domingo, 15 de enero de 2012

Descubrimiento electrónico: la evidencia digital y sus retos empresariales

Introducción
Procesar conductas punibles en un mundo digital establece un reto técnico, administrativo y legal para la gobernabilidad de cualquier nación o empresa. Por tanto, conocer con claridad la estructura técnica de los elementos materiales probatorios en medios tecnológicos, sus medidas de aseguramiento y estrategia de presentación se convierte en una prioridad para todos los operadores de la administración de justicia y los profesionales del derecho en un país o corporación.

En este contexto, toma especial importancia, establecer y desarrollar protocolos que permitan identificar, recoger y custodiar los rastros electrónicos propios de cada escena del crimen digital o situación corporativa particular, de tal forma que al presentarse en audiencia no se encuentren reparos o anotaciones que puedan llegar a desvirtuar la misma, privilegiando el espacio de la duda razonable que actúa a favor de los posibles involucrados.

En este sentido, es fundamental establecer una base conceptual técnica de buenas prácticas y estrategias que, desde el punto de vista técnico y con miras al soporte jurídico posterior, puedan brindar a la entidades del estado y a la sociedad en general, una confianza razonable de los procedimientos aplicados para asegurar elementos materiales probatorios digitales a los que pueda tener acceso tanto los particulares como los servidores públicos en el ejercicio de sus funciones.

En consecuencia, los temas relacionados con la computación forense y el descubrimiento electrónico se advierten como dos elementos fundamentales tanto en la administración de justicia como en el ámbito corporativo respectivamente, para comprender con mismo nivel de certidumbre cómo ocurrió un incidente informático, sus móviles y posibles participantes, así como establecer y ubicar la información electrónicamente almacenada relevante para preparar a una organización frente a demandas o litigios donde este tipo de datos digitales son claves para plantear los argumentos requeridos para reclamar o reconocer los derechos de las personas naturales o jurídicas. (CANO 2010, cap. 7)

Entendiendo el descubrimiento electrónico
Hablamos entonces de una disciplina cercana a la computación forense que denominamos “descubrimiento electrónico” o en inglés “electronic discovery”, e-discovery. Una breve definición de qué es e-discovery sería: procedimiento legal donde se le ordena a una de las partes involucradas la producción de pruebas electrónicas. Generalmente el resultado de este procedimiento implica el análisis de un amplio número de dispositivos electrónicos o medios de almacenamiento, para recabar la evidencia electrónica requerida. (ISF 2008, pág 2)

En este contexto, se revela el deber que tienen las organizaciones de preservar información relevante, para anticiparse a un posible litigio jurídico. Por tanto, las empresas deben establecer políticas de retención de información electrónica para eventos como: injurias (preservación de datos de empleados o clientes ante injurias, especialmente aquellas donde la empresa pueda aparecer como negligente), despidos (registros de pagos, préstamos, liquidaciones salariales, prestaciones) e incidentes donde estén involucrados ejecutivos de la empresa (políticas conservación electrónica de las actuaciones de los ejecutivos, particularmente cuando ya no están en la empresa). (CIO EXECUTIVE BOARD 2011b, pág. 10)

Ciclo de vida del descubrimiento electrónico en la empresa
En línea con lo anterior, el abogado especializado en temas de información electrónicamente almanacenada (IEA), Michael R. Arkfeld, en su libro “Electronic discovery and evidence. 2011 -2012 Edition”, publicado por LawPartner publishing, LLC., establece un ciclo de vida para desarrollar el concepto de descubrimiento electrónico en una empresa, siguiendo cinco pasos fundamentales basado en el modelo de e-discovery de FULBRIGHT y JAWORSKI, para balancear la administración del riesgo corporativo y la estimación y contención de los costos, propios del tratamiento de la información electrónica en una organización. Los pasos son: (ARKFELD 2011, cap.3)

Paso 1: Identificar, preservar y recolectar
Identificar, se adelanta de manera paralela con la acción de “preservar”, se entiende como el tipo, fuente y localización de toda la IEA que debe ser preservada. Es importante anotar, que basado en la naturaleza del caso que se lleve se define el tipo y las fuentes de IEA requeridas, considerando todo el tiempo los costos de localizar y convertir la IEA en formatos legibles y usables que permitan una presentación adecuada frente a los terceros y autoridades involucradas.

