lunes, 9 de mayo de 2011

Pensar como el atacante: Mente y corazón de la inseguridad de la información


Comenta recientemente un informe publicado en sitio web Darkreading.com: “In the world of cybercrime, bad guys work together. They share information; they build attacks together” cuya traducción podría ser: “En el mundo del cibercrimen, los chicos malos trabajan de manera conjunta. Ellos comparten información; construyen ataques juntos”.

En este contexto, podemos advertir que los atacantes entienden mejor la estrategia de continuar aprendiendo en conjunto, si bien, no con las motivaciones más loables del mundo, si con la consigna de lograr “mover” la línea de lo conocido y enfrentarse a desafíos más interesantes y fuera de lo común. Cuando los “chicos malos” establecen formas de confrontar la incertidumbre o la exigencia de la complejidad de una tecnología o método de protección, estamos asistiendo a una manera renovada de “ver donde otros no ven” y a una estrategia de aprendizaje encarnada en una forma diferente de ver el mundo y reconocer patrones fuera del statu quo.

Revisar esta frase, es revisar nuestros propios patrones de comportamiento y asociación frente al desafío de la inseguridad de la información. Mientras muchos analistas insisten en el paradigma de la seguridad de la información, buscando victorias efímeras y llenas de aplausos, aquellos que siguen el rumbo de la información asimétrica, de las notas al margen de los manuales y reportes, entienden que sólo en el reconocimiento de nuestras propias debilidades, se encuentra la fuerza misma para continuar afianzando nuestra posición frente a la inevitabilidad de la falla.

Pensar como un “atacante” ha sido la consigna que muchas publicaciones y analistas ha sugerido para seguirle la pista a los “chicos malos”. Pero una cosa es sugerirlo y otra volverlo una práctica. Podríamos hacer muchas reflexiones y cuestionamientos éticos sobre invitar a las personas a pensar como “el malvado”, pero se hace necesario transitar en la mente, algunas veces inestables, de estos, para descubrir la lectura paralela que debemos hacer de la realidad, romper la inercia de nuestros modelos mentales y comprender una “realidad” que se escapa a la nuestra.

Pensar como el “enemigo”, no es algo novedoso o restringido para un grupo de personas o especialistas en algunos temas, es una forma de navegar en la mente inquieta de una persona que razona sin restricciones propias de nuestro entender, para revelar patrones de acción que están presente en nuestro contexto, pero que “nuestros lentes” no nos permiten ver. Bien anota, Drucker (2002), cuando menciona que la innovación responde a fuentes básicas, donde se encuentran entre ellas, las incongruencias y las ocurrencias inesperadas.

Ejercitarse en el razonamiento de los atacantes informáticos, es encontrarse con la forma como entienden la tecnología, las motivaciones para su explotación y las condiciones en las cuales ellos se hacen uno con ella. Dentro de las múltiples formas de alcanzar la mente de un “chico malo”, está la revelación y gusto por la incertidumbre. Mientras un analista de seguridad, claramente bien fundado en las modelos generalmente aceptados, puede limitar la incertidumbre en su actuar, para ser prudente y estar alineado con las normas internas y externas; un atacantes busca expandir el nivel de incertidumbre para crear con nuevas posibilidades, que bien sabe su contraparte no podrá ver por estar atendiendo restricciones propias de su rol.

Para lograr pasar de la sugerencia de pensar como los atacantes y hacerlo una práctica evidente en las organizaciones, se requiere un escenario experimental que cuente con recursos propios y alcances determinados, donde se pueda abrir la mente a renovadas fuentes de ideas, sin que se exijan resultados inmediatos o esperados. Un sitio como estos, deberá está fundado en un real compromiso de aprendizaje de la organización, que declarando que no sabe y quiere aprender, es capaz de asumir el costo que exige lanzarse a tener una “incubadora de innovación para la inseguridad de la información”, que no sabe qué efectos tendrá, pero que será un observatorio privilegiado del negocio, para divisar, al menos en un contexto conocido, cuáles pueden ser los patrones que se pueden advertir frente a los riesgos en sus flujos de información.

Pensar como el “atacante”, es una estrategia arriesgada, en la que no podemos dimensionar el retorno de la inversión de la forma como lo espera la lógica conocida, sino que puede hacerlo en cualquier momento y de manera inusual. De igual forma, es una estrategia que con supervisión inadecuada puede romper los límites de su diseño y ser víctima de sus propios deseos, una tentación natural cuando nos acercamos a la esencia misma de nuestra naturaleza caída.

Si la inseguridad de la información reconoce en la sabiduría del error, de la sorpresa, de lo inesperado, la fuente misma de conocimiento y renovación de su propia esencia; el pensar como el atacante nos confirma en nuestra pasión por desaprender, por dejarnos sorprender y encontrar con las contradicciones entre la tecnología, los procesos y las personas; nuevas excusas para revisar y analizar aquellas relaciones que hacen de nuestra realidad, un mundo más asincrónico, asimétrico y orquestado por un caos aparente, donde la vulnerabilidad o la falla escribe derecho con letras torcidas.

Experimentar y practicar “pensar como el atacante” debe ser más que una filosofía o un buen deseo; debe ser una necesidad y una forma de cuestionar nuestros modelos de protección, que nos permita retar los marcos metodológicos actuales, para fundar una cátedra paralela y exigente que apalanque las estrategias de generación de valor de la empresa, no como un agregado de la misma, sino como factor crítico de éxito y movilizador de nuevos negocios.

En este punto de la reflexión, muchos estarán pensando “¿no será muy arriesgado aplicar esta estrategia?”, “¿será que esto realmente se puede dar en una empresa?” o cuestionamientos semejantes, que hacen evidente nuestro sistemas de alertas propios de la sana prudencia y el analista de seguridad que todos llevamos dentro. No obstante lo anterior, este tipo de iniciativas responden a un nivel de madurez de la función de seguridad de la información y al posicionamiento de la misma en las organizaciones, pues los márgenes de utilidad que se puedan alcanzar con esta iniciativa, no se podrán evidenciar en el corto plazo, sino en el mediano y largo plazo, dadas las condiciones en las cuales se manifiesta la “innovación propia” de la inseguridad.

Dicen algunas personas que “no es bueno siempre tener la razón”, pues nos perdemos la oportunidad de ver otros puntos de vista y dejamos “líneas ocultas” en nuestras reflexiones. En este sentido, pensar como el atacante, es buscar siempre buenas razones para revisar las “consideraciones de otros”, encontrar las limitaciones de los argumentos y aprender a ver lo que subyace entre las líneas de código, los comportamientos humanos y diseños de los procesos. Un atacante no va sugerirte un forma de actuar, va a actuar para retarte a pensar, es decir, más allá de las motivaciones contrarias que este pueda tener, pondrá en la mesa de juego sus mejores habilidades para jugar con la incertidumbre y hacerte parte de su ecuación de análisis.

No hemos querido con este documento hacer una apología o defensa de los atacantes informáticos, sino asomarnos de manera silenciosa y prudente a su mente diferente y activa para comprender algunos de sus patrones y referentes, que puedan ser de utilidad para los responsables de la seguridad de la información, no como simples espectadores de sus acciones, sino como una forma de abrir la mente y el corazón, para que como se describe en las Sagradas Escrituras, podamos afirmar “por sus obras los conoceréis”.

Referencias
DRUCKER, P. (2002) The discipline of Innovation. The innovative enterprise. Harvard Business Review. August. Disponible en: http://www.engr.pitt.edu/mac/images-t/articles%20and%20docs/DisciplineofInnovation.pdf (Consultado: 6-12-2010)