en infraestructuras de configuraciones y flujos de información conocidos, ha sido un reto evidente durante los últimos 10 años, sumergirse en el desafío forense a través de las redes sociales, en medios inalámbricos y administrados por un tercero en la nube, describe una nueva disciplina y nuevos campos de investigación que exigen repensar la informática forense o computación forense en nuevo nivel, con una vista más sistémica, para establecer elementos sistemáticos que permitan avanzar en nuevos procedimientos estandarizados.

En un primer momento, conociendo esta realidad actual, se tiene la tentación de aplicar los procedimientos conocidos y generalmente utilizados para abordar el reto forense a través del trinomio: red social, móviles y la nube, pues al estar cada uno de ellos articulados y fundados en plataformas tecnológicas, suena coherente desarrollar los aseguramientos de evidencia, siguiendo los protocolos establecidos asociados con datos volátiles y no volátiles. Adicionalmente, poder seguir los rastros en cada uno de estos mundos, no debería ser diferente de lo que actualmente se efectúa cuando de investigaciones informáticas se trata.

Pero la realidad del análisis y reto de las investigaciones forenses en este renovado contexto abierto, de flujo de información permanente y ubicua genera más incertidumbres que certezas, más preguntas que respuestas y más imprecisiones que claridades. Mientras la esencia misma de la computación forense es establecer hechos y datos propios de la realidad que se investiga, una revisión de los diferentes actores de este nuevo escenario, nos propone diferentes perspectivas que confrontan los fundamentos de los procedimientos generalmente aceptados para avanzar en el aseguramiento de evidencias en un proceso forense digital.

En esta primera revisión del tema forense en el contexto actual, trataremos de analizar cada uno de los participantes y aquellos elementos críticos que hacen exigente una validación forense digital en medios sociales, apalancados en tecnologías móviles y convenientemente ubicadas en la nube.

Iniciemos con el usuario, con las personas, que cada vez más se advierte una alta dependencia de las redes sociales y consumo de contenidos y servicios en la web. Con el paso del tiempo los hábitos de las personas, particularmente de los niños y los jóvenes han venido migrando de una necesidad natural de interacción cara a cara, a una mediada por la tecnología, con información instantánea y técnicamente de acceso ágil y prácticamente ilimitado. Esto si bien es una gran ventaja para mantenerse actualizado y en movimiento, estamos debilitando la natural exigencia de explorar y revelar nuevas preguntas que forjen los nuevos investigadores del futuro, con hambre de logro, más allá de un click que hable de lo que “hay disponible”. Pero esta es una reflexión que está fuera del alcance de este análisis.

Desde el punto de vista forense, el caminar por las redes sociales es descubrir un perfil de la persona, sus hábitos para compartir información, sus patrones de conexión, las aplicaciones extra que utiliza y los amigos con los cuales más comparte. De igual forma, es detallar sus habilidades para configurar su interacción, los cuidados para aceptar a nuevos amigos y las particularidades de su personalidad que se describen en cada uno de sus publicaciones.

Analizar a un individuo en una red social, es ir más allá de cuál de ellas utiliza, es entender la interacción que existe entre el navegador y el sitio mismo, sabiendo que éste último está en un ecosistema tecnológico, con dependencias identificadas, bien para los servicios ofrecidos para sus usuarios, como para la infraestructura que los soporta. Así las cosas, una vista de la problemática estará en la forma como los terceros que intervienen han sabido estructurar la interacción de sus aplicaciones para ofrecer lo prometido y otra, la forma como la tercera parte mantiene y asegura los servidores y equipos de cómputo sobre los cuales se ejecutan los programas.

Como quiera que entender estas interacciones demanda una comprensión de un ecosistema que se articula en una malla de relaciones técnicas y de información, incorporar a este escenario, los conceptos de movilidad definen una realidad ampliada, que no es posible comprender sólo desde los elementos naturales de las redes inalámbricas y sus servicios, pues éstas representan sólo un medio adicional que se suma a las interacciones del ecosistema tecnológico que tenemos en la actualidad.

Así las cosas, las investigaciones forenses que conjugan las redes sociales y dispositivos móviles, superan las consideraciones actuales que los investigadores puedan tener, para recabar la información requerida con la profundidad necesaria, y así entender, el cúmulo de relaciones y puntos de contacto que son necesarios para encontrar patrones y respuestas a preguntas que se pueden hacer en una operación sin cables y altamente social digital.