Preservar, la obligación de preservar puede provenir de diferentes fuentes: leyes, estatutos, regulaciones u órdenes de cortes. Dependiendo del tipo de regulaciones o exigencias legales, el deber para preservar las pruebas o evidencia se establece cuando el litigio es: razonablemente anticipado, razonablemente predecible, inminente o pendiente. En este sentido, para minimizar el riesgo de la destrucción de la evidencia y evitar sanciones, la evidencia digital debe ser preservada tan pronto como se notifique por la parte sobre las potenciales reclamaciones que se pueden presentar. (ARKFELD 2011b, sección 7.9)

Recolectar, es el proceso de reunir potenciales datos relevantes para ser procesados y revisados. En este sentido, considerando la gran cantidad de IEA almacenada en múltiples ubicaciones, con variedad de formatos, se debe asegurar que el procedimiento que se establezca para ello, sea comprensivo y legalmente defendible. Es importante anotar que dado el incremento de datos informáticos almacenados fuera del control directo de la empresa, generalmente en dispositivos personales o en la nube, se cuenta con un reto adicional en este proceso de recolección. (CIO EXECUTIVE BOARD 2011b, pág. 11)

Paso 2: Filtrar y convertir a Información electrónicamente almacenada (IEA)
Filtrar significa reducir y asegurar la precisión de la IEA. Esto es, aplicar una serie de criterios que permitan afinar lo requerido según el caso, efectuar revisiones más focalizadas y mantener controlados los costos de producción de la evidencia. En este sentido, las consideraciones claves que se sugieren para adelantar este paso son:

Negociación del cumplimiento
La premisa en este punto es reunirse y acordar con el abogado de la contraparte los alcances de la preservación de la IEA con el fin de limitar los costos de producción y mantenimiento de la misma. En este sentido, se sugiere que durante la negociación esté presente el personal del área de tecnología de información, o si la negociación se torna tensa o difícil, asistirse de una tercera parte neutral.

Considerar las protecciones legales
Existen declaraciones y disposiciones legales que dan forma y moderan las peticiones de IEA, evitando la extralimitación en su solicitud, incluso considerando el hecho que no esté razonablemente accesible. Los tribunales revisan con detalle las peticiones de protección efectuadas por la parte, para establecer si ésta es una carga, no es excesivamente amplia o pertinente, o no está razonablemente accesible, y así establecer si se autoriza o no dicha solicitud.

Filtrado de la IEA
Este proceso reduce el tamaño de la población de IEA disponible. El proceso de filtrado responde a una “valoración temprana del caso” o su revisión “analítica”. Se estima que aproximadamente entre el 75 y 95 por ciento de los datos inicialmente recolectados en respuesta a una solicitud de descubrimiento electrónico, será eliminada pues no responde a lo requerido y podrá ser filtrada para su no revisión posterior.

Siguiendo lo establecido en Judges’ Guide to Cost-Effective E-discovery (http://www.ediscoveryinstitute.org/JudgesGuide/ (Consultado: 11-01-2012), detallamos algunos de los métodos técnicos conocidos para efectuar filtrado de IEA:

• Limitar la búsqueda de términos (palabra clave, expresiones booleanas y sistemas de búsqueda conocidos) a nombre específicos, fechas y código predictivo.
• Limitar hacia archivos específicos (Word, Excel, PDF, etc) filtrado por extensión (.pdf, .docx, .pst, etc)
• Reducir la duplicación de archivos.
• Remover los archivos conocidos del sistema, de las aplicaciones y software base utilizando para ello la lista general de estos archivos provista por el NIST – National Institute of Standard and Technology (para comparar sus respectivas firmas de HASH)
• Revisar cadenas de texto en correos electrónicos.
• Analizar los nombres de dominio
• Establecer una muestra de la IEA disponible para determinar la relevancia para el caso y el costo de su procesamiento.

Conversión de la IEA
La conversión es un proceso de extracción de los datos de usuario, texto o metadata de los archivos que representan la IEA. Durante la extracción se convierten en un formato para ser importados en otras aplicaciones; eventualmente los datos se convierten en imágenes o se imprimen en papel para revelarlos y presentarlos en una corte. Es importante anotar que durante este momento la IEA no se convierta a archivos PDF o TIFF, sin antes cursar la revisión inicial de la relevancia de la misma.

