IT-Insecurity

Descubrimiento electrónico: la evidencia digital y sus retos empresariales

2012-01-15T23:17:00.001-05:00

Introducción

Procesar conductas punibles en un mundo digital establece un reto técnico, administrativo y legal para la gobernabilidad de cualquier nación o empresa. Por tanto, conocer con claridad la estructura técnica de los elementos materiales probatorios en medios tecnológicos, sus medidas de aseguramiento y estrategia de presentación se convierte en una prioridad para todos los operadores de la administración de justicia y los profesionales del derecho en un país o corporación.

En este contexto, toma especial importancia, establecer y desarrollar protocolos que permitan identificar, recoger y custodiar los rastros electrónicos propios de cada escena del crimen digital o situación corporativa particular, de tal forma que al presentarse en audiencia no se encuentren reparos o anotaciones que puedan llegar a desvirtuar la misma, privilegiando el espacio de la duda razonable que actúa a favor de los posibles involucrados.

En este sentido, es fundamental establecer una base conceptual técnica de buenas prácticas y estrategias que, desde el punto de vista técnico y con miras al soporte jurídico posterior, puedan brindar a la entidades del estado y a la sociedad en general, una confianza razonable de los procedimientos aplicados para asegurar elementos materiales probatorios digitales a los que pueda tener acceso tanto los particulares como los servidores públicos en el ejercicio de sus funciones.

En consecuencia, los temas relacionados con la computación forense y el descubrimiento electrónico se advierten como dos elementos fundamentales tanto en la administración de justicia como en el ámbito corporativo respectivamente, para comprender con mismo nivel de certidumbre cómo ocurrió un incidente informático, sus móviles y posibles participantes, así como establecer y ubicar la información electrónicamente almacenada relevante para preparar a una organización frente a demandas o litigios donde este tipo de datos digitales son claves para plantear los argumentos requeridos para reclamar o reconocer los derechos de las personas naturales o jurídicas. (CANO 2010, cap. 7)

Entendiendo el descubrimiento electrónico

Hablamos entonces de una disciplina cercana a la computación forense que denominamos “descubrimiento electrónico” o en inglés “electronic discovery”, e-discovery. Una breve definición de qué es e-discovery sería: procedimiento legal donde se le ordena a una de las partes involucradas la producción de pruebas electrónicas. Generalmente el resultado de este procedimiento implica el análisis de un amplio número de dispositivos electrónicos o medios de almacenamiento, para recabar la evidencia electrónica requerida. (ISF 2008, pág 2)

En este contexto, se revela el deber que tienen las organizaciones de preservar información relevante, para anticiparse a un posible litigio jurídico. Por tanto, las empresas deben establecer políticas de retención de información electrónica para eventos como: injurias (preservación de datos de empleados o clientes ante injurias, especialmente aquellas donde la empresa pueda aparecer como negligente), despidos (registros de pagos, préstamos, liquidaciones salariales, prestaciones) e incidentes donde estén involucrados ejecutivos de la empresa (políticas conservación electrónica de las actuaciones de los ejecutivos, particularmente cuando ya no están en la empresa). (CIO EXECUTIVE BOARD 2011b, pág. 10)

Ciclo de vida del descubrimiento electrónico en la empresa

En línea con lo anterior, el abogado especializado en temas de información electrónicamente almanacenada (IEA), Michael R. Arkfeld, en su libro “Electronic discovery and evidence. 2011 -2012 Edition”, publicado por LawPartner publishing, LLC., establece un ciclo de vida para desarrollar el concepto de descubrimiento electrónico en una empresa, siguiendo cinco pasos fundamentales basado en el modelo de e-discovery de FULBRIGHT y JAWORSKI, para balancear la administración del riesgo corporativo y la estimación y contención de los costos, propios del tratamiento de la información electrónica en una organización. Los pasos son: (ARKFELD 2011, cap.3)

Paso 1: Identificar, preservar y recolectar

Identificar, se adelanta de manera paralela con la acción de “preservar”, se entiende como el tipo, fuente y localización de toda la IEA que debe ser preservada. Es importante anotar, que basado en la naturaleza del caso que se lleve se define el tipo y las fuentes de IEA requeridas, considerando todo el tiempo los costos de localizar y convertir la IEA en formatos legibles y usables que permitan una presentación adecuada frente a los terceros y autoridades involucradas.

Preservar, la obligación de preservar puede provenir de diferentes fuentes: leyes, estatutos, regulaciones u órdenes de cortes. Dependiendo del tipo de regulaciones o exigencias legales, el deber para preservar las pruebas o evidencia se establece cuando el litigio es: razonablemente anticipado, razonablemente predecible, inminente o pendiente. En este sentido, para minimizar el riesgo de la destrucción de la evidencia y evitar sanciones, la evidencia digital debe ser preservada tan pronto como se notifique por la parte sobre las potenciales reclamaciones que se pueden presentar. (ARKFELD 2011b, sección 7.9)

Recolectar, es el proceso de reunir potenciales datos relevantes para ser procesados y revisados. En este sentido, considerando la gran cantidad de IEA almacenada en múltiples ubicaciones, con variedad de formatos, se debe asegurar que el procedimiento que se establezca para ello, sea comprensivo y legalmente defendible. Es importante anotar que dado el incremento de datos informáticos almacenados fuera del control directo de la empresa, generalmente en dispositivos personales o en la nube, se cuenta con un reto adicional en este proceso de recolección. (CIO EXECUTIVE BOARD 2011b, pág. 11)

Paso 2: Filtrar y convertir a Información electrónicamente almacenada (IEA)

Filtrar significa reducir y asegurar la precisión de la IEA. Esto es, aplicar una serie de criterios que permitan afinar lo requerido según el caso, efectuar revisiones más focalizadas y mantener controlados los costos de producción de la evidencia. En este sentido, las consideraciones claves que se sugieren para adelantar este paso son:

Negociación del cumplimiento

La premisa en este punto es reunirse y acordar con el abogado de la contraparte los alcances de la preservación de la IEA con el fin de limitar los costos de producción y mantenimiento de la misma. En este sentido, se sugiere que durante la negociación esté presente el personal del área de tecnología de información, o si la negociación se torna tensa o difícil, asistirse de una tercera parte neutral.

Considerar las protecciones legales

Existen declaraciones y disposiciones legales que dan forma y moderan las peticiones de IEA, evitando la extralimitación en su solicitud, incluso considerando el hecho que no esté razonablemente accesible. Los tribunales revisan con detalle las peticiones de protección efectuadas por la parte, para establecer si ésta es una carga, no es excesivamente amplia o pertinente, o no está razonablemente accesible, y así establecer si se autoriza o no dicha solicitud.

Filtrado de la IEA

Este proceso reduce el tamaño de la población de IEA disponible. El proceso de filtrado responde a una “valoración temprana del caso” o su revisión “analítica”. Se estima que aproximadamente entre el 75 y 95 por ciento de los datos inicialmente recolectados en respuesta a una solicitud de descubrimiento electrónico, será eliminada pues no responde a lo requerido y podrá ser filtrada para su no revisión posterior.

Siguiendo lo establecido en Judges’ Guide to Cost-Effective E-discovery (http://www.ediscoveryinstitute.org/JudgesGuide/ (Consultado: 11-01-2012), detallamos algunos de los métodos técnicos conocidos para efectuar filtrado de IEA:

• Limitar la búsqueda de términos (palabra clave, expresiones booleanas y sistemas de búsqueda conocidos) a nombre específicos, fechas y código predictivo.

• Limitar hacia archivos específicos (Word, Excel, PDF, etc) filtrado por extensión (.pdf, .docx, .pst, etc)

• Reducir la duplicación de archivos.

• Remover los archivos conocidos del sistema, de las aplicaciones y software base utilizando para ello la lista general de estos archivos provista por el NIST – National Institute of Standard and Technology (para comparar sus respectivas firmas de HASH)

• Revisar cadenas de texto en correos electrónicos.

• Analizar los nombres de dominio

• Establecer una muestra de la IEA disponible para determinar la relevancia para el caso y el costo de su procesamiento.

Conversión de la IEA

La conversión es un proceso de extracción de los datos de usuario, texto o metadata de los archivos que representan la IEA. Durante la extracción se convierten en un formato para ser importados en otras aplicaciones; eventualmente los datos se convierten en imágenes o se imprimen en papel para revelarlos y presentarlos en una corte. Es importante anotar que durante este momento la IEA no se convierta a archivos PDF o TIFF, sin antes cursar la revisión inicial de la relevancia de la misma.

Paso 3: Revisar y analizar

Luego de filtrar la información no relevante, los profesionales del derecho deben revisar los datos seleccionados para determinar los subconjuntos necesarios, que no sean de acceso privilegiado, para responder a lo solicitado. El costo real del descubrimiento electrónico no es la solicitud o la adquisición de datos, sino el costo del profesional que asiste la revisión de la información para almacenar o localizar información confidencial o reservada antes de su revelación.

En este sentido, generalmente este paso se apoya en herramientas informáticas como los sistemas automatizados para soporte de litigios (Automated litigation support systems – ALS), los cuales cuentan con capacidades de búsqueda y acceso a documentos, reorganización de hechos, registro de análisis previos, puntos de vista entre otros, que permiten colaborar con el equipo de apoyo al proceso jurídico.

Paso 4: Revelar y “Formularios o formas”

Para adelantar este paso es importante establecer la forma para recibir o divulgar la IEA. En este contexto, se detallan a continuación algunos criterios relevantes:

• ¿La IEA es susceptible para hacer búsquedas? Los archivos en formato nativo, bases de datos, texto plano, etc. son susceptibles de búsquedas, pero es probable que deban ser convertidos a un formato conveniente para efectuar las mismas.

• ¿La metadata de la IEA está incluida en el formato? Existen algunos formatos de archivo que no contienen metadata.

• ¿Es posible identificar o resaltar la información privilegiada o confidencial? En los archivos con formato nativo, no es posible identificar esta información sin cambiar el archivo. Es viable con algún código o funcionalidad indicar que la información confidencial se ha retirado electrónicamente.

• ¿Es posible sellar los documentos a ser divulgados? Se recomienda utilizar firma digitales o algoritmos de hash para asegurar la autenticidad de los documentos requeridos para presentarse.

Es importante anotar que si la contraparte en su requerimiento no especifica la forma o formularios para producir la IEA, la otra debe producir o entregarla en la forma o con los formularios con los cuales ordinariamente administrada o razonablemente utilizada. Por tanto, la otra parte no debe producir o entregar la misma IEA en más de una forma.

Paso 5: Presentar

Este es el paso final, que incluye la planeación de la presentación de la evidencia siguiendo el procedimiento legal establecido. Para ello, debe considerar los equipos de apoyo disponibles en recinto de las audiencias, asegurando que se cuenta con el software y hardware requerido para ilustrar con detalle lo requerido durante el despliegue de la presentación.

En razón con lo anterior, resulta conveniente desarrollar al interior de las organizaciones una política o lineamiento corporativo relacionado con la información electrónicamente almacenada de tal forma que se identifique sus periodos de retención, los procedimientos asociados y la persona encargada de la IEA, que permitan recuperar su información para reconstruir los eventos relacionados con reclamaciones o solicitudes que impliquen algún tipo de proceso en el contexto jurídico o empresarial.

Retos emergentes para el descubrimiento electrónico

Avanzar en una estrategia corporativa de descubrimiento electrónico, define un reto en sí misma dado que se hace necesario vincular al menos tres vistas que permitan sintonizar los esfuerzos para beneficio de la organización: el negocio, la tecnología de información y los referentes de conservación y archivo. Cada uno de ellos, establece connotaciones particulares que articuladas en el proceso de sustentación de pruebas informáticas, fortalece y asegura la posición de la organización frente al ciclo de vida del descubrimiento electrónico.

