lunes, 21 de julio de 2014

Fundamentos de ciberseguridad. Perspectivas emergentes para construir un entorno digital menos inseguro


Introducción
La seguridad de la información es siempre un producto en desarrollo, un ejercicio de aseguramiento y descubrimiento permanente que no admite posiciones incontrovertibles o sesgos de visiones particulares. Es una disciplina que está en constante movimiento y renovación como premisa fundamental para mantener el espacio conocido de riesgo residual aceptable y tolerable por una persona u organización.
 
En este sentido, cada vez más las decisiones relacionadas con protección de la información tienen impactos significativos en aspectos claves de la vida de las personas. Casos particulares se observan en aquellos puntos donde las tecnologías de información convergen con los sistemas de control, los cuales generalmente terminan teniendo a cargo sistemas de transporte de energía, monitoreo de plantas, operación de dispositivos biomédicos, entre otros, que se integran y afectan aspectos claves de la vida humana.
 
No tenemos que enumerar los impactos de una operación inadecuada de los sistemas de control o de acciones inadecuadas de protección de la información de estos elementos industriales, pues es claro que no solamente está en juego la seguridad de la operación, sino la vida de aquellos a los cuales sirve este sistema y lo que de ellos se deriva. Adicionalmente, si las acciones son dirigidas especialmente a infraestructuras claves de las empresas o naciones, no estará en juego solamente la operación propia de éstas, sino posiblemente la reputación de una empresa o la gobernabilidad de una nación.
 
Así las cosas, se abre un camino convergente entre dos conceptos ampliamente utilizados en el dominio de la seguridad y control como son “safety” y “security”. De acuerdo con Axelrod (2013, pág.61), se entiende por safety – que el sistema no debe dañar al mundo y por security – que el mundo no debe dañar el sistema. Ahora bien, si el sistema es susceptible a las dos distinciones estamos en presencia de una infraestructura crítica donde el sistema puede llegar a “dañar el mundo” y “el mundo puede dañarlo”.
 
En consecuencia, cuando trasladamos estas dos distinciones a la esfera de la seguridad de la información y de la ciberseguridad, comenzamos a vislumbrar los enfoques complementarios que se deben asumir para avanzar en nuevas prácticas de aseguramiento en un contexto extendido de la realidad del flujo de la información que afecta el mundo exterior y puede comprometer la vida humana.
 
Mientras las prácticas de seguridad de la información tradicionales, se concentran en que “el mundo no dañe el sistema”, procurando una series de acciones y actividades que incrementen la resistencia del sistema a los ataques, las nuevas estrategias de ciberseguridad, deben sintonizar las anteriores para evitar que el sistema “pueda dañar el mundo”, esto es, entender la misión que tiene el sistema en el mundo y sus impactos, para así desarrollar un enfoque agregado de protección que evite dañar la realidad exterior y asegurar la resistencia del sistema frente a ataques del exterior.
 
Basado en lo anterior, revisaremos el contexto de las prácticas actuales de seguridad de la información y de ciberseguridad, con el fin de plantear una vista compartida y extendida de estos dos conceptos que, teniendo una identidad propia, comparten prácticas y procuran objetivos semejantes para administrar un riesgo residual conocido, pero con impactos y realidades diferentes.
 
Ciberespacio: Realidad emergente
Siguiendo las reflexiones de Clark y Knake (2010) el ciberespacio es una realidad emergente que se compone de cuatro elementos fundamentales: contexto físico, fundamentos lógicos, contenidos y actores. Cada uno de ellos interactuando entre sí le dan vida a un ente de construcción colectiva que vincula el mundo real con la realidad digital del flujo de información, donde se construyen y reinventan las relaciones entre los diferentes actores.
 
El contexto físico hace referencia a la plataforma tecnológica y de telecomunicaciones, donde se encuentra la fuente del contacto con el mundo exterior. La sintonía e integración de esta plataforma con las diferentes actividades humanas, la convierte en una extensión del relacionamiento humano, con lo cual no solamente podemos repensar nuestras actividades diarias, sino mejorar o ampliar nuestra capacidad de influencia y colaboración con el resto de la humanidad.
 