Paso 3: Revisar y analizar
Luego de filtrar la información no relevante, los profesionales del derecho deben revisar los datos seleccionados para determinar los subconjuntos necesarios, que no sean de acceso privilegiado, para responder a lo solicitado. El costo real del descubrimiento electrónico no es la solicitud o la adquisición de datos, sino el costo del profesional que asiste la revisión de la información para almacenar o localizar información confidencial o reservada antes de su revelación.

En este sentido, generalmente este paso se apoya en herramientas informáticas como los sistemas automatizados para soporte de litigios (Automated litigation support systems – ALS), los cuales cuentan con capacidades de búsqueda y acceso a documentos, reorganización de hechos, registro de análisis previos, puntos de vista entre otros, que permiten colaborar con el equipo de apoyo al proceso jurídico.

Paso 4: Revelar y “Formularios o formas”
Para adelantar este paso es importante establecer la forma para recibir o divulgar la IEA. En este contexto, se detallan a continuación algunos criterios relevantes:
• ¿La IEA es susceptible para hacer búsquedas? Los archivos en formato nativo, bases de datos, texto plano, etc. son susceptibles de búsquedas, pero es probable que deban ser convertidos a un formato conveniente para efectuar las mismas.
• ¿La metadata de la IEA está incluida en el formato? Existen algunos formatos de archivo que no contienen metadata.
• ¿Es posible identificar o resaltar la información privilegiada o confidencial? En los archivos con formato nativo, no es posible identificar esta información sin cambiar el archivo. Es viable con algún código o funcionalidad indicar que la información confidencial se ha retirado electrónicamente.
• ¿Es posible sellar los documentos a ser divulgados? Se recomienda utilizar firma digitales o algoritmos de hash para asegurar la autenticidad de los documentos requeridos para presentarse.

Es importante anotar que si la contraparte en su requerimiento no especifica la forma o formularios para producir la IEA, la otra debe producir o entregarla en la forma o con los formularios con los cuales ordinariamente administrada o razonablemente utilizada. Por tanto, la otra parte no debe producir o entregar la misma IEA en más de una forma.

Paso 5: Presentar
Este es el paso final, que incluye la planeación de la presentación de la evidencia siguiendo el procedimiento legal establecido. Para ello, debe considerar los equipos de apoyo disponibles en recinto de las audiencias, asegurando que se cuenta con el software y hardware requerido para ilustrar con detalle lo requerido durante el despliegue de la presentación.

En razón con lo anterior, resulta conveniente desarrollar al interior de las organizaciones una política o lineamiento corporativo relacionado con la información electrónicamente almacenada de tal forma que se identifique sus periodos de retención, los procedimientos asociados y la persona encargada de la IEA, que permitan recuperar su información para reconstruir los eventos relacionados con reclamaciones o solicitudes que impliquen algún tipo de proceso en el contexto jurídico o empresarial.

Retos emergentes para el descubrimiento electrónico
Avanzar en una estrategia corporativa de descubrimiento electrónico, define un reto en sí misma dado que se hace necesario vincular al menos tres vistas que permitan sintonizar los esfuerzos para beneficio de la organización: el negocio, la tecnología de información y los referentes de conservación y archivo. Cada uno de ellos, establece connotaciones particulares que articuladas en el proceso de sustentación de pruebas informáticas, fortalece y asegura la posición de la organización frente al ciclo de vida del descubrimiento electrónico.

En razón con lo anterior, se presentan tres retos claves (CORPORATE EXECUTIVE BOARD 2011) para considerar a nivel organizacional con el fin de visualizar los aspectos sensibles que deben mantenerse en la agenda de los responsables organizacionales de asegurar una posición apropiada de la empresa frente a litigios con información electrónicamente almacenada.

1. Mapa de datos e información de la organización
Este es un elemento crítico frente al descubrimiento electrónico. Contar con un inventario o mapa de información de una empresa, exige de ésta un alto nivel de madurez en conservación y archivo, así como la declaración de la información como un activo de la corporación. Mientras esto no sea la constante, las organizaciones mantendrán un espíritu reactivo frente a requerimientos legales con registros electrónicos.