En razón con lo anterior, se presentan tres retos claves (CORPORATE EXECUTIVE BOARD 2011) para considerar a nivel organizacional con el fin de visualizar los aspectos sensibles que deben mantenerse en la agenda de los responsables organizacionales de asegurar una posición apropiada de la empresa frente a litigios con información electrónicamente almacenada.

1. Mapa de datos e información de la organización

Este es un elemento crítico frente al descubrimiento electrónico. Contar con un inventario o mapa de información de una empresa, exige de ésta un alto nivel de madurez en conservación y archivo, así como la declaración de la información como un activo de la corporación. Mientras esto no sea la constante, las organizaciones mantendrán un espíritu reactivo frente a requerimientos legales con registros electrónicos.

2. Información almacenada o residente dentro de dispositivos móviles o en equipos propios de terceros que prestan servicios

Con la alta penetración de dispositivos electrónicos móviles como teléfonos inteligentes y tabletas, las organizaciones cambian su forma de movilizarse frente a la IEA. Ahora la información no permanece en los equipos de cómputo personal, sino que viajan en los medios móviles, generalmente sin un control definido y bajo la responsabilidad del usuario del dispositivo tecnológico. Sin una adecuada orientación y guía en la empresa en este tema, muchas serán las brechas sobre fuga y/o pérdida de información que se reportarán en las empresas.

3. Información generada y distribuida a través de redes sociales

La expresión natural de los seres humanos, ahora a través de la web 2.0, es una característica nativa de los ciudadanos en la red. Por tanto, es claro que los empleados de una organización mantengan estrecha relación con sus comentarios y apreciaciones publicadas a través de sus blogs y redes sociales. En razón con lo anterior, controlar o asegurar este tipo de información, o mantener su trazabilidad, se convierte en un reto de confianza, ética y procedimientos empresariales, que los trabajadores deben asumir con toda la formalidad del caso, para limitar posibles acciones o declaraciones que puedan atentar contra el buen nombre o imagen de la corporación.

Reflexiones finales

Cuando hablamos de evidencia digital en el contexto empresarial generalmente la podemos asociar con aquella requerida para sustentar o probar algún evento, acción o situación organizacional que permita tener la certeza de que algo ha ocurrido, para lo cual el artefacto tecnológico que la produce, cuenta con las estrategias de seguridad y control requeridas para conocer de primera mano el usuario, sus perfiles, los procedimientos asociados y los mecanismos de monitoreo que acompañan el uso del mismo.

Sin embargo, esta realidad solamente se hace evidente cuando un hecho desafortunado ocurre, particularmente asociado con un incidente de seguridad de la información que manifiesta alguna vulnerabilidad, falla o error en algún momento o accionar de los sistemas de información disponibles en la organización. En este sentido, las investigaciones informáticas se convierten en las primeras solicitantes de información para esclarecer los hechos acontecidos y es allí, cuando la computación forense toma la mayor relevancia como esa disciplina especializada que revisa y analiza sistemas informáticos y dispositivos electrónicos que generan, procesan y almacenan evidencia electrónica para determinar la ocurrencia del hecho y dar la explicaciones científico-técnicas de lo que ha ocurrido.

De otra parte y tan relevante como encontrar a los atacantes, sus rastros y acciones realizadas, se tiene el descubrimiento electrónico como la estrategia legal informática de la organización, que permite proteger los intereses de ésta, frente a litigios o reclamaciones, donde los soportes documentales solicitados se encuentran en formato electrónico y se hace necesario aportarlos siguiendo las formalidades de ley requeridas y mantener la vista del proceso en los hechos y no en las evidencias electrónicas que se aportan al mismo.

En consecuencia, no solamente se requiere una vista criminalística sobre la evidencia digital en las organizaciones, sino una vista legal informática que, recabando en los riesgos propios de las empresas en sus diferentes relaciones de negocio, corporativas y con terceros, pueda establecer los elementos documentales electrónicos que soportan las mismas y prepararse para enfrentar un eventual proceso jurídico donde la información electrónicamente almacenada es factor determinante para lograr un fallo a favor o en contra de ésta.

Finalmente, el descubrimiento electrónico como disciplina emergente que busca una comprensión más sistémica de la evidencia digital, más allá de los procesos propios de la justicia criminal, requiere mayor investigación y relevancia para que pasando de una vista focalizada en los aspectos civiles del derecho, se incorpore al ordenamiento jurídico general de las naciones, como factor clave de éxito en la formulación de modelos de administración de evidencia digital tanto en el sector público como privado.

Referencias

ARKFELD, M. (2011) Electronic discovery and evidence. 2011-2012 Edition. LawPartner Publishing, LLC.

ARKFELD, M. (2011b) Guide for legal hold. LawPartner Publishing, LLC.

CANO, J. (Autor y Coordinador) (2010) La evidencia digital y el peritaje informático en Colombia. Editorial Temis – Uniandes.

CORPORATE EXECUTIVE BOARD (2011) E-discovery tools. IREC Executive cheat sheet series. Disponible en: http://www.irec.executiveboard.com (requiere suscripción)

CORPORATE EXECUTIVE BOARD (2011b) The IT Manager’s guide to E-Discovery. Information Risk Executive Board Council. Disponible en: http://www.irec.executiveboard.com (requiere suscripción)

FULBRIGHT y JAWORSKI (?) eDIG: E-Discovery and Litigation Readiness. Disponible en:

http://www.fulbright.com/index.cfm?fuseaction=description.subdescription&site_id=1197&id=1195 (Consultado 15-10-2012)

INFORMATION SECURITY FORUM - ISF (2008) ISF Briefing: Electronic Evidence. Documento interno Disponible en: https://www.securityforum.org/whatwedo/publicresearch/ (Requiere suscripción)

Pronósticos de seguridad de la información para 2012

2012-01-04T23:23:00.000-05:00

Cada año los múltiples eventos y fenónemos propios de la seguridad de la información nos revelan aspectos nuevos y creativos de las diferentes formas en las cuales la inevitabilidad de la falla se hace presente. Durante el 2011 esta situación no ha sido diferente, hemos experimentado diferentes vistas de errores, vulnerabilidades y fallas que nos muestran cada vez más que somos tan seguros como el eslabón más débil de la cadena.

Por tanto, cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y asimétrico, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

Considerando lo anterior y con la alta probabilidad de andar por caminos insospechados, trataremos de hacer una visión propositiva sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales reportadas hasta el momento y que prometen seguir o variar en el 2012.

A continuación cinco pronósticos de lo que puede pasar durante 2012 frente a las tendencias y manifestaciones de la inseguridad de la información.

1. Formalización de la certificación en seguridad de la información de terceras partes

Con el paso de los años la función de tecnología de información ha venido evolucionando dando paso a una fuerte tendencia hacia la administración de los recursos de tecnología con terceros. En este sentido, la operación, el aseguramiento y control de los servidores, enrutadores, aplicaciones, servicios de seguridad y control de acceso se ha venido entregando a proveedores especializados que, considerando su labor crítica frente a la estrategias de los negocios, desarrollan sus actividades para movilizar de manera confiable y continua los procesos que soportan la generación de valor de la empresa.

En este contexto, durante los siguientes años se verá una importante tendencia en la certificación formal de la operación de los terceros frente a los temas de seguridad de la información, que si bien se ha venido adelantando utilizando otros referentes o buenas prácticas, se prevé el uso de una nueva norma de la serie ISO 27000, denominada ISO/IEC 27036 — Guidelines for security of outsourcing, la cual establece una serie de requisitos particulares que los terceros deben asegurar para certificar una adecuada prestación de servicios con estándares de seguridad de la información debidamente aplicados y probados. (CHICKOWSKI 2011)

2. El hacktivismo como estrategia moderna para reclamar atención de los estados y las empresas

Durante los últimos años hemos venido observando una serie de comportamientos y manifestaciones en la red, donde las redes sociales y nuevas expresiones digitales se convierten en la forma natural a través de la cual los individuos expresan su opiniones y levantan su voz para llamar la atención sobre aspectos de la vida cotidiana. En este sentido, eventos como los ocurridos en Egipto, España y diversos países de latinoamérica nos muestran la capacidad de convocatoria y sinergia que se puede desarrollar a través de la red para poner en alerta a ciudades, gobiernos y naciones, frente a situaciones de la realidad nacional que merecen atención por parte de las autoridades respectivas. (CIO UPDATE 2011)

Las manifestaciones asistidas desde lo que podríamos llamar un hacktivismo digital incorrecto (LIZAMA 2005), donde una parte de la población insatisfecha con algunos hechos de su realidad (privilegiando los contexto políticos y sociales, más que los tecnológicos), se asesora de especialistas en el manejo de temas tecnológicos, para efectuar acciones perturbadoras que afectan activos digitales claves de las naciones, es una clara tendencia que los ciudadanos digitales, han encontrado para manifestar su inconformidad sobre aquello que no les parece adecuado o injusto frente a la comunidad o población afectada.

Anonymous, Lulzsec y nuevas expresiones de este tipo de hacktivismo será una tendencia clara en los próximos años, pues los nacidos digitales han entendido que la red es una forma de expresión que alcanza todos los niveles sociales y se visualiza en las altas jerarquías del estado y de las organizaciones. (CANO 2011) La tecnología de información es un medio para revelar la inconformidad y mantener atención sobre aquellas cosas importantes para la ciudadanía y las personas que no tienen voz.

3. Ecosistema tecnológico: necesidad competitiva o nuevo vector de ataque.

La computación en la nube, las redes sociales y la computación móvil advierten una realidad concreta, un escenario real donde los gobiernos, las organizaciones y las personas estarán conviviendo y compartiendo riesgos frente a una creciente demanda de servicios, información instantánea y procesamiento de grandes volúmenes de datos. (RAYWOOD 2011)

En este escenario, se plantea un elemento emergente que se denomina un ecosistema tecnológico, un lugar donde tenemos la participación de terceros que administran y movilizan la información y los datos, según las consideraciones de los servicios contratados con cada uno de ellos. Si bien, son múltiples las ventajas de este tipo de ambientes, también se hace necesario desarrollar nuevas propuestas de aseguramiento tanto en aplicaciones, datos e infraestructura, que permitan aumentar el nivel de confianza que este nuevo modelo requiere.

Forrester (WANG 2011) y otras empresas han venido revisando conceptos asociados con los modelos base de seguridad como Bell-LaPadula, para repensar la seguridad de la información en un ecosistema tecnológico, como es el concepto de etiquetas de alta seguridad (high-water mark principle – Mayor información en: WEISSMANN 1969 ) que exigen al tercero con el que se interactúa se sintonice con las exigencias de seguridad y control requeridas para la transacción (la idea es concentrarse en la transacción, los datos y su movilidad, más que en el dispositivo como tal). Sin embargo, aún estamos en las primeras etapas de reconocimiento y análisis de estas nuevas propuestas, que poco a poco deben madurar para reconocer en el ecosistema tecnológico una forma pensar la seguridad en un ambiente dinámico, poroso y móvil.

