domingo, 26 de agosto de 2012

Documentos electrónicos: la inseguridad más allá de la manifestación de la voluntad


Revisando apartes del libro “Safeguarding critical e-documents. Implementing a program for securing confidential information assets” publicado por John Wiley & Sons bajo la autoría de Robert F. Smallwood, se identifican una serie de conceptos y elementos interesantes alrededor de los documentos electrónicos o internacionalmente denominados e-documents.

En primer lugar define lo que significa el gobierno de la información, como aquello que la organización adelanta para mantener la seguridad, el cumplimiento regulatorio y los estándares éticos cuando se maneja información, datos y documentos. Seguidamente el autor detalla la definición anterior y formula una declaración más elaborada que reza:
El gobierno de la información involucra la creación, mantenimiento, monitorización y cumplimiento de las políticas referentes al uso de la información – incluyendo información no estructurada como los documentos electrónicos- para cumplir con las demandas de cumplimiento externo y con el gobierno del control interno.”

De otra parte, en el desarrollo de su libro define una concepto clave para tener en cuenta frente a situaciones de falla parcial o total en una organización: registros vitales (vital records): “registros claves o de misión-crítica que son necesarios para que una organización continúe operando en el evento de un desastre”. Dichos registros deberán ser protegidos de la destrucción pues ofrecen, como se establece en el libro, evidencia de la condición legal de la empresa, propiedad, registros contables, obligaciones particulares, lo cual hace que los mismos deban ser mantenidos en su forma original para que sean legalmente admisibles como evidencia.

En este sentido, se advierte que los documentos electrónicos, entendidos éstos como los define la Dra Mariliana Rico: “(…) la representación idónea capaz de reproducir una cierta manifestación de la voluntad, materializada a través de las tecnologías de la información sobre soportes magnéticos, ópticos o similares (…) que se expresan a través de mensajes digitalizados que requieren de máquinas para ser percibidos y comprendidos por el hombre.”, establecen un reto emergente en el ejercicio de la protección de los mismos frente al uso de éstos en diferentes contextos.

Los vectores de ataque que se pueden materializar frente a los documentos electrónicos, están referidos a su acceso, uso, recuperación, transmisión y disposición final. En este sentido, Smallwood, siguiendo lo establecido por un documento de Forrester Research, propone algunos patrones de diseño asociado con la seguridad de los datos en un contexto ubicuo. Para ello la firma consultora establece:
  1. Uso de clientes delgados: Esta consideración establece acceso a la información en línea, sin operación o manejo local, donde no existe almacenamiento de datos, documentos o programas, manteniendo la información clasificada como confidencial almacenada y custodiada de manera central.
  2. Uso de dispositivos delgados: Estos dispositivos deben ser configurados para efectuar consultas de los documentos originales y mantener copias que no pueden ser modificadas  o alteradas. Adicionalmente se recomienda poder configurar la posibilidad de borrar  o eliminar la información de manera remota ante eventos de pérdida del dispositivo.
  3. Procesos protegidos: Esto consiste en tener en el equipo de escritorio (que generalmente no es propiedad de la organización y tampoco es controlado por ésta) una partición local protegida donde se almacenan los documentos electrónicos, para ser procesados de manera segura y controlada. Este patrón permite una operación local, operación fuera de línea, administración central, seguridad granular a nivel de documento y borrado remoto de ser necesario.
  4. Datos protegidos: Desarrollar un programa de information right management (IRM) embebido dentro de los documentos o datos con el fin de proveer un ciclo de vida de documento seguro. Esto es los derechos de acceso sobre los datos dependen del contexto, es decir, de dónde y cuándo un usuario puede tener acceso. Por ejemplo, se quiere que tenga acceso en su computador de escritorio, en las horas laborales.
  5. Ojos en el cielo: Establece el uso de tecnologías como el DLP (Data Loss Prevention) para revisar el contenido del tráfico de redes y controlar el flujo de documentos confidenciales o con datos sensibles en el perímetro. Esto es, desde el punto final (equipos de cómputo personales), pasando por el correo electrónico y los servidores corporativos. Es de anotar que este tipo de soluciones son complementarias a las medidas de protección de la información que tenga la empresa.
Todas estas consideraciones son posibles siempre y cuando se asegure una práctica de clasificación de información, la cual exige una reconversión de la cultura de protección de la información en los individuos, donde cada uno se vea como custodio de sus datos y por lo tanto, responsable por su adecuado tratamiento.