2. Información almacenada o residente dentro de dispositivos móviles o en equipos propios de terceros que prestan servicios
Con la alta penetración de dispositivos electrónicos móviles como teléfonos inteligentes y tabletas, las organizaciones cambian su forma de movilizarse frente a la IEA. Ahora la información no permanece en los equipos de cómputo personal, sino que viajan en los medios móviles, generalmente sin un control definido y bajo la responsabilidad del usuario del dispositivo tecnológico. Sin una adecuada orientación y guía en la empresa en este tema, muchas serán las brechas sobre fuga y/o pérdida de información que se reportarán en las empresas.

3. Información generada y distribuida a través de redes sociales
La expresión natural de los seres humanos, ahora a través de la web 2.0, es una característica nativa de los ciudadanos en la red. Por tanto, es claro que los empleados de una organización mantengan estrecha relación con sus comentarios y apreciaciones publicadas a través de sus blogs y redes sociales. En razón con lo anterior, controlar o asegurar este tipo de información, o mantener su trazabilidad, se convierte en un reto de confianza, ética y procedimientos empresariales, que los trabajadores deben asumir con toda la formalidad del caso, para limitar posibles acciones o declaraciones que puedan atentar contra el buen nombre o imagen de la corporación.

Reflexiones finales
Cuando hablamos de evidencia digital en el contexto empresarial generalmente la podemos asociar con aquella requerida para sustentar o probar algún evento, acción o situación organizacional que permita tener la certeza de que algo ha ocurrido, para lo cual el artefacto tecnológico que la produce, cuenta con las estrategias de seguridad y control requeridas para conocer de primera mano el usuario, sus perfiles, los procedimientos asociados y los mecanismos de monitoreo que acompañan el uso del mismo.

Sin embargo, esta realidad solamente se hace evidente cuando un hecho desafortunado ocurre, particularmente asociado con un incidente de seguridad de la información que manifiesta alguna vulnerabilidad, falla o error en algún momento o accionar de los sistemas de información disponibles en la organización. En este sentido, las investigaciones informáticas se convierten en las primeras solicitantes de información para esclarecer los hechos acontecidos y es allí, cuando la computación forense toma la mayor relevancia como esa disciplina especializada que revisa y analiza sistemas informáticos y dispositivos electrónicos que generan, procesan y almacenan evidencia electrónica para determinar la ocurrencia del hecho y dar la explicaciones científico-técnicas de lo que ha ocurrido.

De otra parte y tan relevante como encontrar a los atacantes, sus rastros y acciones realizadas, se tiene el descubrimiento electrónico como la estrategia legal informática de la organización, que permite proteger los intereses de ésta, frente a litigios o reclamaciones, donde los soportes documentales solicitados se encuentran en formato electrónico y se hace necesario aportarlos siguiendo las formalidades de ley requeridas y mantener la vista del proceso en los hechos y no en las evidencias electrónicas que se aportan al mismo.

En consecuencia, no solamente se requiere una vista criminalística sobre la evidencia digital en las organizaciones, sino una vista legal informática que, recabando en los riesgos propios de las empresas en sus diferentes relaciones de negocio, corporativas y con terceros, pueda establecer los elementos documentales electrónicos que soportan las mismas y prepararse para enfrentar un eventual proceso jurídico donde la información electrónicamente almacenada es factor determinante para lograr un fallo a favor o en contra de ésta.

Finalmente, el descubrimiento electrónico como disciplina emergente que busca una comprensión más sistémica de la evidencia digital, más allá de los procesos propios de la justicia criminal, requiere mayor investigación y relevancia para que pasando de una vista focalizada en los aspectos civiles del derecho, se incorpore al ordenamiento jurídico general de las naciones, como factor clave de éxito en la formulación de modelos de administración de evidencia digital tanto en el sector público como privado.