Conjugar estas dos tendencias exige de parte del investigador forense reconocer que su entrenamiento actual se queda corto para asistir a la justicia en la persecución de las nuevas y silenciosas tácticas que la delincuencia viene utilizando a través de las redes sociales y los medios inalámbricos. Mientras los “chicos malos” avanzan diariamente en la búsqueda de nuevas opciones y oportunidades para continuar con su imperio del engaño y defraudación, apoyado bien en nuestras malas prácticas, fallas tecnológicas o de las aplicaciones, poco hacemos nosotros el mismo ejercicio de manera sistemática y formal para asegurar lo requerido en las personas, procesos y tecnología.

No contentos con lo anterior, ahora sumamos a la ecuación, por cierto, desde el punto de vista económico y estratégico, claramente positiva y rentable, la realidad de una relación más dependiente y más flexible de articulación de servicios de infraestructura, plataforma y de aplicaciones, lo que se denomina en el mundo tecnológico computación en la nube.

La computación en la nube es el eslabón “que hacía falta” para contar con la facilidad de almacenamiento prácticamente infinito, disponibilidad permanente y movilidad sin restricciones. La nube se convierte en el nuevo paradigma que “hace transparente” la relación entre los usuarios y los proveedores, la promesa de valor de pagar por lo que se usa, de agilidad para contar con lo que se quiere y desplegar los servicios de acuerdo con el cambio de las tendencias del mercado.

Así las cosas, se completa el cuadro de la complejidad que debe atender el nuevo observador forense digital, que consiste en entender primero las relaciones entre el usuario y su red social, luego la red social y los medios inalámbricos y finalmente los servicios tercerizados y sus accesos desde los medios móviles así como las consideraciones de interacción de los usuarios.

Como podemos ver, adelantar una investigación forense en una realidad como la que hemos analizado no es una extensión de lo que conocemos hoy en forensia digital. Es elevar nuestra reflexión general del análisis de datos que soportan los informes técnicos, por un ejercicio de desdoblamiento de la complejidad entendiendo a los actores comprometidos y sus relaciones en una escena virtual que tiene sentido en un escenario real.

De acuerdo con lo anterior, dejamos planteados los elementos base de una revisión de la computación forense en un ecosistema tecnológico, que demanda una estrategia de análisis y entendimiento renovado para retar y confrontar los modelos conceptuales conocidos para adelantar investigaciones forenses en informática.

Referencias
RUAN, K. (2010) Cloud forensics: Challenges and opportunities. Centre for cybercrime investigation. University College Dublin. Disponible en: http://confluence.jetbrains.net/download/attachments/36015346/Cloud+Forensics+-+Challenges+and+Opportunities.pdf (Consultado: 17-07-2011)
WRIGHT, B. (2010) Digital forensics and social media. Disponible en: http://computer-forensics.sans.org/blog/2010/04/20/digital-social-media/ (Consultado: 17-07-2011)
TRIMINTZIOS, P., HALL, C., CLAYTON, R., ANDERSON, R. y OUZOUNIS, E. (2011) Resilience of the Internet Interconnection Ecosystem. Disponible en: http://www.enisa.europa.eu/act/res/other-areas/inter-x/report/interx-report (Consultado: 17-07-2011)

lunes, 6 de junio de 2011

Amenazas Persistentes Avanzadas. La inseguridad de la información como fuente de inteligencia estratégica para los intrusos

Desarrollando el concepto de las Amenazas Persistentes Avanzadas - APAv
Considerando los impactos que puede tener una fuga de información a nivel corporativo y los constantes intentos de los intrusos por alcanzar las infraestructuras tecnológicas de las empresas, vía la práctica del engaño y manipulación de información disponible en internet, se hace evidente una tendencia o vector de ataque que busca como objetivo contar con un grado de control de la infraestructura atacada, actuando persistentemente para retener el acceso y las posibilidades que este brinda.

En este sentido, Richard Betjlich, detalla los elementos básicos del adversario que actúa siguiendo los elementos de una Amenazas Persistentes Avanzadas - APAv, con el fin de comprender mejor su motivaciones y movimientos que nos permitan, más adelante, establecer algunas contramedidas que permitan limitar el accionar de este tipo de amenazas, que buscan comprometer la esencia misma de la ventaja competitiva de las empresas, como lo es su información: (BEJTLICH, R. 2010)

Amenaza significa que el adversario no es una pieza de código sin sentido, al contrario, es una persona motivada, financiada y organizada, que busca un objetivo particular, para lo cual estará bien rodeada y asistida para lograr la misión designada.

Persistente significa que el adversario tiene una tarea que cumplir y que insistirá en ella hasta lograrla. En este sentido, persistente no significa necesariamente que buscará ejecutar un código malicioso en el computador víctima, sino mantener el nivel de interacción necesario para alcanzar sus objetivos.