Así las cosas, los documentos electrónicos, comprometen a las organizaciones a repensar su modelo de funcionamiento corporativo cuestionando las verdades de hecho sobre los documentos físicos, para tratar de construir un nuevo referente sobre los documentos en formato digital. Habida cuenta de lo anterior, reconocer un documento electrónico con la validez y fuerza digital, significa que debe seguir y asegurar de manera equivalente o superior las consideraciones propias de los documentos físicos como son el iniciador o autor, su identidad (integridad, confiabilidad y trazabilidad) y la permanencia en el tiempo (disponibilidad).

En consecuencia, las prácticas de seguridad y control sobre los documentos en formato digital, requieren marcas especiales, programas ubicuos, controles y monitorización remotos (y local) y una cultura de protección exigente que permita que la información confidencial se mantenga como tal. Adicionalmente, si existe una brecha de seguridad, es posible identificar y rastrear el flujo del mismo.

Como quiera que sabemos que la fuga de información es una realidad en las organizaciones y que los mejores sistemas tecnológicos de contención y aseguramiento, no pueden actuar frente a los “deseos e inclinaciones humanas”, los documentos electrónicos estarán expuestos a los vectores naturales de la filtración de información, los cuales están fundados en el ser humano. En este sentido, retomando la definición base de gobierno de la información, será necesario insistir en los estándares de ética del uso de la información, el régimen sancionatorio y las prácticas de clasificación como fundamentos de la aplicación del ciclo de vida de la información en una empresa.

Finalmente y no menos importante, cabe anotar que si bien un documento físico reviste toda una doctrina particular en las Ciencias de la Información y la gestión documental, el agregarle el apellido “electrónico” permite superar los referentes actuales de éstas disciplinas para repensar la manifestación de la voluntad materializada en bits y bytes como una nueva capacidad organizacional y humana que hace visible la naturaleza de lo instantáneo, móvil y tercerizado en un mundo cercado por la presencia de la inevitabilidad de la falla, de la fuga y pérdida de la información.

Referencias
SMALLWOOD, R. (2012) Safeguarding critical e-documents. Implementing a program for securing confidential information assets. John Wiley & Sons.

domingo, 12 de agosto de 2012

El futuro de la inseguridad de la información: El arte de imaginar lo inesperado


Revisando un reciente informe de Forrester Research denominado “Navigate the future of the security organization”, se advierten consideraciones importantes que nos alertan sobre el futuro de la función de seguridad de la información, un futuro que dependerá del entendimiento de la inevitabilidad de la falla en el análisis y diagnóstico de la inseguridad de la información en el contexto de las metas grandes y ambiciosas de las empresas.

El informe anota que “los negocios continúan viendo la seguridad de la información como un policía y custodio paranoico que es una barrera para progresar e innovar”, declaración que bien puede incomodar a más de un responsable de la seguridad de la información, sin embargo, leída en clave de crítica constructiva, revela un sentimiento propio del negocio y un reclamo de la organización para el área de seguridad, para entender que se hace necesario movilizarse y transformar la organización para potenciar las capacidades empresariales en su sector de negocio y desequilibrar el entorno a su favor.

El reporte anota que la situación anterior se presenta pues los ejecutivos de seguridad de la información no logran demostrar cómo:
  • Los costos operacionales e inversiones soportan las actividades de negocio
  • Gestionar o mantener el ritmo de la demanda empresarial
  • Centrarse en la innovación empresarial
Revisando cada uno de estos aspectos, el responsable de seguridad la información debe hacer una lectura de la seguridad en función de la esencia del negocio de la empresa, esto es, qué significa la seguridad de la información para el negocio y cómo esta permite su transformación en un contexto abierto, asimétrico y altamente dinámico.

Frente a los costos e inversiones, la seguridad de la información debe asistirse de la visión de riesgos, que le permite saber cómo sus esfuerzos mitigan o permiten a la organización “proteger el valor de sus negocios”, soportado en las prácticas de seguridad de la información corporativas, la custodia y aseguramiento de sus activos de información, y el cuidado de la reputación empresarial, que es visible y tangible a través de todos sus grupos de interés.