Referencias
ARKFELD, M. (2011) Electronic discovery and evidence. 2011-2012 Edition. LawPartner Publishing, LLC.
ARKFELD, M. (2011b) Guide for legal hold. LawPartner Publishing, LLC.
CANO, J. (Autor y Coordinador) (2010) La evidencia digital y el peritaje informático en Colombia. Editorial Temis – Uniandes.
CORPORATE EXECUTIVE BOARD (2011) E-discovery tools. IREC Executive cheat sheet series. Disponible en: http://www.irec.executiveboard.com (requiere suscripción)
CORPORATE EXECUTIVE BOARD (2011b) The IT Manager’s guide to E-Discovery. Information Risk Executive Board Council. Disponible en: http://www.irec.executiveboard.com (requiere suscripción)
FULBRIGHT y JAWORSKI (?) eDIG: E-Discovery and Litigation Readiness. Disponible en:
http://www.fulbright.com/index.cfm?fuseaction=description.subdescription&site_id=1197&id=1195 (Consultado 15-10-2012)
INFORMATION SECURITY FORUM - ISF (2008) ISF Briefing: Electronic Evidence. Documento interno Disponible en: https://www.securityforum.org/whatwedo/publicresearch/ (Requiere suscripción)

miércoles, 4 de enero de 2012

Pronósticos de seguridad de la información para 2012

Cada año los múltiples eventos y fenónemos propios de la seguridad de la información nos revelan aspectos nuevos y creativos de las diferentes formas en las cuales la inevitabilidad de la falla se hace presente. Durante el 2011 esta situación no ha sido diferente, hemos experimentado diferentes vistas de errores, vulnerabilidades y fallas que nos muestran cada vez más que somos tan seguros como el eslabón más débil de la cadena.

Por tanto, cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y asimétrico, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

Considerando lo anterior y con la alta probabilidad de andar por caminos insospechados, trataremos de hacer una visión propositiva sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales reportadas hasta el momento y que prometen seguir o variar en el 2012.

A continuación cinco pronósticos de lo que puede pasar durante 2012 frente a las tendencias y manifestaciones de la inseguridad de la información.

1. Formalización de la certificación en seguridad de la información de terceras partes
Con el paso de los años la función de tecnología de información ha venido evolucionando dando paso a una fuerte tendencia hacia la administración de los recursos de tecnología con terceros. En este sentido, la operación, el aseguramiento y control de los servidores, enrutadores, aplicaciones, servicios de seguridad y control de acceso se ha venido entregando a proveedores especializados que, considerando su labor crítica frente a la estrategias de los negocios, desarrollan sus actividades para movilizar de manera confiable y continua los procesos que soportan la generación de valor de la empresa.

En este contexto, durante los siguientes años se verá una importante tendencia en la certificación formal de la operación de los terceros frente a los temas de seguridad de la información, que si bien se ha venido adelantando utilizando otros referentes o buenas prácticas, se prevé el uso de una nueva norma de la serie ISO 27000, denominada ISO/IEC 27036 — Guidelines for security of outsourcing, la cual establece una serie de requisitos particulares que los terceros deben asegurar para certificar una adecuada prestación de servicios con estándares de seguridad de la información debidamente aplicados y probados. (CHICKOWSKI 2011)

2. El hacktivismo como estrategia moderna para reclamar atención de los estados y las empresas
Durante los últimos años hemos venido observando una serie de comportamientos y manifestaciones en la red, donde las redes sociales y nuevas expresiones digitales se convierten en la forma natural a través de la cual los individuos expresan su opiniones y levantan su voz para llamar la atención sobre aspectos de la vida cotidiana. En este sentido, eventos como los ocurridos en Egipto, España y diversos países de latinoamérica nos muestran la capacidad de convocatoria y sinergia que se puede desarrollar a través de la red para poner en alerta a ciudades, gobiernos y naciones, frente a situaciones de la realidad nacional que merecen atención por parte de las autoridades respectivas. (CIO UPDATE 2011)

Las manifestaciones asistidas desde lo que podríamos llamar un hacktivismo digital incorrecto (LIZAMA 2005), donde una parte de la población insatisfecha con algunos hechos de su realidad (privilegiando los contexto políticos y sociales, más que los tecnológicos), se asesora de especialistas en el manejo de temas tecnológicos, para efectuar acciones perturbadoras que afectan activos digitales claves de las naciones, es una clara tendencia que los ciudadanos digitales, han encontrado para manifestar su inconformidad sobre aquello que no les parece adecuado o injusto frente a la comunidad o población afectada.

