viernes, 28 de agosto de 2015

Radiografía de un analista de seguridad de la información. Cinco capacidades claves y tres declaraciones básicas.

Introducción
Anota el académico Dans (2015) en una columna reciente de su blog: “muchas veces lo importante es precisamente entender qué es lo que no se sabe, por qué, y cómo llevar la discusión a ello de una manera que resulte suficientemente atractiva para los alumnos y para la necesaria motivación del profesor. (…)”, una frase que pone de manifiesto la postura que todo analista de seguridad de la información debe tener frente a su maestra la inseguridad de la información.

Muchos analistas, en el ejercicio de su práctica, saben que deben dar respuestas a las preguntas permanentes de sus clientes, comprender de primera mano los ataques y estrategias de los atacantes, y dar cuenta de las medidas que se deben tomar para proteger los activos de información. Cuando un analista no tiene respuestas entra en una encrucijada personal y profesional, que afecta su estabilidad psicológica y su reputación, algo que genera una inestabilidad interna que resquebraja el balance de esta persona.

En este sentido, un analista de seguridad de la información o de ciber seguridad deben estar formado frente al contexto del mundo actual: volátil, incierto, complejo y ambiguo (Johansen, 2009), allí donde de manera sistemática su maestra la inseguridad le hace ver qué es lo que no sabe y lo motiva entender que la lucha constante de ataque y defensa (Mazurczyk y Rzeszutko, 2015), es el ejercicio natural que le corresponde explorar para reconectar cada vez los puntos del escenario donde actúa.

Así las cosas, un analista de seguridad de la información, debe desarrollar al menos cinco (5) capacidades claves que le permitan no solamente entender la realidad y los retos de los ataques y sus atacantes, sino estar preparado para los movimientos disruptivos que supone el nuevo ecosistema donde viven y operan las organizaciones modernas y así mismo, alinear sus reflexiones con tres reglas básicas de la protección personal: pensar como el atacante, mantener un bajo perfil y siempre tener una ruta de escape (Wilson, 2012), como fuente de acciones prácticas que revelen sus capacidades analíticas claves.


Figura 1. Radiografía del analista de seguridad de la información.


Cinco capacidades claves de los analistas de seguridad de la información (Adaptado de: Axon, Friedman y Jordan, 2015)

1. Comprenden la complejidad
Esto significa que el profesional de seguridad de la información deberá desarrollar la habilidad de pensar de forma sistémica, viendo su entorno como sistemas interdependientes, con el fin de identificar tendencias e indicadores de cambios disruptivos. Para ello es necesario que su mente tenga la capacidad de abrirse para reconocer contradicciones, inestabilidades y rarezas para construir escenarios posibles que verifiquen amenazas que aún no se anticipan en el horizonte.

2.  Actúan estratégicamente
Esta capacidad demanda del analista estar preparado para ajustar sus estrategias vigentes para capturar oportunidades emergentes o desafíos inesperados. Lo anterior supone, claridad de la incertidumbre estructural identificada, para actuar de forma efectiva conectando nuevos puntos a su escenario actual y así, responder y anticipar movimientos de la inseguridad de la información, que se esconden en sus manifestaciones asimétricas.

3. Mantienen redes de contactos
El analista de seguridad de la información en la medida que desarrolla y participa de comunidades abiertas especializadas en temas de seguridad de la información, así como de aquellas que le permitan cultivar relaciones no sólo dentro, sino más allá de los límites de la empresa, lo habilita para potenciar nuevas formas de pensar y entender su entorno, lo cual aumenta significativamente su espectro de actuación y sobre manera redes de conocimiento desconocidas y generosas en propuestas, frecuentemente inusuales, que quiebran sus propios modelos de pensar.

4. Desarrollan adaptabilidad personal
El cargo de analista de seguridad exige una alta dosis de resiliencia, esa virtud que le permite a la persona mantenerse de pie y centrada en su propósito, aun las circunstancias externas lo golpee y traten de disminuirlo. Esto supone que la persona reconoce que aquellos enfoques que funcionaron en el pasado, no necesariamente van a ser operacionales en el presente, es decir, ver la realidad a través de unos ojos renovados que permitan identificar y aprovechar nuevas oportunidades en medio de las contradicciones.