Cuando se trata de la demanda empresarial, el ejecutivo de seguridad debe comprender los planes empresariales y actuar desde sus inicios para “asegurar el valor de las iniciativas” que permitan integrar la seguridad de la información como una distinción estratégica y táctica, que le permite a los negocios mantenerse activos frente a los riesgos y políticamente alertas frente a los impactos que una falla puede ocasionar y sus efectos frente a la junta directiva.

La innovación empresarial está fuertemente asociada con el uso de tecnologías y gestión de la información. En este contexto, la seguridad de la información debe comprender las exigencias de una operación en un escenario móvil, de flujo de información y mensajes instantáneos, para que el negocio funcione de manera confiable, protegiendo el tránsito de la información y asegurando las prácticas de seguridad en cada uno de los participantes de empresa.

De otra parte el estudio, establece que el área de seguridad de la información se encuentra en una encrucijada entre un panorama altamente cargado de vulnerabilidades y la asimetrías de sus efectos y, la exigencia de nuevos controles frente a los nuevos retos tecnológicos, lo cual le impide configurar o establecer con claridad una visión atractiva del futuro del tema para la empresa. En este sentido, el ejecutivo de seguridad se ve forzado a:
  • Explicar porque las soluciones previas no son efectivas
  • Solicitar presupuesto para tratar los nuevos riesgos emergentes
  • Ser el portador de malas noticias
 Como custodio y de alguna forma garante[1] de la seguridad de la información debe mantener un monitoreo proactivo sobre los controles existentes para verificar su efectividad y la relevancia de los mismos frente a los niveles de riesgo aceptado por la función de negocio. En este sentido, fiel a su posición de garante debe ser responsable de mantener un nivel de exposición aceptable de la organización y declarar las no conformidades identificadas frente a la inevitabilidad de la falla.

Lo anterior, no necesariamente requiere ajustes presupuestales, los cuales de requerirse deberán ajustarse a la lectura existente del riesgo, habida cuenta que los controles vigentes generan un umbral de protección aceptable frente a las amenazas propias del proceso de negocio. Si luego de una evaluación de vulnerabilidades se advierte un cambio importante en la percepción del riesgo y los cambios empresariales revelan nuevas fuentes de amenaza, se hace necesario establecer los recursos requeridos que nuevamente ajusten los niveles de exposición a lectura aceptables por los dueños de los procesos.

No es sano que el responsable de la seguridad de la información sea observado como “el ave de mal agüero”, como esa persona que nadie espera se aparezca en su puerta. Esta vista oscura y tenebrosa, claramente fundada en la lectura de los incidentes, no puede ser la única carta de presentación del área de seguridad. Se hace necesario, establecer reportes de aseguramiento y avance en el cierre de brechas de seguridad frente a la información y malos hábitos empresariales, manteniendo “el mínimo de paranoia bien administrado” para mantener distanciada la falsa sensación de seguridad.

Seguidamente la investigación de Forrester detalla algunos de los elementos que limitan al Chief Information Security Officer – CISO para salir de su percepción técnica y operacional que soporta a la organización bien en soluciones ajustadas a su realidad, así como primera línea de respuesta frente a la materialización de incidentes de seguridad:
  • Falta de experiencia frente a las juntas directivas
  • Bajo respeto e influencia en las unidades de negocio
  • Limitada perspicacia financiera y de negocio
  • Limitada capacidad para adquirir el talento que necesita
Esto cuatro elementos delinean el programa del renovado ejecutivo de seguridad de la información. Lograr revertir los efectos de estas declaraciones en la gestión de seguridad, es ensanchar la caja de herramientas de los profesionales de seguridad, de tal forma que entiendan la seguridad de la información como un negocio, para que su lenguaje, capacidad de influencia, solvencia financiera y de negocio, actúen a favor suyo, para luego explorar en el mercado interno y externo los profesionales que compartan el sueño que dicho profesional tiene frente a la seguridad en la empresa.

Como respuesta a estos retos el informe plantea la transformación del cargo de CISO por el de de CBSO – Chief Business Security Officer, los cuales encarnan una nueva raza de ejecutivos de la seguridad que fundados en un desarrollo de habilidades de negocio y de consultoría, son capaces de transformar la vista eminentemente de cumplimiento y control, en una que permita leer los objetivos de negocio en clave empresarial y anticipar las acciones que aseguren la generación sostenible de valor de la corporación.