Avanzada significa que el adversario puede operar un amplio espectro de posibles intrusiones informáticas, es decir, puede utilizar desde las más evidentes y publicitadas vulnerabilidades, o elevar el nivel del juego, para investigar o desarrollar nuevas debilidades o fallas dependiendo de las prácticas de seguridad y control de la empresa objetivo.

Como quiera que este tipo emergente de amenazas no es nuevo, en cuanto se basa en un componente eminentemente humano y asociado con comportamientos de las personas frente al tratamiento de la información, si representa una importante novedad, cuando se trata de operaciones digitales asistidas con propósitos de espionaje y desinformación, aplicados sobre objetivos gubernamentales, militares o privados.

Casos recientemente publicados y ampliamente difundidos dan cuenta que este tipo de amenazas han cobrado importantes organizaciones, poniendo en tela de juicio sus posturas frente a la seguridad de la información. A continuación se detallan algunos de ellos, como fuente de documentación y lecciones aprendidas: (SAVAGE, M. 2011)

  • El ataque a la firma RSA inició con dos correos phishing con asunto: “2011 Recruitment Plan”, enviado a dos pequeños grupos de empleados. Un empleado dio click en una de las hojas electrónicas adjuntas en el correo, el cual contenía un exploit de día cero, lo cual abrió una brecha de seguridad dentro de la empresa, lo que permitió que los atacantes tuviesen acceso a los sistemas de información críticos de la empresa y paso a la información relacionada con los productos SecureID, del cual son líderes en la industria de seguridad informática.
  • De otra parte tenemos el ataque del grupo “Anonymous” a la firma de seguridad HBGary Federal al inicio de este año. El ataque consistió en efectuar un engaño a un administrador de red, para que se diese acceso al sitio Rootkit.org, sitio web de investigaciones en seguridad informática mantenido por el fundador de la empresa Greg Hoglund, ocasionando desde allí un ingreso no autorizado a la empresa, ganando acceso a los sistemas interno de correo electrónico con datos sensibles y otra información crítica de la misma.
  • Finalmente el ataque a Google efectuado el año anterior, donde los atacantes recolectaron información publicada por los empleados de la firma en redes sociales como facebook y linkedid. Luego, configuraron un sitio web con fotos falsas, desde donde enviaban correos electrónicos que contenían enlaces al parecer confiables, dado que venían aparentemente de personas de confianza. Una vez, la personas hacía click sobre el enlace del correo, se descargaba un código malicioso, que abrió una brecha de seguridad que dio acceso a los servidores corporativos de Google.

APAv - Lecciones aprendidas y algunas por aprender
El foco fundamental de una APAv es atacar a los usuarios y no a las máquinas. Es un movimiento psicológico y de comportamiento basado en la información misma de las víctimas, que genera una falsa sensación de seguridad que permite al atacante, tener acceso a la infraestructura interna de las organizaciones. En este sentido, se hace necesario establecer iniciativas de monitoreo de cruce de información, balancear la necesidad natural de los empleados por descargar información, permitir dispositivos móviles en las redes internas y el acceso a redes sociales; un mundo de intereses cruzados que enfrenta los derechos fundamentales de los individuos y la exposición a los riesgos propia de las empresas con presencia en internet.

¿Qué hemos aprendido de los múltiples casos de uso efectivo de las APAv? Hagamos una mirada crítica sobre tres elementos fundamentales:

1. Nuestra naturaleza orientada a confiar en los demás. Esta condición sana y generosa que al interior de las empresas se genera por un ambiente de camaradería y motivación al trabajo en equipo, se ve mancillada y desvirtuada, frente a las APAv, dado que la información expuesta de las personas de la empresa en internet, opera como estrategia de inteligencia que permite abrazar la confianza de una comunidad, que de manera inadvertida acepta y entiende, que de personas conocidas podemos aceptar mensajes o comunicaciones, generando graves brechas de seguridad que comprometen el buen nombre y los activos intangibles de la empresa.

2. Manejo de las expectativas de las personas. Esta situación propia de los seres humanos, que generalmente busca alcanzar y satisfacer de manera natural, se ve oscurecida, cuando un tercero es capaz de conocer o inferir este tipo de deseos o anhelos, en los cuales encuentra el mejor motivador y motor para capturar la atención de sus víctimas. En este sentido, información sobre ascensos, ingresos, nuevos beneficios o incluso retiros de personas de las empresas, se vuelve sensible y clave a la hora de lanzar estratégicamente engaños electrónicos, que hagan sentido con las esperanzas e intereses de las personas en las organizaciones.