Anonymous, Lulzsec y nuevas expresiones de este tipo de hacktivismo será una tendencia clara en los próximos años, pues los nacidos digitales han entendido que la red es una forma de expresión que alcanza todos los niveles sociales y se visualiza en las altas jerarquías del estado y de las organizaciones. (CANO 2011) La tecnología de información es un medio para revelar la inconformidad y mantener atención sobre aquellas cosas importantes para la ciudadanía y las personas que no tienen voz.

3. Ecosistema tecnológico: necesidad competitiva o nuevo vector de ataque.
La computación en la nube, las redes sociales y la computación móvil advierten una realidad concreta, un escenario real donde los gobiernos, las organizaciones y las personas estarán conviviendo y compartiendo riesgos frente a una creciente demanda de servicios, información instantánea y procesamiento de grandes volúmenes de datos. (RAYWOOD 2011)

En este escenario, se plantea un elemento emergente que se denomina un ecosistema tecnológico, un lugar donde tenemos la participación de terceros que administran y movilizan la información y los datos, según las consideraciones de los servicios contratados con cada uno de ellos. Si bien, son múltiples las ventajas de este tipo de ambientes, también se hace necesario desarrollar nuevas propuestas de aseguramiento tanto en aplicaciones, datos e infraestructura, que permitan aumentar el nivel de confianza que este nuevo modelo requiere.

Forrester (WANG 2011) y otras empresas han venido revisando conceptos asociados con los modelos base de seguridad como Bell-LaPadula, para repensar la seguridad de la información en un ecosistema tecnológico, como es el concepto de etiquetas de alta seguridad (high-water mark principle – Mayor información en: WEISSMANN 1969 ) que exigen al tercero con el que se interactúa se sintonice con las exigencias de seguridad y control requeridas para la transacción (la idea es concentrarse en la transacción, los datos y su movilidad, más que en el dispositivo como tal). Sin embargo, aún estamos en las primeras etapas de reconocimiento y análisis de estas nuevas propuestas, que poco a poco deben madurar para reconocer en el ecosistema tecnológico una forma pensar la seguridad en un ambiente dinámico, poroso y móvil.

4. Nuevos retos jurídicos frente a nuevas realidades de las tecnologías de información
Conforme avanzamos en esta nueva década del segundo milenio, los alcances de la tecnología de información exigen nuevos y mejores entendimientos de sus usos en el contexto social. En este sentido, los retos jurídicos naturales como los derechos humanos en internet, la privacidad, el derecho a la información, los activos digitales personales, los derechos de autor, el manejo de la imagen y las marcas, la democracia digital y la participación ciudadana de los individuos entre otros, han venido tomando matices inesperados, que exigen de los nuevos y experimientados juristas respuestas novedosas para entablar nuevos debates y propuestas que den cabida a una realidad social, digital y sin fronteras. (LEVINSON 2011)

En este contexto, durante los siguientes años los estados y las escuelas de leyes tendrán el reto de conciliar los derechos constitucionales de las personas en las múltiples manifestaciones de las tecnologías de información y las decisiones nacionales que demanden un balance general del estado para mantener el orden y el control de la sociedad y el país en general. Esto es, encontrar y descifrar esa zona gris donde los individuos deben mantener buenas prácticas para respetar las libertades e individualidades de los ciudadanos y las regulaciones necesarias para proteger los bienes jurídicamente tutelables y las acciones requeridas que las autoridades necesitan para mantener el equilibrio en el estado social de derecho, ahora en un sociedad de la información y el conocimiento.

5. Mayor visibilidad de los sistemas de control, mayor responsabilidad en su aseguramiento
Durante muchos tiempo los sistemas de control industrial fueron elementos claves propios de instalaciones con operaciones especializadas cuyo funcionamiento cerrado, específico y poco conocido, se asociaba con un mundo restringido a una comunidad técnica, con entrenamiento especial y lenguaje de máquina. Conforme ha venido avanzando la tecnología este tipo de sistemas ha venido integrándose a las redes corporativas como otros elemento más de la misma, con protocolos semejantes a los estándares y transmisiones cada vez más homogéneas.