En consecuencia con lo anterior, los analistas de Forrester detallan el siguiente cuadro:


CISO
CBSO
Mentalidad
Ejecución operacional, seguridad absoluta

Estrategia, mitigación de riesgos

Reputación
Tecnólogo, proveedor de miedo, incertidumbre y dudas
Colega confiable, consultor interno
Aproximación
Reactivo, seguridad focalizada
Proactivo, seguridad embebida
Foco
Tecnologías de seguridad y productos puntuales
Arquitectura, procesos y analítica
Entrega de valor
Operaciones, selección de tecnología, eficiencia
Habilitador de negocios, mitigación de riesgos
Próximo trabajo
CISO, Vicepresidente de operaciones
Chief Information Officer
Tomado de: Forrester Research.

El perfil detallado en el cuadro anterior nos permite observar un ejecutivo de seguridad que es capaz de tomar decisiones impopulares y firmes frente a la asignación y priorización de su presupuesto, que busca oportunidades estratégicas y políticamente correctas para habilitar los negocios empresariales y sus procesos frente a los movimientos y tendencias tecnológicas emergentes, que comprende, analiza y diagnostica las exigencias de seguridad y control en el contexto de la complejidad de los negocios, buscando alternativas que se ajusten a la cultura empresarial y aseguren, al mismo tiempo, las relaciones corporativas frente a sus grupos de interés.

Este nuevo profesional de la seguridad de la información que requieren las organizaciones, debe sintonizarse política y estratégicamente con los negocios empresariales. Esto es conocer en detalle los procesos críticos de la empresa, detallar y analizar el modelo de generación de valor de la compañía y sobre manera, articular el modelo de negocio de la función de seguridad de la información, con las metas de empresa, más allá de los reportes naturales de sus indicadores, fundando un modelo de visión anticipada de la realidad que proteja el valor actual de la organización y sugiera elementos que sumen a las propuestas desequilibrantes que la junta visualice en el mediano y corto plazo.

La pregunta que surge en este momento es ¿cómo iniciamos la transición hacia este nuevo reto? La respuesta tiene muchas variantes y explicaciones, pero en el fondo estas exigencias requieren la habilidad de hacer evidente la inseguridad de la información en las relaciones entre personas, tecnologías y procesos, no como un “proveedor de miedo, incertidumbre y dudas”, sino como un “generador de escenarios emergentes de análisis” de riesgos positivos y negativos, que procuren vistas renovadas del negocio, que refresquen los conocimientos del mercado y permitan acciones diferenciadoras en el mismo.

Así las cosas, nuestro CISO debe saber que su papel empresarial, si bien es reconocido y validado por el alto gobierno corporativo, la dinámica de los negocios, los mercados y la tecnología demandan una transformación fundamental, que no busca abandonar las competencias técnicas propias de su formación, sino balancear dichas competencias con el lenguaje del negocio, las cifras de su operación, y lo más importante, con la lectura y pensamiento estratégico de la empresa.

Habida cuenta de lo anterior, el CBSO tendrá el reto de reconstruir la función de seguridad de la información desde la perspectiva de la generación de valor, es decir, desde el conocimiento y estudio de las capacidades de la empresa, para iniciar la revolución requerida en la práctica de la protección de la información actual que pase de:

HOY
FUTURO
Una vista de productos y servicios

Una vista de escenarios y amenazas emergentes

Una vista de riesgos y cumplimiento
Una vista de innovación y creatividad confiable
Una vista centrada en los costos y riesgos
Una vista centrada beneficios y oportunidades
Una cultura basada en incidentes
Una cultura basada en lecciones aprendidas
Una postura reactiva y mitigar lo que sucede
Una postura que se anticipe e imagine lo que puede hacer que suceda
Una postura de analizar las tendencias
Una postura de reconocer patrones

Dice Hamel que: “las compañías no pueden crear el futuro, no porque no lo prevean sino porque no lo pueden imaginar”, si esto cierto, los profesionales de seguridad de la información deben comenzar a configurar ese futuro que les demanda ampliar su espectro de formación; a ver diferente, para ser diferente; es decir entender “la diferencia entre lo futuro y lo imaginado, entre saber lo que viene e imaginar lo que vendrá” como anota el académico.

