lunes, 14 de febrero de 2011

Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's


¿Quiénes son los arquitectos?

Frecuentemente se habla de arquitecturas, de arquitectos, elementos y personalidades que poco a poco han tomado forma en medio de diferente temáticas como tecnología de información, seguridad de la información, talento humano, liderazgo entre otros campos. Cuando revisamos la etimología de la palabra arquitectura, encontramos que proviene del griego αρχ (arch, cuyo significado es ‘jefe’, ‘quien tiene el mando’), y τεκτων (tekton, es decir, ‘constructor’ o ‘carpintero’), que de manera combinada podría leerse como “jefe constructor”, esa persona que orienta, dirige y mantiene el rumbo para asegurar que cada pieza sea la requerida y mantenga la vista general y articulada de todo cuanto se tiene.

El arquitecto es quien de manera sistemática y sistémica define y mantienen las relaciones entre los elementos, le da forma a la estructura y define su propio funcionamiento. Ser un arquitecto es encontrarle el sentido a cada unión de los componentes, entendiendo su función en el conjunto de su obra, una forma de conjugar diferentes vistas de los participantes e interesados para ser luz en medio de las “turbas” de los diferentes entendimientos. Ser un “maestro constructor”, es traducir la complejidad y la visión de un diseño, en la sencillez de una expresión, en la cotidianidad de una explicación y en la contundencia de una declaración.

Avanzar en el diseño de una arquitectura, es decir, de una forma de articular y entender una realidad, es sumar en la reconstrucción de una verdad vista por múltiples actores, planteando una serie de patrones y parámetros para hacer de la visión de la estructura final, una ruta concreta y desafiante que permite a cada uno de sus participantes, sentirse orgulloso de un logro colectivo. El arquitecto no puede permitirse “errores de interpretación” o la tentación de “tener la verdad”, pues corre el riesgo de encontrarse con su propio reflejo, que no es otra cosa que su limitado entendimiento del enfoque final del proyecto.

En este sentido, tener la responsabilidad de ser un arquitecto de tecnología de información, de seguridad de la información, de la estrategia corporativa de una organización, requiere ir más allá del entendimiento de su propia área de conocimiento y forzarse a cruzar sus dominios y descubrir aquellas relaciones que antes no había visto, encontrarse con la esencia misma de la incertidumbre, para trazar un camino evolutivo que lo lleve de una vista particular, a una colectiva y enriquecida con las reflexiones de otros.

Un arquitecto que se niegue a vivir la realidad de su misión: ser facilitador de una visión colectiva de un equipo, sabrá que será responsable por las consecuencias de las inconsistencias que se planteen en el desarrollo de sus planes, pues el que debiendo ser luz, se vuelve tiniebla, corrompe la sal que “da sabor” a la fuente de la perspectiva y limita el desarrollo del potencial de la comunidad, de la cual es mentor.

Así las cosas, los arquitectos, esos jefes de construcciones técnicas, deben ir en profundidad de sus propias limitaciones, para que haciéndolas evidentes en cada una de sus actuaciones, puedan ser ocasión para descubrirse a sí mismos. Por tanto, avanzar en el reconocimiento de principios básicos de arquitectura, es recabar en la historia reciente de la humanidad que desafiante de la obra divina, es capaz de vivir la humildad de su propio conocimiento.

Finalmente y sabiendo que todos somos responsables para lograr la “maestría del constructor”, es necesario reconocernos finitos y limitados, para encontrar el camino que nos lleva la “veritas”, esa promesa divina y búsqueda humana, que se esconde en cada uno de nuestros pensamientos, en cada disciplina científica, en cada esfuerzo humano y técnico que hace de cada día, la experiencia más exigente y desafiante que podemos experimentar: vivir en plenitud y sin límites.

Reflexiones para los arquitectos de seguridad de la información

En este sentido, un arquitecto de seguridad de la información y todo su conocimiento deberá servir de “tapete” para que sea mancillado y puesto a prueba por las “huestes” de la inseguridad de la información y así, aprender de cada paso de sus maestros, la exigencia del reto de encontrar sentido y valor para ver más allá de lo evidente y escribir “derecho” con las letras “torcidas”.

Todo aquel que en seguridad de la información acepte el reto de ser un arquitecto, deberá soltar la vista de la infraestructura tecnológica y sumergirse en el mar de las relaciones de los negocios, no para saber cómo alcanzar mayor reconocimiento corporativo, sino para descubrir en las esencia misma de cada estrategia corporativa, cómo apalancar la diferencia desequilibrante, en un mercado altamente competitivo y dinámico.

