domingo, 13 de marzo de 2011

Postura individual de seguridad de la información: Un hábito requerido para sobrevivir ante la inevitabilidad de la falla.

Cuando se lee en los principales medios informativos en el mundo sobre la amenaza de ciberguerras, sobre armas no convencionales soportadas en desarrollos tecnológicos, ciberataques y grupos o asociaciones técnicas y/o científicas que comprometen la seguridad de las infraestructuras tecnológicas de los gobiernos y naciones, o se filtran informaciones clasificadas como secretas o ultra secretas, como se presentó recientemente con Francia, se nos viene a la cabeza historias como las de Julio Verne, que en su momento desafiaron nuestro entendimiento y confrontaron nuestra realidad.

Sin embargo, hablar de fraude en un ambiente digital, de cibercriminalidad, de vulnerabilidades e inseguridad de la información ya no es desconocido en nuestro entorno; no obstante lo anterior, seguimos conquistados por la novedad de la tecnología y sus posibilidades, con una extraña confianza en ella, como si el proveedor cuidara de los detalles de seguridad y control, como parte inherente de la entrega del producto. En este sentido, cada uno de nosotros debe advertir que al estar en un ambiente de alta conectividad y componente informático, nos vemos expuestos a operar en un escenario donde se nos “pide” compartir información, detallar configuraciones de nuestros dispositivos móviles y muchas veces entregar las especificaciones de los medios tecnológicos propios para entrar en contacto con aquello que queremos o necesitamos. (GRAGIDO, W. y PIRC, J. 2011)

Como quiera que esta manifestación de una tendencia informática en la que nos encontramos indefectiblemente nos va a atrapar, se hace imperioso desarrollar y aumentar nuestra postura de seguridad de manera proactiva, que nos permita como ciudadanos de las redes, caminar con las medidas mínimas de seguridad y control, no para evitar ser alcanzado por la inseguridad de la información o la infraestructura, sino para ser más responsables y disciplinados en nuestras interacciones en el mundo digital que nos lleva más allá de la realidad en que vivimos. (GIRGENTI, R. y HEDLEY, T. 2011)

Hoy por los CIOChief Information Officer, o llamados Vicepresidentes o Directores de Tecnología de Información o mal llamados de Sistemas, se enfrentan al desafío de una sociedad altamente alfabetizada en temas tecnológicos, la cual le exige día con día mayor velocidad, mayor capacidad y mayor libertad de acción, para hacer de la experiencia de la tecnología en las empresas, una forma de aumentar la productividad de sus empleados. En este tenor, en la aparente libertad y posibilidades que se abren con los desarrollos tecnológicos, se esconden costos humanos, técnicos y procedimentales, que aún estamos por descubrir.

De otra parte, los oficiales de seguridad de la información, como ejecutivos responsables de las estrategias de protección de la información de las empresas, al igual que sus similares (CIO), sufren de las exigencias de los individuos, que demandan servicios y posibilidades que conquisten lo mejor de los dos mundos: la novedad y versatilidad de las tecnologías móviles e interactivas, con lo mejor de las condiciones de seguridad y control disponibles en el mercado. Así las cosas y sin perjuicio de las implicaciones que esta “espinosa” realidad establece, encontrar el balance ideal o al menos requerido para entregar lo mejor a los ansiosos “usuarios” es una labor donde ambos mundos deberán ceder en sus demandas y conciliar una posición intermedia, donde ninguno de los actores sea parte dominante.

Hablar de una sociedad digital, donde día con día se abren posibilidades y negocios novedosos con la información, la movilidad y la vida virtual, es entender una transición de un modelo de sociedad conocida y validada por comportamientos del mundo físico y real, a uno donde la vida transcurre siempre “en línea”, conectado y compartiendo información, donde las distancias no existen y los límites se desdibujan con un “click”.

Este es un momento histórico de transformación de la sociedad que conocemos y abrirnos a una nueva forma de interacción, que no permite demoras en la respuesta y entiende que en la movilidad esta la respuesta a su vida agitada y de comunicación, aún ésta no alcance el sentido real y formal que exige la misma.

Desarrollar una postura real y práctica de seguridad y control en una sociedad como la actual, en transición y concentrada en el movimiento permanente de información y tecnología, requiere integrar a nuestras acciones al menos cuatro elementos conceptuales y sencillos, que nos permitan contar con las alertas mínimas requeridas para caminar por el pedregoso mundo de la inseguridad de la información en un ambiente digital.

Siguiendo los conceptos expuestos por Westerman y Hunter (2007) en su libro, IT Risk. Turning business threats into competitive advantage, publicado por Harvard Business School Press en 2007, el lenguaje de los riesgos de la tecnología de información es una herramienta fundamental y básica que nos debe sensibilizar para avanzar en la construcción de una red de actividades cotidianas para asegurar una adecuada interacción con internet y todo lo que ella conlleva.

Según los autores, los temas de disponibilidad, control de acceso, exactitud y agilidad deben ser el nuevo modelo de entendimiento de nuestra relación con la avalancha de exigencias de movilidad y la realidad de la sociedad digital. Como se puede observar, estas cuatro palabras, no hablan de restricciones o conductas que requieran entendimientos sofisticados, sino más bien de acciones conocidas y disciplinadas para hacer de nuestra experiencia informática y tecnológica, una verdadera renovación permanente de nuestro entendimiento de la red y sus posibilidades.