Esta plataforma para que funcione requiere unos fundamentos lógicos, es decir, programas, aplicaciones o desarrollos de software quienes son lo que le dan vida a las posibilidades que podemos experimentar sobre la infraestructura de tecnológica disponible. La lógica de las operaciones de la plataforma responde al software de base y especializado, los cuales debidamente estructurados y construidos, son capaces de proveer servicios para que sean usados por todos aquellos que tengan acceso a ellos.
 
Estos programas o aplicaciones, transforman, almacenan y transmiten contenidos que son desarrollados por aquellos que han acrecentado su conocimiento y las habilidades tomar control de los mismos y difundirlos a través de la plataforma donde opera el software. Mientras en el pasado, eran unos pocos los que tenían el control de los contenidos que se subían a la infraestructura, el proceso de apertura y democratización que ha tenido el ciberespacio, permite ahora que cualquier persona que tenga acceso a este mundo digital, tenga la capacidad de crear sus propios contenidos y propagarlos de la forma que mejor le parezca.
 
Todo esto es posible dado que existen actores, personas de carne y hueso e instituciones que tienen diferentes intereses y roles, con lo cual se abre un diálogo abierto sin intermediarios entre múltiples interesados que permite un flujo de información, que puede determinar un cambio de perspectiva de una temática particular, abrir nuevas posibilidades para crear y hasta actividades ilegales que pueden comprometer la imagen de una persona o entidad, o incluso la forma de gobierno de una nación.
 
En este escenario, el ciberespacio es una plataforma de interacción humana, soportada en una realidad tecnológica que ofrece las siguientes características: (CHOUCRI 2012, pág.4)

·         Es atemporal e instantáneo
      ·         Ubicuo – Está en todas partes
      ·         Permeable – Traspasa todas las fronteras
      ·         Fluido – Está en revolución y cambio permanente
      ·         Participativo – Universal y de contribución popular
      ·         Múltiples identidades – Procura el anonimato
      ·         Auto regulado – Busca la neutralidad tecnológica

En consecuencia, el ciberespacio establece un reto conceptual y práctico tanto para la sociedad, como para las diferentes disciplinas científicas, pues sus múltiples aproximaciones y variables, motivan diversas reflexiones que crean visiones y tendencias aprobadas por algunos y controvertidas por otros.
 
Ciberseguridad: Intersección entre política y tecnología (CLARK, BERSON y LIN 2014, CHOUCRI 2012)
Una lección que no se puede olvidar es que hablar de ciberseguridad no debe limitarse a las reflexiones en el contexto de la tecnología de información, sino al entendimiento de los retos e impactos que impone el ciberespacio como plataforma donde ocurre ahora la relación entre los estados y los ciudadanos.
 
Una política de ciberseguridad es un instrumento que desarrollan las naciones para comunicar y manifestar aquellos aspectos que desea un estado proteger en el ciberespacio. Es una declaración que materializa la postura de un gobierno para vincular de manera decidida al ciudadano, sus derechos y deberes ahora en un escenario de la realidad extendida de la sociedad, donde la información instantánea, la movilidad y las redes sociales son la norma de su operación.
 
En este contexto, las variables económicas, relacionadas con el movimiento de capitales e inversiones se ven afectados, toda vez que las entidades bancarias flexibilizan y promueven dicha interacción con servicios cada vez personalizados y electrónicos, motivando un flujo de activos financieros por la red, que requieren condiciones de protección diferentes y prácticas de seguridad y control donde intervienen tanto los clientes como la entidad bancaria.
 
De otra parte, se tienen implicaciones psicológicas de estas nuevas interacciones de los ciudadanos en el ciberespacio, donde las motivaciones, orientaciones y actuaciones se presentan de acuerdo con tendencias y patrones de acción que son definidos por realidades emergentes de relaciones informática entre diferentes actores, que bien pueden inducir a comportamientos positivos, negativos o neutros, los cuales manifiestan una conciencia supranacional que está presente no en un contexto visible, sino inmerso en el tejido social asistido por las redes de información y comunicación.
 
Como quiera que esta nueva realidad de interacción virtual y real moviliza comunidades y relaciones fuera de los dominios y contornos de un país, los comportamientos y expresiones sociales demandan un orden general diferente. En este sentido, las ciencias jurídicas encuentran un nuevo reto de regulación sobre un escenario que es incierto e impredecible, para tratar de conceptualizar y proponer alternativas de solución frente a aquellos de situaciones catalogadas como conductas reprochables, las cuales articuladas con tecnología de información, se hacen más volátiles frente a posibles formas de sanción y control.
 