4. Nuevos retos jurídicos frente a nuevas realidades de las tecnologías de información

Conforme avanzamos en esta nueva década del segundo milenio, los alcances de la tecnología de información exigen nuevos y mejores entendimientos de sus usos en el contexto social. En este sentido, los retos jurídicos naturales como los derechos humanos en internet, la privacidad, el derecho a la información, los activos digitales personales, los derechos de autor, el manejo de la imagen y las marcas, la democracia digital y la participación ciudadana de los individuos entre otros, han venido tomando matices inesperados, que exigen de los nuevos y experimientados juristas respuestas novedosas para entablar nuevos debates y propuestas que den cabida a una realidad social, digital y sin fronteras. (LEVINSON 2011)

En este contexto, durante los siguientes años los estados y las escuelas de leyes tendrán el reto de conciliar los derechos constitucionales de las personas en las múltiples manifestaciones de las tecnologías de información y las decisiones nacionales que demanden un balance general del estado para mantener el orden y el control de la sociedad y el país en general. Esto es, encontrar y descifrar esa zona gris donde los individuos deben mantener buenas prácticas para respetar las libertades e individualidades de los ciudadanos y las regulaciones necesarias para proteger los bienes jurídicamente tutelables y las acciones requeridas que las autoridades necesitan para mantener el equilibrio en el estado social de derecho, ahora en un sociedad de la información y el conocimiento.

5. Mayor visibilidad de los sistemas de control, mayor responsabilidad en su aseguramiento

Durante muchos tiempo los sistemas de control industrial fueron elementos claves propios de instalaciones con operaciones especializadas cuyo funcionamiento cerrado, específico y poco conocido, se asociaba con un mundo restringido a una comunidad técnica, con entrenamiento especial y lenguaje de máquina. Conforme ha venido avanzando la tecnología este tipo de sistemas ha venido integrándose a las redes corporativas como otros elemento más de la misma, con protocolos semejantes a los estándares y transmisiones cada vez más homogéneas.

Considerando lo anterior, la visibilidad de los sistemas de control ha aumentado, lo cual significa un mayor nivel de exposición que requiere la atención tanto de los especialistas en estos temas como de los de riesgos y seguridad de la información. Es importante anotar, que este llamado exige un trabajo conjunto entre los tres mundos: la seguridad, los riesgos y los sistemas de control, pues se hace necesario entender la realidad de la disponibilidad de éstos últimos y las operaciones que realizan, para que desde la vista de riesgos y la especialidad de los sistemas de control, se desarrolle y actualicen los modelos de seguridad y control que requieren las instalaciones y los diseños de los sistemas mencionados. (ENISA 2011)

Los eventos que se ha venido presentando en los últimos años, donde los protagonistas han sido sistemas de control avanzado, en facilidades con operaciones sensibles, nos indican que se debe avanzar en un reconocimiento de los vectores de ataque que se han indentificado y desarrollar estrategias de aseguramiento que anticipen posibles variantes de lo que ha ocurrido, así como respuestas planeadas que enfrenten situaciones inesperadas, para lo cual las prácticas de gestión de incidentes de seguridad de la información y de pérdida de continuidad pueden ser útiles para contener y mantener la confiabilidad de las operaciones.

Reflexiones finales

La seguridad de la información es un proceso exigente y dinámico que requiere la habilidad de sus responsables para mantener en movimiento su creatividad frente a la inseguridad, no sólo para crear la sensación de confiabilidad requerida por los usuarios frente al tratamiento de la información, sino para que vinculando, a estos últimos en la conquista de la asimetría de la inseguridad, se construya de manera conjunta una distinción concreta y evidente de un ambiente controlado y confiable, mas no seguro.

Sólo nos queda observar el desarrollo del 2012, para ver cómo la inseguridad de la información nos cuestiona y nos hace meditar nuevamente y así, pensar de manera distinta para abrirle la puerta a las posibilidades, esas que no son otra cosa que el insumo de la inevitabilidad de la falla, fuente que debe alimentar permanentemente el instinto y la mente del responsable de la seguridad de la información.

Referencias

LEVINSON, M. (2011) Why Law Enforcement Can't Stop Hackers. CIO Magazine. Diciembre Disponible en: http://www.cio.com/article/print/694071 (Consultado: 4-01-2012)

RAYWOOD, D. (2011) 2012: security predictions for the future of mobile, cloud, attacks, data loss and big data. SC Magazine UK. Diciembre Disponible en: http://www.scmagazineuk.com/2012-security-predictions-for-the-future-of-mobile-cloud-attacks-data-loss-and-big-data/article/220301/ (Consultado: 4-01-2012)

CHICKOWSKI, E. (2011) 2012 compliance checklist. Security professionals need to consider these best practices and new compliance requirements as they ring in a new year. Dark Reading Magazine. Diciembre. Disponible en: http://www.darkreading.com/taxonomy/index/printarticle/id/232200757 (Consultado: 4-01-2012)

ENISA (2011) Industrial control systems security. Recommendations for Europe and member state. Disponible en: http://www.enisa.europa.eu/media/press-releases/industrial-control-systems-security-recommendations-for-europe-member-states (Consultado: 4-01-2012)

CIO UPDATE (2011) Fortinet’s Top 8 security predictions for 2012. CIO Update. Diciembre. Disponible en: http://www.cioupdate.com/technology-trends/fortinets-top-8-security-predictions-for-2012.html (Consultado: 4-01-2012)

LIZAMA, J. (2005) Hackers en el contexto de la sociedad de la información. Facultad de Ciencias Políticas y Sociales. Tesis doctoral. Disponible en: http://descargas.segu-info.com.ar/tesis/hackers-sociedad.zip (Consultado: 4-01-2012)

CANO, J. (2011) Voces de la inseguridad de la información. Algunas reflexiones desde la academia. Computerworld Colombia. Agosto.

WANG, C. (2011) The extended enterprise: A security journey. Forrester Research. Disponible en: http://www.forrester.com/rb/Research/extended_enterprise_security_journey/q/id/60179/t/2 (Requiere suscripción)

WEISSMAN, C. (1969) Security controls in the ADEPT-50 time-sharing system. AFIPS Conference Proceedings Fall Joint Computer Conference. pp. 119—133. Disponible en: http://dl.acm.org/citation.cfm?id=1478574 (Requiere suscripción)

Función y propósito de la seguridad de la información

2011-11-30T23:57:00.002-05:00

Revisando reflexiones elaboradas por R. Ackoff (en su libro: Differences that make a difference) alrededor de qué es una función y qué es un propósito, encontramos muchas reflexiones que pueden ser de utilidad para el responsable de la seguridad de la información. Mientras una función es el uso de algo que puede tener alguna cosa, tener un propósito implica hacer selecciones y tomar opciones para hacer que ese algo se movilice.

En este sentido, desarrollar una función de seguridad de la información en la empresa es establecer los mecanismos, estrategias y acciones que nos permiten hacer realidad las metas operativas de la seguridad de la información representadas en prevención de ataques, control del spam, revisión y control antivirus, aseguramiento de firewalls, entre otras temáticas, que lo que buscan es medir la efectividad y eficiencia de las implementaciones de hardware y software para proteger la infraestructura tecnológica de riesgos que atenten contra la confidencialidad, integridad y disponibilidad.

Todo lo anterior, se podría implementar sólo como una vista operativa y funcional, aún sin un propósito específico, y tendría efectos positivos en la exigente labor de administración de la seguridad de una organización. Sin embargo, esta postura, no respondería a la necesidad de anticipación requerida y demandada por la organización para movilizar la transformación de la empresa e incrementar el nivel de protección de la información requerido por el negocio ahora y en el futuro.

Cuando la seguridad de la información tiene un propósito, tiene un fundamento, un sueño que lograr y unas metas para cumplir, es capaz de movilizar elementos organizacionales como tiempo, personas y finanzas, para destruir lo que las personas “creen” y renovar lo que las personas “hacen”; haciendo visible un cambio de paradigma en el tratamiento de la información, es decir, pasar de “algo” que alguien hace por mí, a “algo que es parte inherente de mi”.

Materializar este tipo de paradigmas implica no solamente entender la función de seguridad de la información per se, sino encontrar un sentido práctico a la protección de los activos de información, como una manera de hacernos responsables reales en el tratamiento de la información, para tomar las opciones y selecciones conscientes que incrementen la percepción de tranquilidad y seguridad de los activos identificados, clasificados y puestos a disposición de una organización y sus metas grandes y ambiciosas.

Cuando hablamos de la función de seguridad de la información en una organización, sin tener en cuenta su propósito, es hablar de una serie de actividades y acciones que no tienen claramente un sentido o direccionamiento, a pesar de que éstas funcionen de la manera prevista. De igual forma, contar con el propósito motivador de la seguridad en una organización, pero no tener acceso a los recursos suficientes para movilizarlo, se convierte en un buen ejercicio académico que motiva a pocos y no convence a muchos. En este sentido, cada vez que nos hacemos “de mayor edad”, y más pausados en nuestras reflexiones, debemos renovar nuestro niño interior, ese que está libre de autorestricciones y se dejar sorprender con las nuevas lecciones de la inseguridad de la información.

Adicionalmente, si agregamos un símil sobre lo que venimos reflexionando y para ello utilizamos el concepto de una “caja de herramientas”, podemos notar que la función de aquella, entre otras que le podemos asignar, es poder custodiar y mantener funcional los elementos disponibles allí. Si esto es cierto, el poder de la "caja de herramientas" (en este caso de la seguridad de la información) no está en su diseño, ni funcionalidad; está en el propósito que alguien le ha asignado, en las decisiones y opciones que se han tomado para continuar entendiendo las acciones de la inseguridad de la información, teniendo como referente base las declaraciones y protocolos legales propios que las brechas de seguridad de la información imponen a la empresa.

Tener propósitos en la vida y vivirlos con intensidad cada día, es encontrar la fuente de la disciplina, la energía para hacer que las cosas pasen y el libro de la sabiduría para tomar las opciones requeridas y necesarias que permitan elevar nuestro potencial. Si lo anterior es cierto, el responsable de la seguridad de la información, entendiendo el valor propio de las implementaciones tecnológicas y la realidad de las mediciones, podrá responder de manera ágil y contundente a las preguntas políticas que exigen los ejecutivos de la empresa, preguntas que no son otra cosa, que una expresión de las necesidades y expectativas que ellos tienen para proyectarse en su mercado o sector de negocio.

Así las cosas y como quiera que aún debemos cruzar el umbral de las decisiones de presidencia y/o junta directiva, es importante recorrer el camino del propósito desde la realidad interna de la empresa, para formular estrategias operativas que, reconociendo el valor estratégico de la información, sean capaces de cautivar las metas de negocio y sus decisiones estratégicas, desde las prácticas diarias de protección de la información.

El fraude a través de medios tecnológicos. Más que predicciones, algunos pronósticos sobre su evolución

2011-10-23T15:41:00.000-05:00

Introducción

Con frecuencia escuchamos hablar sobre el fraude, sobre como personas desarrollan actos intencionales o causados por omisión para engañar a otros, con resultados que generalmente terminan con una pérdida para alguien y una ganancia para un delincuente. El fraude es tan antiguo como la humanidad, la capacidad de traicionar, adulterar, falsificar, suplantar, de efectuar una acción con “dolus”, es decir, con ardid, treta o artimaña, está enraizada en cada una de los seres humanos en mayor o en menor medida, según su estructura de bienes libremente elegidos y su inclinación natural a lo menos bueno.

En ese sentido, tratar de establecer un patrón o perfil de los defraudadores pasa primero por identificar algunas situaciones que se presentan alrededor de las personas, que pueden llevar a la materialización de un fraude. Sin perjuicio de lo anterior, es importante anotar que los indicadores que se presentan a continuación son sencillamente una lista de consideraciones y alertas extraídas de las mejores prácticas internacionales, que generalmente han coincidido con una posterior ejecución de actividades ilícitas que terminan en apropiaciones de bienes tangibles o intangibles en las organizaciones y daños concretos en ellas.