Pues sólo así será posible poner atención a las asimetrías de la inseguridad y las condiciones desequilibrantes de los mercados, para poder ver dónde está ocurriendo lo que será el futuro de la organización y así distinguir las oportunidades que permitan construir una nueva experiencia, un nuevo comienzo donde la inevitabilidad de la falla contraponga a “aquellos que han sido sorprendidos por el futuro” con “aquellos que han podido anticiparse al futuro”.

Referencias
HAMEL, G. (2000) Liderando la revolución. Ed. Norma
BALAOURAS, S. y ROSE, A. (2012) Navigate the future of the security organization. Forrester Research.



[1] “Posición de garante es la situación en que se halla una persona, en virtud de la cual tiene el deber jurídico concreto de obrar para impedir que se produzca un resultado típico que es evitable. (…)” Tomado de: http://gavillan5.blogspot.com/2006/08/posicion-de-garante.html

domingo, 5 de agosto de 2012

Retando el modelo de riesgos y controles: la inseguridad de la información como paradigma sistémico de oportunidades y realidades emergentes.


Introducción
Anota Covey y Colosimo (2012): “Vivimos en un momento en el que grandes fuerzas convergen para crear un nuevo mundo. El paisaje económico está sufriendo cambios sísmicos que generan un panorama de oportunidades para cada uno de nosotros. (…)”, en consecuencia, podríamos decir que estamos ad portas de una renovación total de lo que conocemos y por tanto, los paradigmas conocidos se agrietan, dejando una sensación de muchas preguntas y pocas respuestas.

Este estado natural y cíclico de la humanidad, nos advierte que la era industrial, donde la fuerza, los tiempos y movimientos predecibles eran la constante, formalmente llega a su fin para darle paso a una sociedad de construcción colectiva y de intereses compartidos, que tiene su fundamento en el trabajador del conocimiento, ese que “es capaz de escoger el problema en el que trabajará, el que plantea los problemas a revisar  y que no reconoce límites con respecto a qué tanto puede contribuir.” (COVEY y COLOSIMO 2012, pág. 17)

En este contexto la seguridad de la información, no es la excepción y por tanto, exige tanto a analistas como a profesionales de la protección de la información, nuevas aproximaciones para entender los retos que demandan esta nueva era dominada por la nube, la tercerización, los móviles y las comunicaciones instantáneas.

En consecuencia la vista natural por alcanzar altos niveles de protección frente a las amenazas basadas en tecnología, personas y procesos, enfrenta el límite natural del lenguaje de los riesgos y controles, que se ha venido desgastando en las organizaciones, dejando poco espacio para la imaginación y propuestas innovadoras para repensar la seguridad de la información en las empresas.

Cuando el entendimiento de la seguridad de la información, se circunscribe a un ejercicio de riesgos y controles, o a la consideración de temas de cumplimiento normativo, la vista de la protección de la información se cierra a un mundo donde no se tolera la materialización de incidentes o fallas parciales o totales, en personas, procesos o tecnología, pues ello implica un impacto negativo que no estamos dispuestos a asumir.

En esta lectura actual de las organizaciones, estamos asistiendo a un mundo ajeno a la falibilidad humana y por lo tanto, negado al aprendizaje propio de la sabiduría del error. Cosa diferente podemos advertir, cuando desde el paradigma de la inseguridad de la información entendemos la forma como nos enfrentamos a las amenazas de la información, donde analizamos las relaciones propias de las personas, procesos y tecnología, no para entender lo que ocurrió, si no para ver de manera sistémica los riesgos emergentes, que están más allá del entendimiento de cada objeto particular de análisis.

Así las cosas, este documento nos presenta una breve revisión del enfoque clásico de protección de la información y sus bondades, así como las limitaciones propias del mismo, que da paso a un entendimiento más generoso y prospectivo que la inseguridad de la información ofrece, como punto fundamental que entiende en la esencia de los incidentes la forma de lograr mayor resistencia a la materialización de las amenazas, tratando éstas en su propio terreno y no en un mundo donde no existe la falla y la condición natural es la seguridad y la certidumbre.