3. El afán de compartir información: si no estás en las redes sociales, no existes. Estamos en un mundo donde la información fluyen todo el tiempo. Es nuestro deber, saber que debe circular y que no, que información voy a compartir y cuáles serán sus implicaciones de hacerlo. Debemos tomar mejores decisiones informadas sobre los riesgos derivados de ubicar información en los medios electrónicos, sabiendo que al hacerlo estamos minando nuestro propio derecho a la privacidad y control de la misma. Así, mientras más conscientes seamos de la información que tenemos y compartimos, mejores experiencias tendremos al interactuar en la red.

Todo esto nos lleva indefectiblemente a cuestionarnos sobre el contexto futuro y emergente que nos traen las nuevas tendencias tecnológicas y propuestas de servicios, que no hacen otra cosa que motivarnos a mantener información en otros dominios, compartir información con otras personas y movilizarnos todo el tiempo sin restricciones de cables o lugares. Por tanto, se requiere hacer un pare en el camino y comenzar a desaprender de nuestros comportamientos actuales y concretar algunas recomendaciones que nos permitan disfrutar de manera responsable este nuevo entorno abierto, móvil y dinámico que nos proponen los nuevos desarrollos.

En este contexto, detallamos a continuación algunas lecciones que tenemos por aprender frente a los avances de las APAv, que prometen seguirnos sorprendiendo ahora en un universo personalizado en la nube y con empoderamiento permanente de los usuarios frente al uso de las tecnologías de información y comunicaciones.

1. Insistir en el valor de la información como activo crítico empresarial. ¿Por qué no le duele a las personas la información de la empresa? ¿Por qué sólo hasta cuando algo ocurre nos interesamos en el tratamiento de la información? La respuesta es sencilla, no existe un vínculo formal que permita valorar la información, como las cosas propias que afectan la vida de cada individuo. La información es algo externo a su realidad, que sólo es considerada importante, cuando la misma te afecta como persona en cualquier contexto de la vida.

2. Clasificar la información como práctica natural del tratamiento de la información. Todos sabemos que manejamos información privada y pública. Nadie quiere que se conozca parte de su vida y obra, a menos que cada uno lo autorice formalmente. De igual forma debería funcionar con la información empresarial, toda ella representa la vida y obra de la firma, mucha de ella habla de cosas que sólo le pertenece a la empresa, mientras otra está diseñada para ser compartida con el entorno. Así, mientras este ejercicio intuitivo que hacemos de manera personal, no sea una práctica natural en el entorno corporativo, continuaremos escuchando historias que nunca se debieron contar.

3. Promover sistemas de inteligencia y monitoreo preventivo sobre el flujo de información empresarial. Esta consideración advierte a las organizaciones que deben avanzar en el desarrollo de nuevas capacidades de detección de patrones competitivos y de amenazas informáticas en el contexto de sus relaciones de negocio, para establecer acciones preventivas que permitan anticiparse a futuros ataques o amenazas. Esto significa, que la información no será solamente un activo crítico, sino la fuente misma de las acciones de la organización frente a los retos de seguridad de la información que le sugiera su entorno, teniendo la capacidad de cambiarlo si es necesario.

Reflexiones finales
Conocer y advertir este tipo de estrategias de inteligencia informática, exige de cada una de las organizaciones, afianzar sus esfuerzos de entrenamiento y prácticas asociadas con el tratamiento de la información, dado que cada vez más habrá “comandos especializados”, que adelanten operaciones focalizadas para tener información sensible que requiere un tercero, utilizando como puente a alguno de los empleados. Por tanto, mientras más conciencia se tenga del nivel de exposición que se tiene frente al manejo de la información, mejor será el “mínimo de paranoia administrable” que cada una de las personas debe desarrollar.

En consecuencia y sabiendo que la situación no habrá de mejorar en el corto plazo, desarrolle una función de contrainteligencia informática sustentada en la formación y desarrollo de “firewalls” humanos, que compartiendo información y advirtiendo situaciones fuera de lo establecido, pueda distinguir la asimetría de la inseguridad de la información, a través de patrones de comportamiento emergentes y divergentes.

Finalmente y sabiendo que el adversario será persistente en su misión para lograr el acceso no autorizado, debemos advertirle, que si bien no conocemos qué nuevo movimiento estará planeando, si estaremos vigilantes y perseverantes para hacerles la vida más difícil, aprendiendo de nuestra maestra la inseguridad de la información.

Referencias
BEJTLICH, R. (2010) Understanding the advanced persistent threat. Information Security Magazine. July. Disponible en: http://searchsecurity.techtarget.com/magazineContent/Understanding-the-advanced-persistent-threat (Consultado: 6-06-2011)
SAVAGE, M. (2011) Gaining awareness to prevent social engineering techniques attacks. Information Security Magazine. May. Disponible en: http://searchsecurity.techtarget.com/magazineContent/Gaining-awareness-to-prevent-social-engineering-techniques-attacks (Consultado: 6-06-2011)