Banderas rojas o alertas sobre el fraude

De acuerdo con la ACFE – Association of Certified Fraud Examiners, ésta son algunas banderas rojas (indicadores o alertas que pueden facilitar la materialización de un fraude) detalladas en su informe anual sobre el fraude a nivel global:

• Problemas de adicción (sustancias psicoactivas o problemas con el juego)

• Dificultades financieras o altas deudas personales

• Viviendo más allá de sus propios medios

• Divorcio reciente o problemas familiares (con los hijos, hermanos, etc)

• Problema legales pasados (no relacionados con el fraude)

• Irritabilidad inusual, sospechosa o defensiva

• Frecuentes reclamos acerca de pago de cuotas o préstamos

• Frecuentes reclamos acerca de la falta de autoridad

• Reusar o no busca alcanzar una promoción en la empresa

• Inusual asociación cercana con vendedores o clientes

• Presión excesiva de la familia o sus pares para tener éxito

• Presión excesiva por su rendimiento dentro de la organización

• Control excesivo relacionado con el trabajo, falta de voluntad para compartir asignaciones o aceptar la supervisión

• Inestabilidad en las circunstancias de la vida (cambios frecuentes de trabajo, cambios frecuentes de residencia, etc)

• Renuencia a tomar vacaciones

• Actitud negociante permanente (sagaz y sin escrúpulos)

• Historia de otros problemas relacionados con su trabajo (por ejemplo, bajo rendimiento o problemas éticos)

Si analizamos con detalle esta lista (parcial de alertas) encontramos que muchas de ellas hacen relación con situaciones y contextos personales que llevan a los individuos a ejecutar conductas que ponen a prueba su estructura de valores y principios. Cualquiera de las condiciones detalladas, debe someterse a un análisis detallado dado que cada persona y realidad son diferentes y muchas veces, lo que aparentemente es una alerta de los que pueda estar sucediendo, puede ser una condición de excepción para un individuo particular.

Como quiera que estos síntomas manifiestan conductas que llaman la atención para la gerencia de las organizaciones, es importante anotar que se hace necesario revisar igualmente, aquellas garantías que la empresa debe brindar a sus colaboradores, para generar un ambiente sano y psicológicamente estable que permitan el ejercicio adecuado del desarrollo individual y profesional de sus empleados.

El perfil de defraudador

En consecuencia con lo anterior, es importante anotar que, si bien es claro que debemos tener precaución frente a los juicios de valor ante situaciones o alertas como las mencionadas anteriormente, es igual de importante establecer aquellas características propias y más relevantes de las personas que pueden llegar a cometer un fraude. En este sentido, la firma KPMG en su estudio sobre la caracterización del defraudador publicado en 2011, anota de manera específica, algunas de ellas, como resultado de la encuesta realizada a nivel global. Ellas son:

• Generalmente son hombres

• Entre 36 y 45 años de edad

• Cometen el fraude en contra de su propio empleador

• Generalmente trabajan en el área de Finanzas o en un cargo relacionado con las finanzas

• Por lo general es un representante de la Dirección

• Cuenta con más de 10 años de servicio en la empresa

• Es una persona que a menudo comparte con otros.

Es interesante observar que los resultados muestran claramente que aquellas personas con mayor tiempo en la organización son más proclives a conductas ilícitas, posiblemente porque conocen con claridad los aciertos y debilidades de las medidas de control, y adicionalmente, saben hasta donde pueden llegar sin llegar a comprometerse y salir sin ninguna implicación. Igualmente, el rango de edad que se establece, nos habla de una persona que técnicamente ya ha alcanzado su madurez profesional y busca establecer un futuro más reposado y tranquilo, por lo cual contar con solidez y libertad financiera se vuelve algo clave para ellos y sus familiares.

Llama la atención que es el área financiera donde en mayor medida se identifican los casos de fraude, pues al estar allí la circulación de especies monetarias y la forma como la organización efectúa sus operaciones, se vuelve más detallado y más agudo el análisis de los posibles delincuentes para efectuar sus actividades ilícitas. En este contexto, los controles internos de operación y las estrategias de seguridad y control son un elemento fundamental para mantener un ambiente monitorizado, asegurado y con trazabilidad de lo que ocurre (un detalle de las actividades de control se puede encontrar en el informe de la ACFE mencionado previamente). Con esto la idea, es reducir las ocasiones o escenarios que motiven actividades que puedan afectar la caja de la organización.

Revisando la naturaleza del fraude

Identificar el perfil de posible delincuente y contextualizarlo aún en un ejercicio organizacional son actividades que dan cuenta de la necesidad de seguir de cerca las tendencias que la inseguridad misma nos plantea en el entorno corporativo y de actuación general. De igual forma, se hace cardinal, estudiar cada uno de los fraudes para adelantar las caracterizaciones de las pérdidas en sí mismas, que nos permitan afinar aún más las estrategias para cerrarle la brecha a aquellos que aún persistan en apropiarse de los bienes de las organizaciones.

En consecuencia y siguiendo los resultados del estudio realizado por la firma Deloitte sobre el fraude a nivel global, podemos advertir una priorización de la naturaleza de los fraudes identificados, que revelan tendencias sugestivas, que nos permiten visualizar los gustos y motivaciones de los defraudadores o mejor aún, sus movilizadores más frecuentes para concretar sus actos. Los resultados son:

1. Robo de activos físicos

2. Robo de información

3. Fraude en la contratación

4. Corrupción y soborno

5. Fraudes externos

Como se puede apreciar los tres primeros resultados nos manifiestan que son los activos físicos, los temas de la información y la contratación los que con mayor frecuencia son materializados por los delincuentes. Esto nos indica que cada vez más se hace imperioso contar con buenas prácticas para el tratamiento de la información, para evitar que caiga en las manos equivocadas y con ella se puedan motivar actuaciones que lleven a pérdidas significativas en las empresas. No es de extrañar, que todo aquello donde se manejen grandes volúmenes de dinero sea susceptible de incidentes de fraude. En este sentido, los controles y buenas prácticas de contratación se vuelven factores críticos de éxito para alcanzar mayor transparencia y agilidad en las empresas y mitigar la brecha de posibles ilícitos que se quieran o puedan plantear.

Es importante anotar, que no es posible tener un contexto organizacional sin incidentes o sin fraudes, pues la ocasión para el riesgo siempre se presenta en mayor o menor medida y siempre habrá personas con debilidades de personalidad y con estructuras de valores débiles, los cuales serán terreno fértil para la inseguridad y la inclinación propia de nuestra naturaleza caída.

Fraude a través de los medios tecnológicos

De otra parte, como toda evolución natural de los fenómenos delincuenciales, éstos han encontrado en la tecnología un vehículo eficaz para materializar sus acciones, pues la velocidad, la presencia anónima que se tiene, el alcance de sus actos y la limitada preparación de los entes de policía judicial, configuran un escenario motivador para repensar nuevamente sus estrategias y avanzar en el desarrollo de nuevos modelos para defraudar a los individuos y organizaciones.

En consecuencia, las acciones relevantes que se puedan adelantar por parte de los entes investigadores para dar con la identificación y modus operandi de los delincuentes a través de medios tecnológicos, es un reto que implica reconstruir un escenario de fraude y encontrar las evidencias informáticas relacionadas con el mismo. Si bien, las organizaciones hoy cuentan con diferentes elementos de seguridad y control en sus operaciones, cuando no trasladamos al mundo de internet, éstos pierden claramente su efectividad, dada la heterogeneidad de ambientes y configuraciones existentes que posiblemente no sigan las buenas prácticas que se exigen frente al aseguramiento de las infraestructuras y aseguramiento de flujos de información.

Amén de lo anterior, el reporte de la encuesta global de fraude 2011 realizado por la firma Ernst & Young corrobora esta situación, cuando establece que una tercera parte de los participantes en la encuesta advierten de los altos costos que implica la revisión exhaustiva de correos electrónicos (u otra información electrónicamente almacenada) con el fin de ofrecer asesoría legal efectiva, dejando a las organizaciones un sabor agridulce de lo que requiere hacer para procesar o judicializar a un posible delincuente en la organización. El mismo informe anota que se evalúa la disminución de los presupuestos en estos temas dado que en muchas ocasiones estos esfuerzos resultan infructuosos frente al resultado final de proceso jurídico y la reparación para la organización.

En línea con lo comentado previamente, los delincuentes utilizan igualmente los medios sociales informáticos para generar expectativas, rumores o desinformación que le permitan tener una posición más estratégica para avanzar en sus métodos de fraude. En este escenario, las redes sociales son el medio más expedito para generar situaciones premeditadas que impacten la imagen y buen nombre de las empresas. Mal utilizadas son tácticas de inteligencia que pueden desviar la atención o generar tráficos de información sensibles que comprometan las prácticas de negocio de las empresas y por ende, su posicionamiento dentro de un sector empresarial.

Lo anterior se confirma en el reporte global sobre el fraude 2011 desarrollado por la firma Kroll, donde se advierten estrategias utilizando la tecnología o internet para afectar la imagen de las firmas y ocasionar daños emergentes que comprometan la estabilidad de las empresas. Particularmente se habla del caso de la British Petroleum y el incidente internacional del derrame de crudo en el Golfo. En este sentido, el informe afirma:

“(…) En 2010, BP recibió un ataque online por cómo manejaba el derrame en el Golfo de México. Además de campañas en su contra en blogs y en Facebook, la compañía debió luchar contra mensajes enviados desde una cuenta falsa de Twitter, el aparentemente “real” BPGlobalPR. En un punto, la cuenta de relaciones públicas falsa en Twitter tenía más seguidores que la real. El desafío para BP fue responder a un ataque desde varios flancos en Internet. No había un único ISP ni sitio web para ocuparse de los varios ataques. (…)”

Avances interdisciplinarios para entender el fraude a través de medios tecnológicos

Todos estos elementos comentados nos hablan claramente que existe una nueva evolución del fraude y la inseguridad en los diferentes contextos empresariales; que la delincuencia continua observado y aprovechando los adelantos informáticos y las oportunidades que ofrecen los desarrollos tecnológicos, para evolucionar rápidamente, sin dejar margen de reacción a los entes de seguridad y control tanto de las empresas como de los estados.

Pese a lo mencionado, se vienen adelantando importantes avances a nivel jurídico, criminológico y criminalístico que nos permiten avizorar nuevas condiciones y actividades para enfrentar a la delincuencia en un mundo digital e interconectado. El entendimiento jurídico de las escenas asociadas con crímenes de alta tecnología comienza a arrojar los primeros resultados, los cuales se advierten en nuevas propuestas de regulación que buscan asegurar mejor la información y los datos, para lo cual las organizaciones debe tomar las medidas del caso, no para interpretar dicha norma, sino para afianzar sus prácticas en este sentido.

Como parte de este análisis interdisciplinario, se viene generando propuestas para continuar cercando a los delincuentes, para decirles que estamos preparados para enfrentar los retos propios de una delincuencia organizada e interconectada. Es así que, trabajos como el de los doctores VASIU nos permiten continuar aprendiendo y repensando los elementos legales a considerar frente al fraude a través de medios tecnológicos. Dichos elementos:

• El conocimiento e intención de cometer fraude

• El acceso a un computador protegido o excediendo su autorización

• La obtención de un beneficio para el que comete el fraude

Nos muestran que es posible avanzar en una vista sistémica de la inseguridad, de las motivaciones de los facinerosos informáticos y sus técnicas apalancadas en tecnologías emergentes.

Fruto de estos avances se han venido formulando leyes en los diferentes países que poco a poco permean las agendas legislativas y ponen de manifiesto que las inseguridad de las calles y los “raponazos” callejeros, son tan relevantes como la inseguridad de la información en internet y los “raponazos” electrónicos que día a día ocurren en la “ciudad” que es Internet.