Las organizaciones no son ajenas a los impactos de una realidad interconectada, habida cuenta que las relaciones entre las personas ahora se articulan desde un medio social informático, el cual ingresa como un elemento de la cultura organizacional y replantea las conversaciones internas de la empresa, para motivar actividades que habiliten espacios de expresión más abiertos, democráticos e interactivos donde opinar no es un privilegio, sino un deber de un empleado, que siente que hace parte de una realidad superior y que la empresa está inmersa dentro de un todo superior.
 
Esta realidad de un ciberespacio para interactuar, renueva el entendimiento de nuestras relaciones con los demás y con los estados. En este contexto, la ciberseguridad como política de estado, formaliza una decisión de un país donde declara que ahora cuenta con un territorio digital extendido donde de igual forma ejercerá soberanía, sabiendo que dicho espacio virtual, es compartido con otras naciones y nacionales para beneficio mutuo.
 
Ahora bien, el ciberespacio revisado desde la vista de las prácticas de seguridad y control, demanda una estudio particular para comprender cómo operan y se interrelacionan cada uno de sus elementos frente a la distinción de safety y security, con el fin de establecer con mayor claridad los esfuerzos que se deben adelantar para construir una vista complementaria que procure la búsqueda de un entorno digital más seguro.

Buscando respuestas para la ciberseguridad
Siguiendo las reflexiones de Axelrod (2013, pág. 117) sobre safety y security se hace necesario distinguir entre los sistemas de información críticos y sistemas de control críticos. Para ello, propone distinguirlos por las consecuencias que puede traer su mal funcionamiento, uso inadecuado o falla. Mientras una falla en un sistema de información crítico puede llegar a tener impactos económicos, sociales y legales, en los sistemas de control los efectos pueden ocasionar daños físicos y/o daños al ambiente.
 
En este contexto, cuando se trata de sistemas de información críticos, generalmente tenemos la realidad de las organizaciones y sus operaciones, las cuales entran en el dominio de la seguridad de la información con todas sus actividades y retos a nivel de personas, procesos, tecnología y aspectos normativos. La protección de la información se fundamenta en una transformación de comportamientos desde una práctica que se materializa en un proceso, que es asistida con herramientas tecnológicas de seguridad y está alineada con las regulaciones propias de cada negocio.
 
De otra parte, cuando el objeto de revisión son los sistemas de control, tenemos la realidad del mundo de los microcontroladores que reciben y transmiten información desde puntos remotos, con el fin de conocer el estado de la operación de un elemento del mundo real o de ejecutar acciones concretas sobre el mismo, basado en los datos disponibles a través del sistema de control. Generalmente estos sistemas permanecían en redes e infraestructura tecnológicas separadas, pero con la penetración del mundo IP, han comenzado a ser más visibles y por tanto, más expuestos a las condiciones agrestes de la fallas y vulnerabilidades de los sistemas de información.
 
Así las cosas, los atributos y condiciones de operación de los sistemas de información (o mundo TI) difieren de los sistemas de control (o mundo OT – Operations Technology). Dentro de las diferencias se encuentran: (Adaptado de: WEISS 2010, pág.34)


Atributos
Sistemas de Información
Sistemas de control
Confidencialidad
ALTA
BAJA
Integridad
Moderada
Muy alta
Disponibilidad
Moderada
Muy alta
Autenticación
Moderada
Alta
Parches
Frecuentes
Pocos o nulos
Ciclo de vida
3 a 5 años
15 a 50 años
Forensia informática
Disponible y configurable
Limitada, si existe
Pruebas de seguridad
Pruebas de vulnerabilidades
Pocas o nulas
Manejo de cambios
Frecuentes, formales y documentados
Raros, informales y no siempre documentados
Administración
Centralizada
Local

Tabla de comparación entre los sistemas de información y los sistemas de control (Adaptado de: WEISS 2010, pág.34)

Como podemos ver cada dominio de sistemas, sugiere un foco y prácticas que de manera independiente se han venido manejando para mantener la operación en cada una de sus sedes, generando especialidades marcadas tanto para el mundo TI como para el mundo OT.
 