Los arquitectos de seguridad de la información deben encontrar en su organización, el mejor laboratorio conceptual y arquitectónico para poner a prueba su entendimiento de los negocios y las promesas de valor basadas en la confianza corporativa, con el fin de esbozar con mayores detalles las estructuras más adecuadas para anticiparse a los ataques propios de la inseguridad de la información replegada en la articulación de la tecnología, las personas y los procesos.

En consecuencia, avanzar en una vista empresarial de la arquitectura de seguridad de la información, es reconocer en las capacidades del negocio, fuerzas y mecanismos anticipatorios, que permitan proteger los flujos de información que alimentan la estrategia. Es buscar en la sabiduría de los incidentes de seguridad, el conocimiento requerido para blindar las respuestas de la organización frente a sus amenazas. Es comprender las expectativas de los interesados, como retos y sugerencias de transformación que hacen de las estrategias de seguridad de la información, un insumo real y evidente de cómo se logran las metas empresariales.

Cuando el gerente, director o ejecutivo de seguridad de la información, reconoce en la arquitectura empresarial, cómo se hace parte de la dinámica de la corporación misma, revela los disparadores escondidos del programa de seguridad de la información, amplía la visión del modelo de negocios y es consciente del impacto de sus decisiones frente a la protección de la información.

Si bien existen múltiples formas de aproximarse al diseño de una arquitectura de seguridad, cualquiera que se escoja deberá tener en cuenta al menos cuatro elementos fundamentales: la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos. Estos cuatro elementos, visto de manera sistémica, revelan las necesidades propias de una organización frente al reto de hacer de la información un activo valioso y de su protección, una práctica sistemática inmersa en cada elemento de ella.

Por tanto, los arquitectos de seguridad de la información deberán compartir y alinear la agenda interna de la alta gerencia, con la agenda interna del área de seguridad de la información, no para estar enterados de los retos y ajustes empresarial, sino para afinar y ajustar sus acciones frente a las amenazas empresariales del entorno y, cómo desde el entendimiento de los riesgos de la información, generar escenarios predictivos y preventivos que custodien la forma como la empresa genera valor para sus accionistas y empleados.

Para dar cumplimiento a esta promesa del arquitecto de seguridad, se deben considerar algunas declaraciones de diseño que no pueden ser negociables y menos hoy en un ambiente móvil, de sobrecarga de información y de servicios extendidos.

Las declaraciones sugeridas son:
• La inseguridad de la información en una propiedad inherente de un sistema, por tanto es deber de la arquitectura descubrirla y entenderla.
• La arquitectura de seguridad de la información deberá ser flexible y adaptable como la inseguridad de la información (Resilente).
• El arquitecto debe entender que la seguridad es una propiedad emergente de un sistema y por tanto, deberá generar la variedad requerida para enfrentar sus amenazas internas y del entorno.
• Cualquier diseño que se proponga para enfrentar la inseguridad de la información deberá privilegiar la autoregulación, la autoadaptación y el aprendizaje, como apalancadores de valor para la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos.

Si bien no será fácil materializar esta disciplina arquitectónica en los diseños actuales de seguridad de la información, será un reto tratar de hacerlos realidad en las nuevas iniciativas, que den paso a un entendimiento de la seguridad, más allá de un ejercicio de protección de información y aseguramiento del cumplimiento normativo, por otro donde los fundamentos de la seguridad sean parte de la construcción de modelos de negocio confiables y productivos y la información sea el eje fundamental de nuestra relación con los accionistas y grupos de interés.

Referencias
• WEIL, ROSS y ROBERTSON (2006) Enterprise Architecture as Strategy. Harvard Business School Press.
• KOVACICH, G. y HALIZBOZEK, E. (2006) Security metrics management. Butterworth Heinemann.
• SCHOU, C. y SHOEMAKER, D. (2007) Information assurance for the enterprise. A roadmap to information security. McGraw Hill.
• COHEN, F. (2005) Security Governance: Business Operations, Security Governance, Risk Management and Enterprise Security Architecture. ASP Press.
• CARALLI, R. (2004) Managing for enterprise security. Technical Note. CMU/SEI-2004-TN-046. Carnegie Mellon University.

domingo, 6 de febrero de 2011

Cultura de ciberseguridad: Un estandar de comportamiento colectivo

La era de la información, como es frecuentemente llamada nuestra sociedad actual no es otra cosa que la consecuencia natural del ser humano por conocer y descubrir su propia realidad y dejar evidencia y registro de sus observaciones, bien como forma de operacionalizar y ordenar lo observado y experimentado, o como testimonio de una visita sincrónica o asincrónica de un legado reciente que captura un momento en el tiempo.