Reflexiones finales

Así las cosas y como quiera que la mente humana puede desarrollar las más bellas expresiones de alegría, cariño y generosidad, así como diseñar y explotar las más oscuras, egoístas y perversas intenciones, se hace necesario hacer un llamado a todas las naciones para que se desarrolle un frente común de contención y acción que haga de internet un lugar más sano y generoso con todos sus habitantes, con las prácticas de negocio y con los niños, población que generalmente es la más vulnerable.

Debemos propender y confirmar que nuestras acciones en internet, son tan reales como nuestras actuaciones en la vida cotidiana y por tanto, no podemos soslayar nuestros principios y valores habituales por el solo hecho de estar “conectado a internet”. La cultura de que “todo se puede” en internet, no debe ser la norma que se erija frente a la transformación social que exige nuestra actual sociedad, pues de hacerlo estaríamos avocados a una degeneración del tejido humano que afectaría las buenas intenciones y las posibilidades que trae consigo la tecnología para las empresas, los individuos y las naciones.

Ackoff en su libro “Differences that make a difference” establece que una cosa es hacer un pronóstico (en inglés forecast) y otra hacer una predicción. Mientras un pronóstico es una declaración de un futuro esperado basado en una proyección de qué ha pasado y qué pasa hoy, una predicción es una declaración de un futuro esperado que no está basado en hechos y datos, sino en las creencias acerca de lo que se prevé, sus causas o generadores. En otras palabras, la predicción puede ser sobre cosas que no han ocurrido en el pasado y los pronósticos basados en estadísticas y métodos de proyección normalizados y verificables.

En este contexto, todos los reportes e informes que hemos comentado en este documento nos hablan sobre pronósticos acerca del fraude en sus diferentes manifestaciones, como una forma de establecer líneas de investigación y acción que nos permitan caminar cerca de los movimientos conocidos de los delincuentes. Predecir las tendencias y comportamientos del fraude en un mundo gobernado por las comunicaciones y la información instantánea, es una apuesta abierta y sin límites para encontrar en la inseguridad de la información nuevas razones para continuar aprendiendo, es decir, lanzarnos a experimentar la incertidumbre y declarar que no sabemos.

Referencias

ACKOFF, R. (2011) Differences that make a difference. Editorial Triarchy Press.

VASIU, L. y VASIU, I. (2004) Dissecting computer fraud: from definitional issues to a taxonomy. Proceedings of the 37th Hawaii International Conference on System Sciences. Disponible en: http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.108.9517 (Consultado: 23-10-2011)

KROLL (2011) Global Fraud Report. Mayo. Disponible en: http://www.krollconsulting.com/media/pdfs/Kroll_Global_Fraud_Report_May_2011_Spanish_Final.pdf (Consultado: 23-10-2011)

ERNST & YOUNG (2011) Global Fraud Survey. Disponible en: http://www.ey.com/Publication/vwLUAssets/EY_11th_GLOBAL_FRAUD_Survey/$FILE/EY_11th_GLOBAL_FRAUD_Survey.pdf (Consultado: 23-10-2011)

DELOITTE (2011) Global Fraud Survey 2011. Disponible en: http://www.deloitte.com/assets/Dcom-Lebanon/Local%20Assets/Documents/FAS/Deloitte%20%20GCC%20Fraud%20%20Survey%202011.pdf (Consultado: 23-10-2011)

KPMG (2011) Who is the tipical fraudster? Disponible en: http://www.kpmg.com/EE/en/IssuesAndInsights/ArticlesPublications/Documents/Forensic-Fraudster-Survey-WEB.pdf (Consultado: 23-10-2011)

ACFE (2010) Report to nations on occupational fraud and abuse. 2010 Global Fraud Survey. Disponible en: http://www.acfe.com/uploadedFiles/ACFE_Website/Content/documents/rttn-2010.pdf (Consultado: 23-10-2011)

3765 Lecciones aprendidas: Más que pecados de obra u omisión

2011-10-17T20:06:00.000-05:00

Revisando los resultados de la investigación realizada por la Digital Forensic Association denominada “The Leaking Vault 2011”, encontramos nuevas y renovadas razones para insistir en el estudio y profundización de la inseguridad de la información, como la fuente misma de ideas para continuar asegurando la información en las empresas.

Este estudio analizó más de 3765 incidentes reportados en más de 33 países a nivel global entre el año 2005 y 2010, identificando interesantes hallazgos que nos sugieren marcos de acción para mantenernos cerca de la inevitabilidad de la falla, bien por fenómenos eminentemente tecnológicos como por comportamientos inadecuados.

A continuación mencionamos algunos resultados relevantes del estudio con el fin de plantear ciertas reflexiones que nos permitan intentar acercarnos al fenómeno de la fuga y/o pérdida de la información y entender mejor su asimetría en el contexto empresarial.

• Los vectores más representativos para la pérdida y/o fuga de información son los computadores portátiles, las técnicas de hacking y los documentos impresos.

• Se perfila el web como un nuevo vector para pérdida y/fuga de la información.

• Dejar los portátiles y documentos impresos desatendidos son comportamientos que potencian la pérdida y/o fuga de la información

• No se cuenta con la trazabilidad de los documentos desde que la información se genera hasta su disposición final.

• El malware es la técnica más utilizada para crear entornos que materialicen la pérdida y/o fuga de la información.

• La pérdida de información está generalmente asociada con personal externo o terceros contratados, mientras la fuga de la información, tiene una fuerte asociación con empleados de las empresas.

• Existe un bajo reporte público de las brechas de seguridad (pérdida y/ fuga de información) por parte de las empresas en los diferentes países.

• Se identifica una tendencia de exposición de datos relacionados con registros médicos en la muestra analizada.

• Dentro de los datos que generalmente se exponen con las brechas de seguridad son: Número de seguro social, Número de licencia de conducción, número de la tarjeta de crédito, número de la cuenta bancaria, fecha de nacimiento y datos médicos.

Considerando estos hallazgos retomemos algunas meditaciones que generalmente se detallan en diferentes medios y documentos sobre esta realidad de la pérdida y/o fuga de la información.

El estudio indica que los portátiles, las técnicas de hacking y los documentos impresos son los vectores de ataque más comunes y responsables por más del 90% de los incidentes. En este sentido, sin considerar las técnicas de hacking, son nuestros comportamientos frente al aseguramiento de los portátiles y los documentos impresos, el que genera la mayor vulnerabilidad y oportunidad para que la inseguridad se materialice en diferentes contextos de la realidad organizacional y personal.

Cuántas veces hemos enviado una impresión con documentos clasificados como sensibles o restringidos, cuántas veces hemos dejado el computador portátil desatendido, cuántas veces nos siguen recordando la necesidad de asegurar estos comportamientos y aún continuamos abriéndole posibilidades a los atacantes para que se hagan dueños de la información clave de la empresa o creando el entorno para que, incluso nuestra información personal sea utilizada con fines ilícitos o fraudulentos. Si bien la fuga y/o pérdida de la información no podrá erradicarse por completo, si podemos mantener un umbral cerrado y conocido que nos permita cercar a la inseguridad de la información en terrenos conocidos y claramente abiertos para que la impunidad no sea la protagonista cada vez que se revele un evento de éstos.

Con la alta interacción que tenemos ahora con el WEB y las posibilidades de descarga y carga de información en sitios alternos, la información tiene un flujo inesperado y muchas veces no controlado que genera brechas de seguridad que pueden llegar a comprometer el buen nombre de la empresa o la persona. Tómese un momento para pensar qué pasaría si información de un nuevo producto, o una nueva patente se expone en un sitio en internet y es accedida por terceros sin autorización. Qué pasaría si fotos comprometedoras, que tenemos al interior de nuestros equipos, fuese transportada y expuesta sin nuestra autorización en un perfil de facebook. Estas y otras situaciones nos deben mantener alerta y consciente del aseguramiento de la información y de los protocolos que ésta debe seguir cuando se autorice su movimiento dentro o fuera del dominio de la organización o persona.

De otra parte, los atacantes, sabiendo que las personas son susceptibles de movilizar cuando aparecen nuevos servicios, atractivas ofertas en internet y, sobre manera propuestas de acceso a información privilegiada con pocas exigencias, desarrollan a través de código malicioso estrategias y entornos que buscan tener el control de la máquina o dispositivo de almacenamiento de información con el fin de acceder sin autorización a información personal o corporativa. Esta técnica se aprovecha, nuevamente y en gran medida, de nuestros comportamientos inadecuados frente a la protección de nuestros equipos portátiles o de escritorio. La falta de higiene informática es una de las responsable del gran número de infecciones y plagas informáticas, que pasan entre otras por botnets, gusanos, software espía dado que tenemos una “falsa sensación de seguridad” pues al conectarnos a internet creemos que no somos objetivo de interés de los intrusos, cuando en realidad es todo lo contrario.

Es muy revelador encontrar que la pérdida de información está asociada con los terceros de confianza de la empresa. Con frecuencia encontramos acuerdos de confidencialidad firmados con los contratistas a los cuales poco se les hace seguimiento o auditoría, generando espacios de incertidumbre en el manejo mismo de la información sensible de las empresas. Si bien es importante tener estrategias contractuales para mantener la responsabilidad del tercero frente al manejo de la información, cobra mayor relevancia poder incluir dentro del modelo de seguridad de la información de la empresa la forma como las empresas contratistas deben darle tratamiento a la información y asegurar el seguimiento y aplicación de las directrices que sobre el particular se den.

De otra parte, se anota que la fuga de información se presenta con mayor frecuencia relacionada con el personal interno de la empresa. Este hallazgo nos habla de muchas posibilidades para analizar. Por un lado, podemos pensar en los aspectos éticos y de cumplimiento de los empleados, elementos propios de la lealtad empresarial, no necesariamente asociados con consideraciones legales, sino de identidad corporativa. Por otro, una falta de consciencia de los empleados de la empresa frente al manejo de la información y sus implicaciones; frente a su personal y con sus grupos de interés. Por tanto, si bien las organizaciones adelantan esfuerzos ingentes para incorporar la cultura de riesgos en el tejido social empresarial, se hace necesario insistir en la comunicación del valor de la información como activo estratégico de las corporaciones y elemento fundamental para soportar la ventaja competitiva de la empresa.

Si bien, en los países desarrollados se viene dando una tendencia por revelar las brechas de seguridad que se han presentado en las organizaciones, como una forma de responsabilidad social y empresarial con sus clientes, en nuestros países en vía de desarrollo, no logramos despegar del todo para seguir esta buena práctica. Por el momento, los reportes de incidentes de seguridad se conocen por “chismes” o “comentarios de pasillo” que se filtran en conversaciones con terceros en los sitios menos indicados: ascensores, restaurantes, filas de acceso a bancos, salas de espera, en general en sitios públicos o por descuidos de pantallas de computadores sin filtros de privacidad que exponen un “secreto” de alguna empresa o persona.

Como bien nos dice la sabiduría popular: “no hay nada oculto entre cielo y tierra que no se llegue a saber”, si debemos establecer los canales oficiales para que la información fluya de la manera más adecuada, en el contexto indicado y sin juicios de valor, para que se informe conforme se es requerido y con los detalles necesarios. No se trata de esconder lo que ha ocurrido, sino de entregar de la mejor forma la información para continuar avanzando en las estrategias de aseguramiento de la información en los procesos de negocio de las empresas.

Ver en un informe internacional que en el análisis de los incidentes se encuentra en la mayoría de las ocasiones información relacionada con datos médicos es realmente inesperado. Estamos acostumbrados a que las brechas de seguridad expongan datos corporativos, secretos industriales o elementos claves de estrategias de empresas, pero que en su mayoría sean datos relacionados con los registros de los galenos sí que es novedad. Esta tendencia en los países desarrollados se explica por la alta relación que existe de estos datos con el acceso a información complementaria de la persona: cuentas bancarias, estados de préstamos, pago de impuestos, identificación personal, entre otras, que son claves para establecer estrategias de suplantación y generar fraudes a nombre de terceras personas.