5. Cultivan el aprendizaje ágil
El analista de seguridad que dice que terminó de aprender, será un objetivo sencillo para la inevitabilidad de la falla. En este sentido, el aprendizaje ágil, como la búsqueda permanente de quiebres conceptuales y prácticos en su vida diaria es la práctica clave que cualquier analista debe desarrollar si quiere mantenerse vigente frente a los cambios inesperados y amenazas emergentes en el contexto actual. Lo anterior, supone experimentar con aproximaciones y enfoques novedosos, generalmente usando prototipos rápidos, que le permiten capitalizar con celeridad las lecciones aprendidas y por aprender.

Estas cinco capacidades establecen un círculo virtuoso para el analista de seguridad, que le permiten asegurar un conjunto de habilidades y prácticas para aumentar su capacidad de análisis y reconocimiento del entorno, con el fin de anticipar la asimetría de las actuaciones de la inseguridad de la información. Si bien, no podrá acertar en todos los casos, se mantendrá cerca de las inestabilidades estructurales que ocurren, buscando aquellas relaciones relevantes para dar cuenta de sus reportes y propuestas frente al ejercicio de la protección de la información.

Tres declaraciones básicas para los analistas de seguridad de la información (Adaptado de: Wilson, 2012)
Las siguientes declaraciones, extraídas del mundo de la seguridad física y la protección personal, nos permiten articular las habilidades de análisis y capacidad de respuesta de los analistas de seguridad de la información, en acciones concretas que quiebren la falsa sensación de seguridad en las organizaciones.

1. Pensar como el atacante.
Esta declaración demanda ponerse en los zapatos del contrario, entender la lógica de su razonamiento, cultivar la mirada del que busca puntos débiles, zonas grises, contradicciones normativas e implementaciones complejas con el fin de articular posibilidades de acceso y uso no autorizado de sistemas de información, datos sensibles o afectación de la reputación de una persona natural o jurídica.

2. Mantener bajo perfil.
Esta expresión, leída en clave de seguridad de la información, implica prudencia y responsabilidad en el tratamiento de la información empresarial, así como de la personal en redes sociales o medios masivos. La información lleva la impronta de la organización, su conocimiento y el esfuerzo de muchas personas la cual, cuando se sobreexpone en medio del ecosistema donde opera la empresa, genera sensaciones y emociones que se pueden traducir en actividades de inteligencia e ingeniería social que terminen afectando y comprometiendo aquello que hace la diferencia y moviliza el modelo de generación de valor empresarial.

3. Tener una ruta de escape.
Esta declaración supone en el contexto del mundo real, tener rutas alternas y ubicaciones seguras ante cualquier situación de excepción. En el mundo de la seguridad de la información, su lectura sugiere tener sitios de operación remotos, copias de seguridad externas, procedimientos de acceso y control excepcionales, mecanismos de destrucción adecuados y dobles autenticaciones que aumenten la complejidad del acceso ante una pérdida o fuga de la información.

Considerar estas tres declaraciones como fundamento de las actuaciones prácticas del analista de seguridad de la información, permite reforzar el ejercicio de la mente del atacante, como quiera que entendiendo el entorno interconectado donde la organización opera, es capaz de replicar el razonamiento del contrario, con la finalidad no solamente de mejorar la resistencia de la organización frente a los ataques, sino las posibles rutas de acceso conocidas o menos evidentes desde la visual de un agresor.

Reflexiones finales
Enfrentar la realidad interconectada de las organizaciones y sus relaciones con el nuevo ecosistema digital, es comprender que una brecha de seguridad de la información o ciber ataque, no solo causa pérdidas económicas, sino impactos psicológicos que afectan imaginarios sociales que cambian el rumbo de las decisiones personales y colectivas respecto de una realidad concreta (Vaidya, 2015).

En este sentido, los analistas de seguridad de la información se convierten en custodios de una experiencia corporativa de protección de la información, que motiven comportamientos asertivos respecto del tratamiento de la información, los cuales deben estar articulados desde la lectura virtuosa de las cinco capacidades previamente comentadas.  

Comprender la complejidad, actuar estratégicamente, mantener una red de contactos, desarrollar adaptabilidad personal y cultivar el aprendizaje ágil, son capacidades claves para acelerar y definir los escenarios claves que permitan a la organización recomponer su lectura activa de las amenazas del entorno y desarrollar acciones preventivas que anticipen acciones no autorizadas que puedan afectar su modelo de generación de valor.