Sin embargo, cuando el ciberespacio aparece y penetra con su infraestructura de telecomunicaciones general y estándar, proporcionando una forma integrada de conectar y ver el mundo, lo que inicialmente estaba en el dominio exclusivo de los sistemas de control, con sus particularidades y prácticas, ahora se expone y sale a la luz del mundo interconectado. Esto obliga a una revisión de las diferencias marcadas previamente y explorar un mundo extendido que no solo deja que la información fluya entre los diferentes puntos, sino que ahora tiene la capacidad de afectar al mundo exterior.
 
En este tenor, podríamos indicar que la ciberseguridad, es el conjunto de prácticas de seguridad y control aplicadas sobre sistemas de información y/o control que operan en el ciberespacio, con el fin de hacerlos más resistentes a los ataques (security), limitando los impactos adversos en el mundo exterior producto de su malfuncionamiento, uso inadecuado o falla (safety).
 
Esta definición supone, llevar las prácticas de seguridad de la información del mundo TI al mundo OT y comprender la lógica de la operación del mundo OT, para integrarlo al mundo TI. Bajo este nuevo lente, las infraestructuras críticas, aquellas cuyos sistemas puede llegar a “dañar el mundo” y “el mundo puede dañarlos”, deben adquirir la mayor relevancia en el ejercicio de aseguramiento, toda vez que son capaces de afectar la dinámica de las relaciones que exhibe una sociedad, ahora enlazada desde la esfera del ciberespacio.
 
Habida cuenta de lo anterior, se comprende mejor las preocupaciones de los gobiernos y organismos multilaterales sobre los eventos recientes que afectan la operación de plantas de energía, refinerías, aeropuertos, dispositivos biomédicos, los sistemas de defensa, sistemas bursátiles, entre otros, que buscan no solamente atacar el sistema, sino producir un daño en el mundo real, que genere confusión y zozobra frente a las posibilidades que se manifiestan en la interrelación entre el ciberespacio y los sistemas de control. (GONSALVES 2014, KEPES 2014, RILEY 2014)
 
Por tanto, la ciberseguridad vista como una política de estado en el contexto del ciberespacio y como la convergencia del mundo IT y OT, demanda un entendimiento de aquellos elementos que operan en una infraestructura tecnológica con potencial de afectación del mundo exterior o de terceros, para establecer y conciliar una vista de aseguramiento que valide el nivel de exposición de los sistemas de información y verifique las consecuencias del mal funcionamiento, mal uso o falla de los sistemas de control allí presentes.
 
Es importante anotar, que los sistemas de información financieros propios de la banca central, la bolsa de valores, organismos de supervisión financieros y relacionados, hacen parte de las infraestructuras críticas, pues si bien no utilizan sistemas de control como los comentados previamente, si cuentan con consolas de operación y programas especializados, cuyo mal uso, falla o malfuncionamiento puede generar efectos nocivos sobre la confianza de los inversionistas en un país o dejarlo paralizado frente a las operaciones que se requieren para mantener el flujo de la economía.
 
Algunas prácticas emergentes en ciberseguridad
Para adelantar una revisión de la ciberseguridad es preciso avanzar en una identificación de amenazas y comprender en profundidad qué es aquello que queremos proteger, qué cosas pueden salir mal, qué debo hacer frente a aquellas cosas que pueden salir mal y si he hecho un análisis consciente del sistema en revisión. (SHOSTACK 2014, pág.4)
 
Si bien existen metodologías ampliamente conocidas para adelantar pruebas de vulnerabilidades como son OSSTMM (2003) (Open Source Security Testing Methodology Manual), ISSAF (2005) (Information Systems Security Assessment Framework) y OTP (2014) (OWASP Testing Project) las cuales detallan una serie de actividades para entrar en profundidad de las fallas de los objetos que son alcance de sus revisiones, es importante contar con un marco de acción que simplifique el análisis y se focalice en aquellos elementos claves de las debilidades propias del sistema, para movilizar con mayor celeridad los ajustes requeridos y así aumentar la resistencia de éstos a los ataques.
 
En este sentido, el analista de Microsoft Adam Shostack (2014) propone un método para identificación de amenazas denominado STRIDE: Spoofing, Tampering, Repudiation, Information disclosure, Denial of service y Elevation of privilege, que traducido en español se leería como Suplantar, Alterar, Repudiar, Revelar información, denegar el servicio y elevar privilegios. El cual puede ser usado con múltiples enfoques: como una forma para pensar como el atacante y establecer maneras de vulnerar el sistema, como una forma de analizar los elementos del sistema y sus vulnerabilidades o como una estrategia para atacar las interacciones que tiene el objeto bajo evaluación con sus otros componentes.
 