Si bien lo anterior nos debe llamar la atención frente a los efectos que esto tiene en la vida de las personas, estamos a tiempo para que en nuestras economías emergentes se tomen las medidas requeridas frente a la protección de datos personales, como una primera iniciativa que asegure y fortalezca las prácticas de seguridad y control frente al tratamiento de esta información. Así mismo, sea esa la motivación para que cada uno de nosotros continúe aprendiendo que la información es un activo esencial de nuestra relación social en el siglo XXI y la moneda fundamental de nuestra interacción en un mundo interconectado y abierto como lo es internet.

El informe no indica con detalles aspectos relacionados con las redes sociales, móviles (ahora tabletas, dispositivos de lectura, entre otros) o computación en la nube como otros drivers para las brechas de seguridad de las empresas y las personas, sin embargo es claro que estos tres elementos son parte de los nuevos vectores de la pérdida y/o fuga de la información, pues al estar en permanente movimiento y sin un aparente control, el ciclo de vida de la información no tendrá elementos suficientes para mantener la trazabilidad de las operaciones o tratamiento que se le haga a ésta, dejando la puerta abierta a inesperados eventos que ya empiezan a manifestarse en el mundo actual.

En consecuencia, este estudio, que de manera exhaustiva y formal revela tendencias que intuitivamente conocíamos, nos pone de manifiesto que la ecuación de la inseguridad se conjunta alrededor de la información, la inevitabilidad de la falla y los medios informáticos, con un multiplicador o inhibidor fundamental como son los comportamientos humanos.

En este sentido, que todas estas lecciones aprendidas de los 3765 incidentes puedan empezar a modificar el ADN corporativo de la cultura de las organizaciones frente al tratamiento de la información y nos haga a cada uno de nosotros sensibles a los movimientos de nuestra maestra la inseguridad, para que nuestros próximos “pecados” frente uso de la información, bien sean de obra u omisión, sean un nuevo comienzo para pensar diferente y superar las rutinas defensivas propias de aquellos que “buscan culpables” y no nuevas oportunidades para aprender.

ISACA Latin CACS 2011 - Una experiencia para desafiar una región

2011-10-09T22:17:00.000-05:00

Introducción

Se comenta en los medios informativos y por los analistas económicos internacionales que Latinoamérica es y será un destino natural para los capitales y oportunidades de los grandes inversionistas del mundo. Los temas de minería, explotación de hidrocarburos, biodiversidad y nuevos capitales humanos calificados, hacen de las Américas un lugar privilegiado para desarrollar nuevas iniciativas en el contexto de los negocios emergentes basados en servicios financieros, telecomunicaciones, servicios de consultoría, investigación y desarrollo, entre otros.

En este contexto, poder asistir a uno de los eventos latinoamericanos más importantes en temas de auditoría, seguridad y control en sistemas de información, es una forma de comprender la dinámica de una región que atenta a los cambios globales y sus crisis, es capaz de mantener el paso firme frente a los retos de cumplimiento, aseguramiento y gobierno corporativo que su contexto le demanda.

Durante los días 3 al 5 de octubre de 2011, Puerto Rico fue sede de presentaciones y talleres que se desarrollaron en el contexto del LatinCACS que anualmente programa ISACA para todos los interesados de la región que quieren comprender mejor los retos que la dinámica empresarial demanda frente a las tecnologías de información y comunicaciones.

La jornada académica estuvo animada por temas relevantes para las empresas de la región como son la “gestión del valor de TI”, la seguridad en los sistemas SCADA, la computación en la nube, la ciberseguridad y la ciberdefensa y los temas de privacidad de los empleados. Cada de uno de estas temáticas, desarrolladas por destacados profesionales de la región revelan la necesidad de avanzar con celeridad en cada uno ellas, como factores direccionadores del desarrollo de las empresas y naciones hacia mejores y mayores estándares de productividad y rentabilidad corporativas.

Gestión del valor

Cuando se habla de la gestión del valor de TI, es importante aclarar que podemos invocar los conceptos de ISACA en su modelo de VAL IT, así como otros relevantes en otras disciplinas administrativas que van a contribuir a un mejor entendimiento de este reto de las organizaciones actuales. Es claro, que la alta gerencia de las empresas reconoce en TI un elemento clave dentro de su gestión, pero que aún no desarrolla su potencial para elevar sus conversaciones a nivel de las juntas directivas.

En este contexto las conferencias desarrolladas en el evento, plantearon entre otras tesis, un concepto de valor como la relación existente entre la satisfacción de las expectativas de las partes interesadas y los recursos utilizados para ello. Esta definición, establece el reconocimiento de las esperanzas o deseos de la alta gerencia sobre el negocio, para a la luz de los riesgos de servicios, proyectos e innovación, la empresa cuente con un factor diferenciador que le permita apalancar su modelo de generación de valor.

De igual forma, cuando de construir, desarrollar, comunicar y proteger el valor, la tecnología cuenta con un factor fundamental, que si bien parece desalineado con la estrategia de negocio, encuentra en ella la fuente misma de las ideas que le permita evolucionar de ser un proveedor de servicios a un aliado de negocio. Esta última frase, que frecuentemente se escucha en los eventos internacionales, es el gran desafío de los gerentes o vicepresidentes de tecnología: poder educar a la gerencia en cómo la tecnología genera diferencia, más que cómo ésta es capaz de generar mayores ahorros.

De la mano con lo anterior, otro renombrado profesional en gobierno de TI, profundizó lo ya planteado en el contexto de la competitividad de los países, particularmente los latinoamericanos. Para este especialista, la competitividad la define “el que menos pierde en el contexto de un mercado” o dicho de otra forma “aquella empresa que genera resultados arriba del promedio de manera sostenida”. En el escenario actual de incertidumbres y desbalances macroeconómicos mundiales, la tecnología de información funge como un habilitador de alianzas y encuentros entre diferentes empresas, con el fin de marcar la diferencia ya no sólo individual, sino colectiva en el contexto de las realidades internacionales.

La tecnología de información y comunicaciones como fuente de creatividad y coordinación de iniciativas empresariales debe responder rápidamente a los cambios, so pena de convertirse en el mediano o largo plazo en un “commodity” perfectamente copiable y sustituible, dado su fuerte influencia y uso para fortalecer elementos como velocidad, calidad y costos que benefician la operación de las corporaciones. Así las cosas, la tecnología de información, como quiera que ésta debe ser funcional y operacional frente a los retos del día a día de las empresas, también se hace necesario repensar sus aproximaciones conceptuales y lenguajes corporativos, para que asegurando la disponibilidad de la infraestructura, pueda proteger el valor de la empresa, incrementar la agilidad de la transformación de la organización y ascender en su discurso al cuerpo empresarial de las juntas directivas.

El reto de los SCADA

Por otra parte los sistemas SCADA o Supervisory Control and Data Adquisition, son elementos fundamentales de las infraestructuras críticas de las naciones como son entre otras: los sistemas de distribución de energía, de derivados de los hidrocarburos, de funcionamiento de acueductos y otros servicios, así como de sistemas de transporte y emergencia de muchos países. Estos sistemas, por demás complejos e finamente interconectados con la realidad de tableros de distribución, válvulas de presión, medidores de temperatura o sistemas cerrados de televisión o control de acceso, establecen un reto de gobierno frente a la seguridad de la información de una empresa.

Estos sistemas, que si bien están automatizados y articulados con sistemas de información especializados, poco a poco han venido siendo objeto de ataques informáticos básicos y sofisticados, generando en las diferentes empresas encargadas de éstos, una incertidumbre creciente que obliga a sus responsables a una revisión completa del aseguramiento de los mismos. Dentro de los riesgos más relevantes para esta infraestructura tenemos: código malicioso, revelación no autorizada de datos críticos, modificación y manipulación no autorizada de datos sensibles, negación del servicio, acceso no autorizado a los registros de auditoría y modificación de los mismos.

Si bien para el mundo de los sistemas de información tradicionales, del trinomio de la seguridad de la información (confidencialidad, integridad y disponibilidad) las confidencialidad y la integridad son, en su orden, elementos claves para asegurar, en los sistemas SCADA dada la necesidad de funcionamiento permanente y generación de información en tiempo real, la disponibilidad se vuelve la fuente misma de las actividades para el aseguramiento de estos sistemas.

Sin perjuicio de lo anterior, los eventos recientes relacionados “armas informáticas” desarrolladas para poner en tela de juicio las protecciones hasta el momento desarrolladas para los sistemas de control, como es el caso de Stuxnet, un código malicioso capaz de tomar control de sistemas de control y telemetría, nos muestra que se hace necesario repensar el modelo de seguridad y control de estos sistemas y formular estrategias que correspondan con el reto de su operación ahora en redes IP y con exposición en las redes nacionales.

Dentro de las mejores prácticas establecidas para estos sistemas tenemos: monitoreo y aseguramiento de los registros de auditoría, biometría, firewalls, sistemas de detección de intrusos, detección y eliminación de código malicioso, criptografía asimétrica, control de acceso basado en roles y sobre manera, una alta sensibilización del personal que opera esta plataforma con el fin de asegurar el correcto entendimiento de la responsabilidad frente a la protección de estos sistemas y los impactos de eventos inesperados no sólo para la organización, sino para la nación.

Las reflexiones en la nube

Adicionalmente, fueron muchos momentos dedicados para comprender la computación en la nube y sus diversas aplicaciones e impactos. Muchos profesionales de Latinoamérica ven esta tendencia una importante posibilidad y forma de generar factores diferenciadores con tecnología, mucho de ello apalancado por el factor costos, pero se hace necesario una revisión juiciosa y sosegada para evaluar frente a las necesidades y retos empresariales, los riesgos que implica necesariamente entregar la información y los datos a terceros.

Por un lado las reflexiones se orientaron por el lado de la clasificación de la información, la protección de la misma y las implicaciones del tráfico transnacional de información personal (muchas veces no consentida) que genera incertidumbres para las empresas y los reguladores de las naciones. Por otro, se cuestionó los modelos actuales de seguridad y cumplimiento que podría derivar en movimientos de firma de auditores o personas certificadas a diferentes puntos del mundo para asegurar que el Cloud Service Provider o proveedor de servicios en la nube, cumple con lo establecido en el contrato y hace su mejor esfuerzo para limitar los impactos de posibles incidentes que se presenten.

En este escenario, se concluye que aún no se alcanza la madurez necesaria de la evolución de este modelo, de tal forma que aquellos que tomen la decisión de subirse a la nube, deberán estar alertas frente al tratamiento de incidentes que se presenten allí, los elementos de análisis forenses que se deban generar y los incumplimientos normativos, bien por acción u omisión se pudiesen presentar frente a la realidad de la información de las organizaciones. Existen algunos referentes internacionales que se sugieren para continuar aprendiendo de estos retos como son la guía de controles del Cloud Security Alliance y la guía de aseguramiento de control de ISACA IT Control for Cloud Computing.

Repensando la defensa de las naciones

Acciones internacionales como las creadas por Anonymous en diferentes países latinoamericanos revela un creciente interés en ese nuevo reto de gobernabilidad de las naciones denominado ciberseguridad y ciberdefensa. Luego de un largo exilio de los temas de defensa nacional, concentrados en realidades de campo operacional y de inteligencia tradicional, las naciones comienzan a comprender que existe un nuevo campo de acción y una nueva forma de impactar la realidad. Esta realidad convocada desde las redes sociales, interconectada con dispositivos móviles y reflejados en servidores y equipos en la nube, nos muestra el empoderamiento de las nuevas generaciones frente a una realidad digital que nos supera y nos cuestiona.