Así las cosas los datos privados, la propiedad intelectual, la infraestructura y aún las fuerzas militares y la seguridad nacional pueden ser comprometidas por ataques deliberados, inadvertidas fallas de seguridad y vulnerabilidades inherentes de internet y sus diferentes componentes y relaciones. En este sentido, los gobiernos han venido revisando sus agendas para comprender estos nuevos fenómenos, que definitivamente alteran la gobernabilidad de las naciones y ponen en tela de juicio a las instituciones frente a sus ciudadanos.

Enfrentar esta realidad exige el conocimiento de los cambios en los hábitos y estilos de vida de los nuevos habitantes de la red, seres necesitados de interacción permanente, servicios novedosos e interacción móvil, para fortalecer el empoderamiento que la tecnología y sus componentes les brindan, y hacer de su espacio vital, una extensión misma de su vida natural, en un contexto virtual.

En consecuencia, una falta de atención a las amenazas de seguridad en un ambiente abierto e interconectado, crea un vector de ataque impredecible, que articulado con una “confianza inusual” de los jóvenes de ciudadanos digitales en los medios informáticos, establece un tejido oculto y desafiante que mimetiza a los atacantes, creando un ecosistema paralelo y dependiente donde los cautivos usuarios serán objeto de acciones indeseadas o en el peor de los casos, actos que atenten contra su integridad física.

Al tener un colectivo de visiones en un espacio prácticamente infinito como lo es internet, podemos tener grandes beneficios como alto niveles de transparencia y responsabilidad por lo que se hace o deja de hacer, pero de igual forma, una puerta para abandonar y evadir cualquier investigación que trate de llegar la verdad. Por tanto, construir una visión de ciberseguridad global o al menos local, exige la creación de un espacio de confianza psicológica y tecnológica, que motive en los participantes, la aplicación de prácticas que limiten las acciones de los terceros no autorizados.

En la búsqueda de esta condición de apertura e intimidad con los artefactos tecnológicos, se precisa mantener un balance que comprenda las expectativas de los individuos en su interacción a través de internet y las responsabilidades de las autoridades gubernamentales en esta interacción. Luego, no es posible cargar un solo lado de la balanza, pues de hacerse, los intrusos sabrán que habrá oportunidad para continuar cuestionando las iniciativas de los gobiernos y provocando a los ciudadanos, haciendo que éstos, ante su desesperación, actúen de manera errática y desordenada.

Para que esta cirugía de precisión se materialice, se hace necesario cambiar la vista de seguridad, por la vista de riesgos. Es decir, la seguridad es una propiedad emergente que se presenta fruto del diseño de la interacción de elementos como la tecnología, las personas y los procesos, mientras los riesgos son una propiedad inherente a los objetos que representan aquellas amenazas y condiciones que pueden atentar contra este (bien de manera positiva o negativa), razón por los cual deben identificarse y tratarse conforme se requiera.

Cuando encontramos en la vista de riesgos, una forma de repensar la tradición natural de la seguridad, como barreras y limitaciones que limitan un acceso, creamos una cultura creativa alrededor de la amenazas, que comprendiendo la dinámica de las relaciones, es capaz de sorprender a la atacante en su propio terreno y hacer de la condición inusual, una postura proactiva para enfrentar la condición insegura.

Hablar entonces de una postura de ciberseguridad en el contexto de los ciudadanos de la sociedad de la información y el conocimiento, es construir un estándar de comportamiento colectivo y protocolos de anticipación, reacción y contención, que encuentren en la amenazas informática del entorno, una forma de recomponer su posición frente al acceso a la información y sus servicios asociados, no como una limitación a su empoderamiento natural en la red, sino como una forma de darle sentido a sus derechos civiles y libertades individuales.

Cuando los individuos se hacen responsables de sus comunicaciones, de los contenidos de sus aportes en la red; cuando reconocen que existen formas alternas de acceder a la información y, que mientras mayor sea la exposición de sus datos en la red, mayor será la sombra digital que se puede ver; estamos asistiendo a la conformación de una conciencia de seguridad de la información colectiva, que reconoce y destruye la complejidad de la red y sus posibilidades; un sistema de lecciones aprendidas que no busca otra cosa que “desaprender” cada día para dejar al descubierto el camuflaje de la inseguridad de la información.