Así las cosas, si bien no es posible saber que situaciones inesperadas van a ocurrir, la organización deberá responder de manera ágil y consistente para dar cuenta del momento de crisis que se presenta. En este sentido, las tres declaraciones prácticas informan las condiciones y estrategias que se siguen frente a la huella del posible atacante, movilizando de manera sencilla y ordenada aquellas vulnerabilidades identificadas y el cierre de las mismas, la información que se ha comprometido y sus impactos, así como las rutas alternas que la empresa tiene para mantener su operación.

Muchas veces se espera que el analista de seguridad de la información pueda predecir el futuro o averiguar las intenciones de los posibles atacantes, sin embargo la realidad nos ilustra que el ejercicio siempre es limitado, que las variables son innumerables y que la capacidad de análisis no es la esperada frente al potencial de información disponible. No obstante, el analista sabe que más allá del pronóstico e indicaciones que debe indicar, es la confianza que debe construir y comunicar para crear un lenguaje que empareje la incertidumbre del entorno y la preparación empresarial para comprender y enfrentar la inevitabilidad de la falla.

Referencias
Dans, E. (2015) Elogio de la ignorancia. Blog personal. Recuperado de: http://www.enriquedans.com/2015/08/elogio-de-la-ignorancia.html
Mazurczyk, W. y Rzeszutko, E. (2015) Security – A perpetual war: lesson from nature. IEEE IT Professional. Enero/Febrero.
Vaidya, T. (2015) 2001-2013: Survey and analysis of major cyberattacks. Recuperado de: http://arxiv.org/abs/1507.06673
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
Axon, L., Friedman, E. y Jordan, K. (2015) Leading now: Critical capabilities for a complex World. Corporate learning. Harvard Business Publishing. Recuperado de: http://www.harvardbusiness.org/leading-now-critical-capabilities-complex-world
Wilson, O. (2012) International security. Personal protection in an uncertain world. Glenbridge Publishing.

3 comentarios:

  1. Muy interesantes reflexiones; muchas gracias.

    Un comentario.

    Muchos perfiles 'especializados' son muy exigentes y puede suceder (como creo que es el caso actual con los 'analistas de seguridad de la información', en que la demanda internacional parece lejos de estar cubierta) que a corto / corto-medio plazo no haya suficiente capacidad de formación / experiencia en esas competencias. Hasta que aquellas universidades y otros centros capaces de evolucionar lo hagan.
    Ante la escasez de perfiles 'perfectos' (o 'satisfactorios') cabe la fórmula (que yo empleé hace tiempo para 'auditores de SI') de decir: "un analista de seguridad de la información" es un equipo...". Y lograr con el conjunto unión lo que no se lograría con individuos aislados.

    Esto puede parecer más difícil en empresas / organismos que no sean muy grandes; pero puede abordarse vía servicios en lugar de puestos de trabajo.

    :-)

    ResponderEliminar
  2. Manolo, coincido mucho con tu comentario.
    Quien busque "la perfección para que se haga cargo de los problemas (esto lo digo por los ejecutivos que tienen que elegir) le dará la tranquilidad de "no ser implicado si algo sucede".
    Los primeros 5 puntos me parecen imposible de tener en una sola persona a no ser que tenga más de 10 años de experiencia.
    Yo me conformo con las 3 básicas porque es alguien que puede "sobrevivir en la selva y buscar siempre alternativas a imagen de Indiana Jones" que durante mucho tiempo fue un personaje que me ayudó a poder sostenerme en mis creencias sin estar seguro de si era el mejor camino o no hasta que lograba confirmarlo.
    Un saludo.

    ResponderEliminar
  3. Interesante perspectiva. Yo le agregaría una arista más: Imaginación. Puesto que el proceso cognitivo no conlleva un camino recto, sino, advierte de rutas que muchas veces parecen no llevar a ningún lugar, es posible con técnicas básicas de aprendizaje infantil (jugar, en otras palabras...) desarrollar el pensamiento lateral necesario. Te comparto mi blog, que también lo dedico a ciberseguridad, entre otras cosas: http://rbarnettv.blogspot.com

    ResponderEliminar