La ciberseguridad, como desarrollo de prácticas operacionales de protección y control, y la ciberdefensa, como la capacidad desarrollada por las naciones para defender sus activos de información estratégicos e infraestructura crítica nacional, son conceptos que poco a poco se deben incorporar en el lenguaje de los profesionales de gobierno de TI, no como una forma extendida de gobernar la tecnología de información en el contexto nacional, sino como una disciplina independiente que apalanca la gobernabilidad de una nación, la protección de los ciudadanos y las instituciones en un contexto global.

Si hoy a nivel internacional es una norma tener buenas prácticas en temas de gobierno corporativo, las naciones deben concretar esfuerzos para desarrollar estructuras que le permitan gobernabilidad a las naciones en el siglo XXI en un contexto digital; es decir, más allá de un nombre e identidad nacional, se hace necesario desarrollar programas nacionales de prácticas de protección de información, reconocimiento de las fronteras y condiciones de seguridad y control de la nación y sobre manera, la declaración abierta y fundamental que eleve a la información, como un bien jurídico y estratégico de la nación en todas sus actividades.

Si bien los países desarrollados han venido avanzando en el desarrollo y operación de planes para la ciberseguridad y ciberdefensa, es necesario que nuestra región inicie su camino en esta aventura, que implica necesariamente repensar el estado-nación en las consideraciones constitucionales de las naciones, para comprender que la defensa de nación no solamente cubre aire, mar, tierra, sino la red y sus confines, como una nueva frontera para proteger los derechos de los ciudadanos y de las nuevas generaciones que ahora viven en internet.

La privacidad: un derecho individual y corporativo

Finalmente y no menos importante, tenemos los temas de privacidad, protección de datos personales y la realidad del acceso a la información privada de los empleados en las empresas. Los retos jurídicos que esto implica, recaen en los avances jurisprudenciales de los países latinoamericanos donde el derecho de “habeas data”, se conjuga en primera persona (natural) frente al “conocer, actualizar y rectificar” que de igual forma tienen las personas jurídicas en los ordenamientos constitucionales latinoamericanos.

Si bien, podemos desarrollar contextos de acceso seguro, acordados y revisados con los titulares del dato, ellos jamás renuncian a su derecho constitucional de privacidad, que en cualquier momento podrán invocar, si ven vulnerados sus derechos frente a la información que sobre ellos, un tercero tiene acceso. No podemos ignorar, que frente a este debate del acceso o no a la información personal, existe la condición natural de los agentes de inteligencia de los gobiernos, los organismos de seguridad del estado y las solicitudes judiciales que autorizan a entes de policía judicial, como actores fundamentales que requieren, bajo el imperio de la ley, asegurar la información necesaria para actuar en derecho frente a las amenazas o retos de seguridad nacional.

Sin un consenso aparente en estas reflexiones, pronto Colombia tendrá una nueva ley de protección de datos personales que exigirá a cada una de las empresas desarrollar un manual de prácticas que muestre su compromiso y aseguramiento frente al acceso a los datos personales que manejen las organizaciones. Esto necesariamente deberá generar un esfuerzo colectivo de las empresas, que orientado por un nuevo desafío de cumplimiento, deben abordar la problemática de la protección de la información de manera general y, ahora en particular, para los datos de carácter personal.

Este tipo de iniciativas frente a la privacidad de la información no son nuevas en la región, sin embargo son generalmente inadvertidas por las áreas de tecnologías de información y seguridad de la información, dado el limitado monitoreo de los avances normativos en la materia que ejercen tanto el área jurídica como el área de tecnología. En este sentido, una relación más fluida entre las dos disciplinas y un trabajo interdisciplinario entre ellas, podrá generar nuevas y sostenibles ventajas competitivas frente a los retos empresariales donde la tecnología de la información es parte fundamental de la estrategia para desequilibrar los mercados.

Reflexiones finales

Así las cosas y aunque durante los días del evento se presentaron otros temas, igualmente relevantes para enriquecer el trabajo de los profesionales de seguridad y control, así como para los auditores de tecnología de información y altos ejecutivos empresariales, las reflexiones aquí representadas crearon en la audiencia memorias y enlaces frente a su realidad actual, para persuadir y motivar nuevas fronteras y retos corporativos y así, encontrar con cada uno de sus ejecutivos y profesionales, eso que deseamos y aquello que queremos ser: cruzar el umbral de la inercia corporativa y lanzarnos a escribir el futuro con letra imprenta y misteriosamente cursiva.

Peritos Informáticos. Testigos expertos frente a la inseguridad de la información

2011-09-04T22:11:00.000-05:00

Introducción

Cada vez más escuchamos que se adelantan procesos jurídicos donde se solicitan elementos materiales probatorios informáticos como parte de los componentes requeridos para identificar lo que realmente ocurrió. En este contexto, al igual que en la realidad norteamericana se hace necesaria la participación del “computer expert witness” o lo que en nuestro ordenamiento jurídico denominamos “peritos informáticos” o "expertos en informática forense" según reza el artículo 236 del Código de procedimiento penal Colombiano, Ley 906 de 2004.

Siguiendo una serie de reflexiones publicadas por Bruce A. Olson (ver referencias), experimentado abogado y especialista en computación forense, vamos a revisar algunas consideraciones claves que los “peritos informáticos” deben tener en cuenta para participar de manera adecuada en el desarrollo de audiencias y juicios donde se presenten materiales o componentes informáticos.

Un perito informático, de acuerdo con las reglas federales para manejo de la evidencia de USA, se define como “testigo calificado que por su conocimiento, habilidades, experiencia, entrenamiento o educación puede declarar o dar una opinión sobre una materia técnica, científica o especializada…”, el cual está allí para asistir al jurado y los participantes de la audiencia en el entendimiento de la evidencia y así establecer las claridades requeridas para tomar las decisiones respecto del caso en estudio.

En consecuencia con lo anterior, las reglas federales previamente mencionadas detallan las exigencias propias que deben considerarse en la opinión del perito informático, como son: “1. El testimonio deben estar basado en la suficiencia de hechos y datos, 2. El testimonio es producto de principios y métodos confiables y finalmente 3. El testigo ha aplicado los principios y métodos de manera confiable a los hechos de caso.” Por tanto, el perito informático califica como un profesional acreditado que utilizando el método científico es capaz de verificar o no hipótesis o cuestionamientos particulares siguiendo las exigencias de la disciplina científica; nunca para encontrar la verdad, que es algo que escapa al método en sí mismo. (*)

Acreditando al testigo experto en informática

En este sentido, parte del proceso que se surte en un proceso judicial es la acreditación de nuestro testigo experto, para lo cual Olson establece algunas características y condiciones básicas que permitan adelantar esta fase sin mayores dificultades. En primer lugar, al entregar su hoja de vida, asegure que todo lo que está allí es real y es susceptible de verificarse, pues su contraparte revisará cuidadosamente todas sus credenciales para evidenciar cualquier inconformidad o inconsistencia. Seguidamente, si cuenta con publicaciones efectuadas (las efectuadas en los últimos diez años), adjunte las mismas preferiblemente solicitándolas directamente al editor de la revista o cuerpo editorial de la publicación, de tal forma que pueda preparar un “dossier” claro y preciso que pueda ser revisado por un tercero.

De otro lado, entregue la información relacionada con sus títulos académicos y formación adicional que tenga; con las certificaciones indique la fuente de las mismas, la forma como se obtuvo, quien fue el patrocinador de la misma (si así ha sido) y la duración del entrenamiento. Así mismo, el detalle de su experiencia laboral, detallando la empresa, cargo desempeñado, logros particulares y motivos por los cuales se terminó el contrato con la empresa (si así ha sido). Recuerde, que todo esto será objeto de revisión, investigación y escrutinio por parte de la contraparte. Por tanto, prepárese para enfrentar cualquier cuestionamiento sobre algún inconveniente que haya tenido en su pasada vida laboral, pues deberá responder frente a la audiencia por los mismos, si hubiere lugar.

Finalmente si hubiese participado en otros casos semejantes, tenga en cuenta en cuales, el número del proceso y los expedientes concretos para mantener la trazabilidad de sus participaciones y testimonios, los cuales igualmente serán revisados por terceros.

Presentando los hechos analizados

Una vez se encuentra acreditado el “computer expert witness”, se debe asegurar una estrategia metodológica para presentar su informe científico sobre los hechos revisados, de tal forma, que siga las exigencias propias del testimonio de los expertos (ver (*)). En esta línea, Olson sugiere que el perito informático desarrolle su presentación con los siguientes elementos:

1. Inicialmente basado en su formación académica y entrenamientos, establezca los elementos conceptuales sobre los cuales se basa su reporte.

2. Presente los hechos fundamentales que fueron objeto de sus análisis.

3. Detalle y describa los procedimientos aplicados, técnicas de verificación y herramientas tecnológicas utilizadas.

4. Detalle el proceso de verificación de la toma de los datos informáticos y las condiciones en las cuales se adelantó dicho proceso.

5. Presente el análisis de los datos recolectados frente a los hechos de la investigación.

6. Entregue las conclusiones relacionadas con los hechos investigados.

Es importante que el perito tenga en cuenta que podrá ser controvertido por su contraparte, para comprometer la credibilidad de su informe y las opiniones que allí se encuentran establecidas. Por tanto, usted deberá sujetarse a los hechos y mantener la tranquilidad que la da la aplicación sistemática y científica de sus métodos, los cuales podrán ser revisados por cualquier persona y llegar a conclusiones equivalentes.

Al igual que en Colombia, en Norteamérica es claro que la participación de un especialista en temas de tecnología en un proceso jurídico, puede darse de dos formas: experto consultado o testigo experto. En el primer caso, es un llamado que le hace la corte al profesional para que ilustre a la audiencia sobre conceptos o claridades técnicas requeridas, que particularmente en el caso de USA, no es necesario que se conozca la identidad del mismo. En el segundo caso, el testigo experto hace parte del caso, sus informes son opiniones que se adjuntan al expediente y son susceptibles de verificación y controversia. En Colombia, el perito informático puede ser objeto de recusación (ver artículos 150, 151 y 152 de Código de Procedimiento Civil – disponible en: http://www.secretariasenado.gov.co/senado/basedoc/codigo/codigo_procedimiento_civil_pr005.html ), lo que implica que este profesional se encuentra expuesto durante el proceso, por lo cual se hace necesario contar con seguros de actuación profesional, que protejan a estos auxiliares de la justicia frente a imponderables que puedan afectar sus actividades relacionadas con sus testimonios basados en elementos materiales probatorios informáticos.

El informe pericial

Las reglas federales para el manejo de la evidencia norteamericana establece el contenido mínimo del informe que deben entregar los “computer expert witness”:

1. Una declaración completa sobre las bases y razones que expresadas por el testigo.

2. Los hechos y los datos considerados por el testigo para formarse su opinión.

3. Cualquier documento que haya utilizado para resumir o apoyar su opinión.

4. Las calificaciones académicas del testigo, incluyendo la lista de todas las publicaciones de su autoría en los últimos 10 años.

5. Una lista de los casos en que haya participado y declarado en calidad de experto en juicio.

6. Una declaración del pago efectuado por el análisis realizado y el testimonio en el caso.

Como podemos ver en la justicia norteamericana se exige que este profesional exponga de manera transparente sus conclusiones frente a los hechos, indicando todos los elementos colaterales alrededor de su contratación (si fuese el caso), así como la experiencia que este pudiese tener en casos anteriores. En Colombia, el informe pericial no tiene una estructura establecida por ley, sin embargo, se sugiere considere entre otros elementos los siguientes: (CANO 2009, pág.174-175)

1. Encabezado que identifique de manera clara y concreta, la solicitud efectuada, los participantes, código de identificación del caso, clasificación de la información y nombre de los investigadores.