El mundo de los riesgos y controles
La forma tradicional de entender las situaciones inesperadas o que se salen de la normalidad, están sometidas al imperio del entendimiento de las causas y efectos que éstas exhiben para establecer acciones que no permitan que estas vuelvan a ocurrir. Sin embargo, sabemos que la condición natural de la inestabilidad e incertidumbre propia de la dinámica de los procesos en las empresas, hace que de manera permanente estemos expuestos a condiciones límites que nos llevan a reaccionar frente a ellas y nuevamente actualizar los análisis de riesgos y controles.

El modelo de riesgos y controles es un modelo sistemático que estudia los diferentes elementos que componen el sistema que se estudia, buscando un conjunto base de condiciones que pueden afectar elemento y los impactos que la materialización de la misma puede generar en el sistema como un todo. En este sentido, este modelo emprende la búsqueda de respuestas frente a eventos inesperados sobre cada elemento particular de estudio, para configurar una vista básica de análisis que advierte al analista aquellos puntos críticos de análisis que debe revisar para minimizar los impactos identificados.

Los métodos propios de la administración de riesgos conllevan la elaboración análisis detallados que generan recomendaciones puntuales que permiten a los interesados entender los posibles puntos de falla que son pertinentes para el negocio o situación que se estudia, dejando claridad de las valoraciones frente a los diferentes tipos de riesgo como son riesgo inherente, riesgo de exposición y riesgo residual.

Estas calificaciones y aplicaciones, que de manera general se establecen en el estándar de administración de riesgos AS/NZ 3260 (Disponible en: http://www.imfperu.com/facipub/download/contenido/dnl/fp_cont/902/dlfnc/file/standard__adm_risk_as_nzs_4360_1999.pdf ), han generado un lenguaje propio de prevención y aseguramiento corporativos que ha permitido permear las empresas desde el nivel directivo hasta la base de sus operaciones, desarrollando una cultura de riesgos que entiende en la prevención la forma más adecuada de hacer las cosas, que actualiza sus prácticas frente a la gestión de fallas identificadas y que visualiza en su entorno condiciones más confiables para sus operaciones.


Elementos principales del proceso de administración de riesgos. Estándar AS/NZ 4360.

Si bien este modelo ha permitido a muchas organizaciones prevenir y advertir situaciones críticas que, de haberse materializado, hubiesen sido afectadas de manera importante, hoy se requiere repensar el mismo para evolucionar hacia una vista más sistémica y relacional, que permita no solamente seguir unos pasos definidos, sino plantear escenarios más elaborados desde la incertidumbre y no desde la vista de la mitigación del riesgo. Esto es, no tener como objetivo disminuir el riesgo identificado, sino que analizando las condiciones y relaciones de los objetos propios de la situación, conocer la amenaza y como fruto de ello, aprender las dichas interacciones y así plantear nuevas relaciones que muestren el comportamiento que deseamos.

El mundo de la inseguridad de la información
Concebir o entender un objeto de estudio desde la inseguridad de la información, significa comprender que reconocemos la inevitabilidad de la falla como la condición base para explicar los resultados de un incidente que se presente. Esto es, como se advierte en CANO (2007), reconocer las características básicas de la inseguridad como son:
  • Es objetiva, es decir es propia de los objetos.
  • Es tangible
  • Es una propiedad inherente a los objetos
  • Es posible establecerle cota superior
  • No requiere modelarse para que se presente.
Así las cosas, creer que es posible agotar la comprensión de las condiciones de falla parcial o total con un análisis de los componentes del objeto estudiado nos confina a un escenario limitado y poco confiable de posibilidades, por tanto se hace necesario entenderlas en el contexto relacional en que ellas operan, para lo cual retomamos el modelo de administración de la inseguridad informática documentado por CANO (2007) como fuente base de la propuesta que extienda los alcances actuales de la gestión de los riesgos.

 Modelo de Administración de la Inseguridad Informática (Adaptado de CANO 2007)

El modelo mencionado establece un concepto de recursión o desdoblamiento de complejidad, que reconoce las relaciones propias de los niveles estratégico, táctico y operativo de las empresas. Esto es, el nivel estratégico compuesto por las expectativas empresariales, los objetivos de negocio y la tecnología, establecen relaciones guidas por la confianza requerida por la empresas para mantener sus relaciones con sus grupos de interés y asegurar la transparencia de sus operaciones.

Para lograr lo anterior, debe funcionar en el nivel táctico elementos conexos como son la cultura de seguridad de la información, los estándares y buenas prácticas y la arquitectura de seguridad, para asegurar que la organización se ajusta con los temas de regulación y cumplimiento frente a referentes internacionales y nacionales, mostrando que es capaz de mantener una vista homogénea de la gestión de la protección de la información.