Con este método, los analistas o personas participantes de la revisión del sistema bajo evaluación, procuran establecer aquellas cosas que pueden salir mal con el sistema, los momentos o acciones que se pueden materializar y afectar el adecuado funcionamiento del mismo. De igual forma, por cada amenaza enumerada se tiene el principio y/o servicio de seguridad que se requiere asegurar: Spoofing (autenticación), Tampering (integridad), Repudiation (No repudio), Information disclosure (confidencialidad), denial of service (disponibilidad) y elevation of privilege (autorización).
 
Adelantar un ejercicio siguiendo lo sugerido por STRIDE, permite tener un escenario base de amenazas en los diferentes puntos del sistema bajo evaluación, los cuales son insumo para entender los impactos de su malfuncionamiento, uso inadecuado o falla, así como para plantear los mecanismos de seguridad y control requeridos para hacerlo más resistente a los ataques. El método prevé algunos controles para cada uno de los principios y servicios de seguridad asociados con las amenazas. Para mayor información consultar la referencia que se indica. (HERNAN, LAMBERT, OSTWALD, y SHOSTACK 2006)
 
De otro lado, tenemos la guía de los 20 controles críticos de seguridad del SANS Institute versión No.5 (SANS INTITUTE 2013) como una forma práctica de establecer controles generales para las infraestructuras críticas. Para ello, se presenta una aproximación inicial, basada en la experiencia y estándares referentes (ISA99, ISO 27019:2013), sobre cuáles de los controles son más relevantes y utilizados en cada uno de los dominios IT y OT, como base para la reflexión convergente que se requiere para obtener una vista integrada que procure resistencia a los ataques en la operación y limitación de efectos adversos en el mundo real como fruto de un mal funcionamiento del sistema.


Controles Críticos del SANS Institute Versión 5
TI
OT
STRIDE
Inventario de dispositivos autorizados y no autorizados
 
X
ST
Inventario de software autorizados y no autorizados
 
X
ST
Configuraciones seguras para hardware y software en dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores
 
X
TE
Remediación y Evaluación continua de vulnerabilidades
X
 
STRIDE
Defensas frente al malware
X
 
T
Seguridad en las aplicaciones
 
X
STRIDE
Control de acceso inalámbrico
 
X
S
Capacidad de recuperación de datos
X
X
D
Evaluación de Habilidades y formación adecuadas en seguridad
X
 
STRIDE
Configuraciones seguras para los dispositivos de red, tales como firewalls, routers y switches
 
X
ST
Limitación y control de los puertos de red, protocolos y servicios
X
X
ST
Uso controlado de privilegios administrativos
X
X
STR
Validación de flujos de información entre componentes
X
 
STRIDE
Mantenimiento, Monitoreo y Análisis de Registros de auditoría
X
 
E
Acceso controlado con base en la necesidad de conocer
X
 
S
Supervisión y control de cuentas de acceso
X
X
SIE
Protección de datos
X
 
I
Respuesta y Manejo de Incidentes
X
X
STRIDE
Diseño de redes confiables
 
X
STRIDE
Pruebas de Penetración y simulaciones de ataques
X
 
STRIDE

 
Tabla - Vista de Controles SANS, TI, OT y STRIDE
 
Revisando esta primera aproximación notamos que hay coincidencia de cinco controles en los dos dominios. Estos controles establecen el fundamento de los mínimos que se deben asegurar en las infraestructuras críticas, toda vez que procuran defender de manera básica el sistema de ataques del mundo exterior. Si alguno de estas contramedidas básicas falla, estaremos advirtiendo efectos en el mundo exterior que afecten el normal desarrollo de las actividades de la sociedad con impactos tan profundos como la operación que tiene a cargo el sistema de control.
 
De igual forma, podemos advertir que los cinco controles coincidentes, se correlacionan con los riesgos enumerados con el método STRIDE, con énfasis en la suplantación, la modificación y la elevación de privilegios, sin perjuicio que algunos de ellos, son de propósito general frente a los riesgos enumerados por el método de Microsoft. Esto nos insinúa de igual forma, la sensibilidad de los componentes en el mundo OT y la necesidad de comprender en profundidad sus interacciones para descubrir los campamentos de la inseguridad de la información y los efectos no documentados de dichas relaciones.
 