Considerando lo anterior, la visibilidad de los sistemas de control ha aumentado, lo cual significa un mayor nivel de exposición que requiere la atención tanto de los especialistas en estos temas como de los de riesgos y seguridad de la información. Es importante anotar, que este llamado exige un trabajo conjunto entre los tres mundos: la seguridad, los riesgos y los sistemas de control, pues se hace necesario entender la realidad de la disponibilidad de éstos últimos y las operaciones que realizan, para que desde la vista de riesgos y la especialidad de los sistemas de control, se desarrolle y actualicen los modelos de seguridad y control que requieren las instalaciones y los diseños de los sistemas mencionados. (ENISA 2011)

Los eventos que se ha venido presentando en los últimos años, donde los protagonistas han sido sistemas de control avanzado, en facilidades con operaciones sensibles, nos indican que se debe avanzar en un reconocimiento de los vectores de ataque que se han indentificado y desarrollar estrategias de aseguramiento que anticipen posibles variantes de lo que ha ocurrido, así como respuestas planeadas que enfrenten situaciones inesperadas, para lo cual las prácticas de gestión de incidentes de seguridad de la información y de pérdida de continuidad pueden ser útiles para contener y mantener la confiabilidad de las operaciones.

Reflexiones finales
La seguridad de la información es un proceso exigente y dinámico que requiere la habilidad de sus responsables para mantener en movimiento su creatividad frente a la inseguridad, no sólo para crear la sensación de confiabilidad requerida por los usuarios frente al tratamiento de la información, sino para que vinculando, a estos últimos en la conquista de la asimetría de la inseguridad, se construya de manera conjunta una distinción concreta y evidente de un ambiente controlado y confiable, mas no seguro.

Sólo nos queda observar el desarrollo del 2012, para ver cómo la inseguridad de la información nos cuestiona y nos hace meditar nuevamente y así, pensar de manera distinta para abrirle la puerta a las posibilidades, esas que no son otra cosa que el insumo de la inevitabilidad de la falla, fuente que debe alimentar permanentemente el instinto y la mente del responsable de la seguridad de la información.

Referencias

LEVINSON, M. (2011) Why Law Enforcement Can't Stop Hackers. CIO Magazine. Diciembre Disponible en: http://www.cio.com/article/print/694071 (Consultado: 4-01-2012)
RAYWOOD, D. (2011) 2012: security predictions for the future of mobile, cloud, attacks, data loss and big data. SC Magazine UK. Diciembre Disponible en: http://www.scmagazineuk.com/2012-security-predictions-for-the-future-of-mobile-cloud-attacks-data-loss-and-big-data/article/220301/ (Consultado: 4-01-2012)
CHICKOWSKI, E. (2011) 2012 compliance checklist. Security professionals need to consider these best practices and new compliance requirements as they ring in a new year. Dark Reading Magazine. Diciembre. Disponible en: http://www.darkreading.com/taxonomy/index/printarticle/id/232200757 (Consultado: 4-01-2012)
ENISA (2011) Industrial control systems security. Recommendations for Europe and member state. Disponible en: http://www.enisa.europa.eu/media/press-releases/industrial-control-systems-security-recommendations-for-europe-member-states (Consultado: 4-01-2012)
CIO UPDATE (2011) Fortinet’s Top 8 security predictions for 2012. CIO Update. Diciembre. Disponible en: http://www.cioupdate.com/technology-trends/fortinets-top-8-security-predictions-for-2012.html (Consultado: 4-01-2012)
LIZAMA, J. (2005) Hackers en el contexto de la sociedad de la información. Facultad de Ciencias Políticas y Sociales. Tesis doctoral. Disponible en: http://descargas.segu-info.com.ar/tesis/hackers-sociedad.zip (Consultado: 4-01-2012)
CANO, J. (2011) Voces de la inseguridad de la información. Algunas reflexiones desde la academia. Computerworld Colombia. Agosto.
WANG, C. (2011) The extended enterprise: A security journey. Forrester Research. Disponible en: http://www.forrester.com/rb/Research/extended_enterprise_security_journey/q/id/60179/t/2 (Requiere suscripción)
WEISSMAN, C. (1969) Security controls in the ADEPT-50 time-sharing system. AFIPS Conference Proceedings Fall Joint Computer Conference. pp. 119—133. Disponible en: http://dl.acm.org/citation.cfm?id=1478574 (Requiere suscripción)