Finalmente y no menos importante, para que el objetivo planteado en el nivel táctico se materialice, se hace necesario desarrollar relaciones entre los procedimientos de operación, las prácticas de seguridad de la información y, las exigencias de configuración y adecuación de la tecnología se ajusten a las necesidades de la empresa y sus retos, para asegurar una operación confiable, repetible y verificable.

Como podemos ver, cada nivel es interdependiente del otro, con lo que desde ya se marca una diferencia sustancial frente al análisis de riesgos tradicional. En línea con lo anterior, el modelo sugiere que cuando se pasa de un nivel a otro, se utilice un método de análisis (que puede ser el análisis de riesgos tradicional), el cual debe asistir al analista para descubrir la inseguridad de la información, tanto en cada uno de sus componentes como en las relaciones que cada nivel privilegia:
  • Estratégico – Relaciones para generar confianza y transparencia
  • Táctico – Relaciones de regulación y cumplimiento
  • Operacional – Relaciones de confiabilidad y aseguramiento
(Nota: La relación de construcción colectiva de relaciones establece, que las relaciones de confiabilidad y aseguramiento, son fundamento de las de regulación y cumplimiento, y éstas últimas, son determinantes para la generación de confianza y transparencia de la gestión empresarial. Por tanto, para poder entender la inseguridad de la información en una organización, no es suficiente entender cada nivel por separado sino en una vista integral y sistémica que comprenda las implicaciones del diagnóstico por nivel de las mismas.)

Como resultado de esta aplicación y descubrimiento, tenemos la base conceptual de las amenazas, riesgos y condiciones que pueden comprometer el cumplimiento de las metas corporativas. Acto seguido, el modelo establece que, basado en el resultado de los análisis realizados, se adelante el diagnóstico de cada nivel analizado. Esto es, estudie en profundidad los resultados entregados, sobre la relación que se privilegia en cada nivel para conocer los impactos en el nivel estudiado y cómo este afecta al nivel superior, lo que en la gráfica se anuncia como el diagnóstico.

Para adelantar un diagnóstico, las herramientas de análisis de riesgos se quedan cortas, por lo que se hace necesario acudir a otros métodos que nos permitan construir de manera consistente este tipo de resultado, claramente complementario al de un análisis de riesgos. En el diagnóstico no se examina qué ha ocurrido, sino por qué ha ocurrido, es decir, comprender la variedad propia de las relaciones estudiadas para, desde una vista estructural, reconstruir las relaciones privilegiadas en cada nivel asegurando la viabilidad del sistema estudiado y la coordinación requerida de los componentes para lograr el resultado esperado en dicho nivel, que impacte de manera positiva su relación superior.

Retando la inevitabilidad de la falla
Cuando utilizamos un método diferente para comprender la inseguridad de la información, fuera del contexto de la mitigación de los riesgos, donde de manera tácita se quieren mayores certezas y claridades, estamos recorriendo los hilos invisibles de la inseguridad que se esconden en las relaciones de los objetos estudiados.

Un ejemplo sencillo para explicar esta mirada alterna para construir un referente de seguridad de la información, es tomar la relación primaria del nivel estratégico y analizarla desde las expectativas de la alta gerencia, esto es verificar en su lectura política y práctica las inquietudes que tienen frente al aseguramiento de la información. Para ello, las técnicas de análisis de riesgos plantean contextos que les permiten a los miembros ejecutivos de las empresas establecer condiciones generales de exposición como son las sanciones, los errores u omisiones, multas entre otros, que son elementos que por lo general preocupan de manera particular a los gerentes y miembros de junta cuyos impactos se reflejan en la reputación e imagen de la empresa.

Si bien este ejercicio, es base para observar las expectativas de los altos gerentes, la relación de confianza que se privilegia en ese nivel, no se aborda con la suficiencia requerida, toda vez que la vista diagnóstica que se alimenta del ejercicio realizado a nivel táctico, enriquece los escenarios que confrontan las relaciones propias entre los objetivos de negocio, la tecnología y las expectativas empresariales. Esto es, si el nivel táctico no está fortalecido en su relación de regulación y cumplimiento, su impacto en la lectura de los grupos de interés y en las expectativas empresariales, generará inestabilidad empresarial que puede distraer a la empresa para avanzar en relaciones con socios de negocio claves que potencien las estrategias corporativas.