Así mismo, ISACA recientemente basado en la nueva actualización de su marco de gestión, ahora de información, denominado COBIT5, propone una visión de la ciberseguridad que articula con el planteamiento de safety y security. El documento Transforming cybersecurity using Cobit5, se fundamenta en dos dimensiones, una estratégica donde se establecen las estrategias, los planes, pasos a seguir y el portafolio de proyectos, y otra sistémica que identifica las dependencias entre los sistemas considerando los impactos de los cambios que se efectúan y cómo estos tendrán efectos inmediatos o secundarios en su entorno de operación (ISACA 2013, pág.56).
 
ISACA entiende la ciberseguridad como un sistema que se distribuye a través de todos los componentes de la empresa. Esto incluye la empresa, sus personas, procesos y tecnología en un amplio sentido. Adicionalmente estos elementos están interconectados de manera dinámica a través de la estrategia empresarial, la cultura individual o las diferentes relaciones de la empresa con sus grupos de interés (ISACA 2013, pág.141).
 
Todos estos elementos de análisis sobre los sistemas de infraestructura crítica (dominio de la ciberseguridad), permiten aumentar la capacidad de éstos para ser resistentes a los ataques del exterior y mejorar las acciones de respuesta interna que eviten consecuencias mayores, si estos sistemas no funcionan o son impactados de manera importante.
 
Adicionalmente, si estas prácticas de aseguramiento orientadas por la formalidad de los controles se combinan con técnicas de monitoreo activo, ataques activos, inteligencia informática y reconocimiento dinámico de amenazas (MOWBRAY 2014, pág.290), no solamente se aumentará la capacidad de respuesta de la infraestructura, sino que llevará a evaluar mejor al atacante los beneficios y consecuencias de lanzar una acción desetabilizadora sobre ésta, lo que generalmente se llaman estrategias disuasivas.
 
Habida cuenta de lo anterior, y sin perjuicio de la evolución natural de la ciberseguridad y sus prácticas, se hace necesario profundizar en el entendimiento de la evolución de los ciber ataques y las amenazas emergentes sobre las infraestructuras críticas, como fuente fundamental de conocimiento para retar los modelos actuales de protección y las propuestas de marcos metodológicos de ciberseguridad, con el fin de no caer en la falacia de la falsa sensación de seguridad y crear el entorno adecuado para construir nuevas capacidades de resistencia frente a actividades no autorizadas que afecten las variables críticas de una empresa o nación.

Reflexiones finales
Los ciber ataques cada vez serán más comunes y sus impactos comenzarán a inquietar a las empresas y gobiernos, pues no solamente habrán cicatrices en sistemas o tecnologías particulares, sino que sus efectos alcanzarán sectores claves de un país, afectando la población civil y el normal desarrollo de sus actividades, como ha ocurrido en el pasado.
 
La complejidad tecnológica, la rapidez de la evolución tecnológica, la falta de madurez de la industria de TI, la alta interconectividad de las “cosas” y la visibilidad de los elementos de la operación del mundo OT (CANDAU 2013), aumentan la posibilidad para que los atacantes descubran en el laberinto de direcciones IP, aquellos sitios neurálgicos de las operaciones de una empresa o país, y provocar una crisis que ponga en tela de juicio la gobernabilidad de un estado.
 
En este entendido, se hace necesario comprender con mayor rapidez y visibilidad las amenazas conocidas, latentes, focales y emergentes (CANO 2013), con el fin anticipar los movimientos de los agresores y de motivar acciones, no solamente de control y aseguramiento, sino proponer alternativas que permitan disuadirlos de sus operaciones frente a las infraestructuras críticas de una empresa y/o país.
 
En este tenor, la ciberseguridad como la intersección entre política y tecnología,  así como prácticas de seguridad y control convergentes de los mundos “safety” y “security”, plantean nuevos retos y desafíos para los ejecutivos de seguridad de la información, los presidentes de empresa y los gobernantes de las naciones, toda vez que el tejido social, ahora intercomunicado por una infraestructura tecnológica, se hace más susceptible a fallas o malos usos, cuyos impactos en número de víctimas potenciales, impactos económicos y afectación de la confianza del público, estamos empezando a conocer y caracterizar.
 