Cuando hablamos de disponibilidad, no demandamos ni establecemos niveles de exigencia del 99.9% de operación de las plataformas de los proveedores de servicios de información, sino nuestras estrategias y acciones para estar preparados y continuar funcionando cuando el 0.1% se materialice. Esto es, tener la disciplina de mantener resguardados nuestros datos y la forma de tener acceso a ellos, mientras la condición de falla parcial o total se presenta. Así, la disponibilidad vista de esta forma, nos mantiene entrenados en la práctica de la prevención, que a todas luces resulta más económica que una actividad reactiva o de reparación.

De igual forma, cuando de control de acceso se trata, no estamos hablando de restricciones o formas de evitar que la información se conozca, sino de la forma cómo nosotros seleccionamos a quién(es) permitimos conocer nuestra información; hablamos del cuidado que tenemos para cuidar nuestros documentos personales y privados, del algoritmo personal que utilizamos para saber quién digno de nuestra confianza y cómo aseguramos que la información no toma caminos equivocados que terminen comprometiendo nuestra imagen, nuestras acciones e incluso poner en riesgo la vida misma o la de otros.

Revisar el tema de la exactitud, en inglés, accuracy, es advertir la gran huella digital que dejamos al navegar por internet, el conjunto de datos que constantemente estamos registrando en los diferentes sitios, que con el paso del tiempo se confunden y pierden su relación, por la renovación permanente de esta biblioteca 7x24x365 como lo es internet. Al no advertir esta realidad, la sombra digital, es decir, aquellas cosas que se puede decir con nuestra información, inmersa en los registros y documentos que dejamos al visitar la red, podrá ser susceptible de interpretación por los navegantes o utilizada por terceros inescrupulosos para crear los peores momentos de contradicción y riesgo, con un manejo inexacto de nuestra realidad, que cuestione incluso nuestros valores, actividades y manifestaciones dejando en entredicho lo que somos y hacemos.

La exactitud es esa responsabilidad que todos debemos tener con el manejo de nuestra información en cualquier escenario tecnológico, como esa conciencia permanente de nuestro actuar e interacción con la red, que nos permite mantener la prudencia en lo que compartimos, conversamos y revelamos, pues al final del día, todo lo que digamos, compartamos o revelemos será nuestra pesadilla o nuestra redención.

Finalmente la agilidad, es esa condición y característica que la tecnología debe brindar para hacer que las cosas pasen, ese entendimiento de cómo comprender las necesidades de los individuos y articular los modelos de negocios de las empresas. La agilidad, se alcanza sólo si se cuentan con buenos elementos de seguridad y control. Es decir, nadie es tan avezado y temerario (bueno, ¿algunos pocos?) de conducir un vehículo a muy alta velocidad, sin contar con un sistema o mecanismo de control que le permita detenerse cuando es debido. De igual forma, la agilidad en términos tecnológicos y en el paisaje de la red mundial de información, no podrá avanzar más rápido y de manera decidida, sin contar con unos buenos sistemas de seguridad y control, que permitan acelerar su desarrollo e integración con los diferentes actores sociales.

En este sentido, se hace necesario entender la agilidad en el contexto de los sistemas de protección y prácticas de seguridad de la información, que permitan tanto a los habitantes de la red, como a los proveedores, encontrar rutas alternas, que utilizando las condiciones básicas de aseguramiento de sus plataformas y las buenas práctica de protección y control de la información, establezcan la plataforma de aceleración que beneficie tanto a los individuos como a las empresas para alcanzar mayores niveles de desarrollo y generación de valor para sus accionistas y grupos de interés.

Considerando estas cuatro condiciones o elementos de reflexión, podemos establecer lo que podríamos llamar una postura individual de seguridad de la información que nos permitan mantener un nivel mínimo de paranoia administrable, que mantenga un sistema de alertas prudente y proactivo; que exija de nosotros una adecuada protección de la información, entendida como el hábito en el que desarrollamos una disciplina permanente para entender los riesgos a los cuales está expuesta, como parte natural de nuestro diario vivir en medio de una sociedad de la información y el conocimiento.

En consecuencia, cuando nos apropiamos de las prácticas de seguridad de la información, de nuestra preparación ante los sucesos inesperados, de nuestra responsabilidad sobre la circulación de la información, de nuestra forma de cómo brindamos acceso a ella, y entendemos que la velocidad de nuestra interacción con la red, depende de nuestros sistemas de seguridad y control, estamos creando un sistema de detección de amenazas inherente a las interacciones sociales digitales, que evoluciona conforme la exigencia de la red lo requiere, no como un estrategia de regulación impuesta por un tercero, sino como referente natural del mismo sistema, que cuestiona, enfrenta y descubre las intenciones de aquellos que quieren atentar contra el orden que balancea las más exigentes necesidades de los individuos y las condiciones de seguridad y control requeridas para su adecuado desempeño.

Si bien aún estamos muy distantes de este ideal, sea esta reflexión una excusa académica para cuestionar nuestra zona de confort y poner a tambalear la inercia misma donde descansa nuestra postura individual frente a la protección de la información.

Referencias
WESTERMAN, G. y HUNTER, R. (2007) IT Risk. Turning business threats into competitive advantage. Harvard Business School Press.
GIRGENTI, R. y HEDLEY, T. (2011) Managing the risk of fraud and misconduct. Meeting the challenges of a global, regulated, and digital environment. McGraw Hill
GRAGIDO, W. y PIRC, J. (2011) Cybercrime and espionaje. An analysis of subsersive multivector threats. Syngress.

No hay comentarios:

Publicar un comentario en la entrada