Más aún, esta conclusión, estará articulada en el hecho de que la confiabilidad de las operaciones, tienen fallas estructurales que deben ser advertidas y revisadas, para repensar la relación del nivel operacional en función de comportamientos, coordinaciones y adaptaciones requeridas, para que se materialice el resultado esperado, que impacte de manera positiva el nivel táctico.

Como quiera que esta forma de comprender la inseguridad de la información, en el mundo de las relaciones estructurales, exige mantener una vista tanto de diagnóstico sobre el nivel superior que lo contiene, así como del nivel inferior que se analiza, las organizaciones y los analistas de seguridad, deben saber que dicho ejercicio, redundará en mejoras sustanciales de sus análisis, que no sólo advierten condiciones de peligro de los elementos analizados, sino de escenarios probables que están íntimamente relacionados con los diagnósticos de los niveles analizados.

Reflexiones finales
Para aquellos que se han tomado el tiempo de llegar hasta este punto de la reflexión, puede haber un cierto nivel de inquietud, pues necesariamente las acciones detalladas, demandan una forma de pensar estructural y recursiva, que contrasta con nuestra aproximación lineal propia de las causas y efectos.

La vista estructural de análisis y diagnóstico, rompe con la estabilidad de modelo de riesgos y controles, pues reconoce a la inseguridad como una dualidad que “comprende las propiedades emergentes de los sistemas (analizados) bajo condiciones y realidades extremas, las cuales no son viables en una estrategia de protección causal (dualismo) sugerida por la seguridad de la información”.(CANO 2004)  En este sentido, la vista extendida que se propone en este documento, nos permita ver con mayor profundidad como las relaciones privilegiadas en cada nivel planteado, se enriquecen frente a las propiedades y escenarios emergentes resultado del análisis de las relaciones.

En este contexto, un analista de seguridad de la información, encuentra en la vista de la inseguridad de la información, la visa de acceso a realidades no documentadas en el modelo general de riesgos, para comprender los impactos de las relaciones y las condiciones de excepción que se pueden presentar más allá de un análisis tradicional. El ejemplo planteado en este documento, ilustra una visión claramente estratégica del entendimiento de la seguridad de la información, que interconecta las realidades de lo táctico y operacional, como fundamento de los escenarios y los impactos que se pueden gestar dentro de la vista empresarial de la estrategia y cómo la protección de la información hace la diferencia en su diagnóstico.

Comprender las relaciones claves de cada nivel nos pone de manifiesto sus posibles realidades emergentes, lo que nos revela la necesidad de su diagnóstico. Así las cosas, el nivel táctico es influenciado claramente por el operativo, en la medida que los comportamientos y valores respectos de la información se hagan realidad en las prácticas de seguridad y en los procedimientos de operación. De igual forma el nivel táctico afecta el nivel estratégico, en el escenario donde la relación de cumplimiento y regulación no permite una vista homogénea de la cultura, la arquitectura y el aseguramiento de estándares y buenas prácticas.

Finalmente, si estamos en un mundo dominado por la incertidumbre y la inestabilidad, que se contrae y moviliza de manera asimétrica, no podemos mantener una posición estática ni centrada de la realidad basada una vista exclusivamente de causas y efectos, sino saltar al escenario y vibrar con la inestabilidad y sísmica de sus movimientos, para que en el terreno de la inseguridad de la información, podamos comprender sus relaciones y propiedades emergentes, y así ser asistentes privilegiados del curso avanzando y siempre innovador que ofrece la inevitabilidad de la falla.

Referencias
CANO, J. (2004) Inseguridad Informática. Un concepto Dual en Seguridad Informática. Revista de Ingeniería. Universidad de los Andes. Facultad de Ingeniería. Mayo ISSN: 0121-4993
CANO, J. (2007) Administración de la inseguridad informática. Repensando el concepto de gestión de la seguridad informática. Revista Hakin9. No.23 Hard Core IT Security Magazine. Polonia
COVEY, S. y COLOSIMO, J. (2012) Cómo construir la carrera de su vida. Grijalbo.
AS/NZ 4360 – Estándar de Administración de Riesgos.