Estamos ante un escenario incierto, que toma a personas, empresas y naciones sin la preparación adecuada, como quiera que hasta ahora la mirada sobre la seguridad de la información se habían concentrado hacia el interior y como problema local, descuidando de igual forma la evolución y visibilidad de los sistemas OT, propios de la vista de aquellos sistemas que no deben dañar el mundo.
 
Si bien este documento, no pretende agotar las reflexiones sobre ciberseguridad, si busca proponer un punto de reflexión conceptual para motivar la generación de nuevas propuestas de construcción de un concepto, que no puede ser tratado como una extensión de las prácticas tradicionales de seguridad y control, sino como un ejercicio donde política y tecnología se hacen convergentes para reinventar la noción del estado-nación más allá de las fronteras conocidas e incorporar al ciberespacio como el nuevo contorno de la realidad social, tan real y vibrante como la soberanía de un país y su estado social y democrático de derecho.
 
Referencias
AXELROD, C. W. (2013) Engineering safe and secure software systems. Ed. Artech House.
CANDAU, J. (2013) Prioridades nacionales en ciberseguridad. En SEGURA, A. y GORDO, F. (Coords) (2013) Ciberseguridad global. Oportunidades y compromisos en el uso del ciberespacio. Mando de Adiestramiento y Doctrina. Editorial Universidad de Granada. Págs.201-211
CANO, J. (2013) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Disponible en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html (Consultado: 13-07-2014)
CHOUCRI, N. (2012) Cyberpolitics in international relations. MIT Press.
CLARK, D., BERSON, T., y LIN, H. (Editors) (2014) At the Nexus of Cybersecurity and Public Policy: Some Basic Concepts and Issues. National Research Council. National Academies Press.
CLARK, R. y KNAKE, R. (2010) Cyber war: The next threat to National Security and what to do about it. HarperCollins.
GONSALVES, A. (2014) Airport Breach a Sign for IT Industry to Think Security, Not Money. Disponible en: http://www.cio.com/article/2448928/it-strategy/airport-breach-a-sign-for-it-industry-to-think-security--not-money.html (Consultado: 1-07-2014)
HERNAN, S., LAMBERT, S., OSTWALD, T. y SHOSTACK, A. (2006) Uncover Security Design Flaws Using The STRIDE Approach. Disponible en: http://msdn.microsoft.com/en-us/magazine/cc163519.aspx (Consultado: 1-07-2014)
ISACA (2013) Transforming cybersecurity using Cobit5. Disponible en: http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Transforming-Cybersecurity-Using-COBIT-5.aspx (Con membresía) (Consultado: 13-07-2014)
ISSAF (2005) Information Systems Security Assessment Framework. Open Information Systems Security Group. Disponible en: http://oissg.org/files/issaf0.2.1A.pdf (Consultado: 20-07-2014)
KEPES, B. (2014) Data Security And What Keeps CISOs Up At Night. Disponible en: http://www.forbes.com/sites/benkepes/2014/06/27/data-security-and-what-keeps-cisos-up-at-night/?ss=cio-network (Consultado: 1-07-2014)
MOWBRAY, T. (2014) Cybersecurity. Managing systems, conducting testing, and investigating intrusions. John Wiley & Sons. Indianapolis.
OSSTMM (2003) Manual de la Metodología Abierta para pruebas de seguridad. ISECOM. Disponible en: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf (Consultado: 20-07-2014)
OTP (2014) Open Web Application Security Project Testing Guide. Versión 4. Disponible en: https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents   (Consultado: 20-07-2014)
RILEY, M. (2014) How Russian Hackers Stole the Nasdaq. Business Week. Disponible en: http://www.businessweek.com/articles/2014-07-17/how-russian-hackers-stole-the-nasdaq (Consultado: 19-07-2014)
SANS INSTITUTE (2013) Critical security controls for effective cyberdefense. Disponible en: http://www.sans.org/critical-security-controls (Consultado: 1-07-2014)
SHOSTACK, A. (2014) Threat modeling. Designing for security. John Wiley & Sons. Boulevard, Indianapolis.
WEISS, J. (2010) Protecting industrial control systems form electronic threats. Momentum Press. Taiwan.