2. Introducción donde se describa la conducta o hechos que se investigan, los alcances de la pericia y el objetivo mismo de los análisis realizados.

3. Validación y verificación de la cadena de custodia donde se especifica qué se recibe, de quién, en qué fecha, los objetos y sus características, marcas y seriales, peritos que reciben, identificador del caso, entre otros aspectos.

4. Procedimientos de preparación y adecuación de la evidencia recibida donde se detalle el proceso forense, la preparación de los medios, las herramientas utilizadas, la verificaciones del caso y los detalles de los análisis a realizar.

5. Análisis de la evidencia que muestre la ejecución de las herramientas utilizadas sobre las copias autenticadas de las evidencias recolectadas.

6. Hallazgos o hechos identificados como resultado de la aplicación de las herramientas tecnológicas que hablan generalmente de archivos, sitios en los medios, información recuperada, entre otros aspectos.

7. Conclusiones sobre los hechos investigados, sin juicios de valor, basados en los hechos y datos recolectados con las herramientas informáticas establecidas.

8. Firma de los analistas o peritos como forma de refrendar sus hallazgos y procedimientos aplicados sobre el material probatorio entregado.

Como podemos observar, cada una de las vistas establece elementos complementarios que invitan a los lectores a relacionar lo mejor de cada práctica y establecer sus propios formatos que permitan hacer mucho más formal y menos controvertible sus informes periciales frente la exigente crítica de su contraparte.

Declarando en la audiencia

La presentación del informe o declaración del testigo informático experto, es darle la oportunidad a los abogados para hacer todas las preguntas que él o ella quiera, claro está sujeto a las normas del procedimiento establecido, para que el perito responda en consecuencia. Recuerde que no es la oportunidad para decir todo lo que usted sabe del caso, sino la forma puntual y particular en la cual le dará respuesta a las preguntas que se le formulen y la forma en que será interrogado.

En razón con lo anterior, todas las respuestas que el perito detalle y comente serán parte del registro de la audiencia y no habrá momentos previstos para dejar declaraciones “fuera de los registros” de la corte. Esto significa, que todo lo que se mencione durante su intervención tendrá valorado dentro del proceso mismo y será sujeto de contrainterrogatorio si así se decide por alguna de las partes.

En Colombia existen algunas condiciones para interrogar y contrainterrogar al perito, las cuales conviene conocer para estar preparados frente a las condiciones y características que exhiba la contraparte frente a las declaraciones de este profesional:

Ley 906 de 204 Código de Procedimiento Penal (Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=14787)

Artículo 417. Instrucciones para interrogar al perito. El perito deberá ser interrogado en relación con los siguientes aspectos:

1. Sobre los antecedentes que acrediten su conocimiento teórico sobre la ciencia, técnica o arte en que es experto.

2. Sobre los antecedentes que acrediten su conocimiento en el uso de instrumentos o medios en los cuales es experto.

3. Sobre los antecedentes que acrediten su conocimiento práctico en la ciencia, técnica, arte, oficio o afición aplicables.

4. Sobre los principios científicos, técnicos o artísticos en los que fundamenta sus verificaciones o análisis y grado de aceptación.

5. Sobre los métodos empleados en las investigaciones y análisis relativos al caso.

6. Sobre si en sus exámenes o verificaciones utilizó técnicas de orientación, de probabilidad o de certeza.

7. La corroboración o ratificación de la opinión pericial por otros expertos que declaran también en el mismo juicio, y

8. Sobre temas similares a los anteriores.

El perito responderá de forma clara y precisa las preguntas que le formulen las partes.

El perito tiene, en todo caso, derecho de consultar documentos, notas escritas y publicaciones con la finalidad de fundamentar y aclarar su respuesta.

Artículo 418. Instrucciones para contrainterrogar al perito. El contrainterrogatorio del perito se cumplirá observando las siguientes instrucciones:

1. La finalidad del contrainterrogatorio es refutar, en todo o en parte, lo que el perito ha informado.

2. En el contrainterrogatorio se podrá utilizar cualquier argumento sustentado en principios, técnicas, métodos o recursos acreditados en divulgaciones técnico científicas calificadas, referentes a la materia de controversia.

Reflexiones finales y conclusiones

Finalmente el testigo experto informático deberá prepararse no solamente desde el punto de vista técnico frente a su reporte y los cuestionamientos de su contraparte, sino desde el punto de vista psicológico y emocional de tal forma que pueda mantener una posición tranquila y sana frente a las estrategias que el abogado de la defensa o la fiscalía, emprendan para desacreditarlo o desestabilizarlo y debilitar los resultados del informe presentado.

Como hemos podido revisar y advertir, convertirse en un testigo experto en informática o perito informático y someterse el exigente ejercicio de ser un efectivo auxiliar de la justicia en temas de alta tecnología, no solamente requiere el conocimiento técnico propio de la formación académica y la experiencia aplicada del mismo, sino de un estudio profundo del sistema de administración de justicia, su bondades y limitaciones, que le permitan a este profesional, conocedor de los procedimientos y técnicas científicas para el aseguramiento de las pruebas documentales informáticas, entregar los resultados de sus análisis frente a los hechos investigados, para que la verdad procesal brille basada en los hechos y los datos.

Referencias

Artículos de Brian Olson - http://www.dfinews.com/authors/4833

CANO, J. (2009) Computación Forense. Descubriendo los rastros informáticos. Ed. AlfaOmega.

Ley 906 de 204 Código de Procedimiento Penal - Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=14787

Inseguridad de la información: Maestra en la ciencia de la protección de la información

2011-08-14T22:44:00.000-05:00

Conforme avanzamos en el desarrollo de esta nueva década del segundo milenio, notamos con preocupación que no estamos capitalizando las lecciones que la inseguridad de la información nos ha impartido con suficiente ilustración y detalle. La inseguridad de la información nos ha demostrado que existen elementos tanto en las personas, como en los procesos y en la tecnología donde puede actuar y renovar nuestro entendimiento de la protección de la información.

Avanzar en una propuesta de una “ciencia de la seguridad” (STOLFO, S., BELLOVIN, S. y EVANS, D. 2011) o en una “ciencia de la protección de la información” (COHEN 2011) es profundizar en los terrenos de la formalidad académica y científica para encontrar allí mejores referentes que nos permitan superar una posible vista artesanal de nuestro proceso de toma de decisiones frente a los retos de la inseguridad en las organizaciones.

Siguiendo los argumentos de STOLFO, BELLOVIN y EVANS (2011), hablar de una ciencia requiere al menos revisar tres elementos fundamentales: sistematización y generalización del conocimiento, desarrollo de leyes universales para hacer predicciones confiables y, conducción de investigaciones para verificar hipótesis y elaborar experimentos. En este sentido, los retos propios de la seguridad de la información se ven avocados a pasar por el filtro de la ciencia, para procurar tener mejores elementos de juicio y así formalizar nuestras acciones, de tal forma, que no sea solamente nuestro instinto o mejor estimación la que prime, sino una profunda revisión de los impactos y consecuencias de los análisis de las situaciones a asegurar, la que afine los criterios de toma de decisión de los analistas de seguridad de la información.

Si bien a la fecha, existe mucho conocimiento acumulado en los temas de seguridad de la información que nos permiten hablar en dominios específicos de temáticas como los son seguridad en redes, gestión de la seguridad, análisis de vulnerabilidades, arquitecturas de seguridad, entre otros, continúan apareciendo temas novedosos como son entre otros seguridad en la nube, seguridad embebida en dispositivos, geolocalización, que nos permiten seguir pensando y soñando con nuevas posibilidades para continuar construyendo la disciplina de la seguridad de la información. (COSTELLO 2011)

Bien dice un practicante de la seguridad, militante de la academia y de la industria, Bruce Schneier, que “en teoría existen sistemas seguros, pero en la práctica no”, denotando que mientras en los diseños y ecuaciones formales, es posible probar la confiabilidad de la seguridad de la información, asegurando la mayor certeza de sus propuestas; una vez se pasa a la aplicación de los mismos, la inevitabilidad de la falla se hace presente en la operacionalización de éstas, dado que en el mundo real, las condiciones no son igualmente replicables a las consideraciones teóricas que sustentan los conceptos. En este sentido, tener leyes universales que nos permitan un comportamiento predecible en seguridad, es enfrentar las mejores estimaciones matemáticas, con las condiciones inesperadas de una realidad llena de efectos colaterales y condiciones disímiles.

Lo más frecuente que se observa en seguridad es el desarrollo de investigaciones y experimentos controlados y no controlados, como la fuente primaria de reflexiones y propuestas para encontrar respuestas a nuestras preguntas, o mejor aún, como la estrategia para plantearnos mejores interrogantes. En este sentido, la seguridad de la información es una búsqueda permanente de un “grial” esquivo y deseado, que si bien todos saben que es inalcanzable, hacemos todo lo que está a nuestro alcance para experimentar, así sea de manera momentánea, un poco de su luz y de sus enseñanzas sobre la protección formal y confiable de la información en cualquier contexto.

Sin embargo, como bien anota COHEN (2011), los científicos o los hombres de ciencia son humanos y cómo seres vivientes, se equivocan, por tanto, la ciencia hace lo mismo. En este sentido, alcanzar confiabilidad de la disciplina científica en seguridad de la información, es entrar en un círculo vicioso donde tanto el hombre como la ciencia, se contaminan mutuamente para producir o generar un resultado que esperamos sea “seguro”, “confiable” y “libre de errores”.

Así las cosas, avanzar en una ciencia de la protección de la información, es reconocer que la inseguridad de la información es la maestra y educadora de los practicantes y académicos; es decir, aquella realidad que induce un aprendizaje, promueve la generación de mejores preguntas y encontrar nuevas respuestas; estimula el pensamiento independiente entre sus estudiantes, suscita la innovación, la creatividad y los retos intelectuales. (ACKOFF 2011)

Si lo anterior es correcto, no es suficiente que continuemos sencillamente comprendiendo los avances tecnológicos y su adecuada implementación en las organizaciones, sino cuestionando las diversas variables y condiciones de las corporaciones, para hacer de la seguridad de la información una forma de repensar la empresa y sus procesos, no como una meditación basada en un discurso restrictivo, sino como aquello que cada uno de nosotros entiende, cuando de cuidar un activo se trata.

En este sentido, FENZ, PARKIN y VAN MOORSEL (2011) aciertan cuando detallan que desarrollar un modelo de conocimiento en seguridad de la información requiere considerar, entre otros elementos, aquellos que hacen referencia a los aspectos sociales, tecnológicos y de negocio, como base para encontrar en el ejercicio de toma de decisiones de los gerentes de seguridad de la información, la información, las relaciones y la prospectiva necesaria para identificar patrones de acción que les permitan estar más cerca de las causas y no solamente de la experiencia de las consecuencias de las fallas.

Por tanto, desarrollar una ciencia de la protección de la información, exige como bien anota el profesor COHEN (2011), un encuentro con las disciplinas sociales y del comportamiento humano asociados con la protección de los activos, como fuente misma de nuestro entendimiento de la complejidad propia de las relaciones entre la tecnología y los procesos de la organización, donde los individuos son la parte activa de éstas, frente a las vulnerabilidades y fallas propias de los artefactos tecnológicos.

Finalmente, considerando y aceptando que la inseguridad de la información es nuestro mejor aliado para crear el futuro, mantenga su vista afinada en el camino y sus señales, para continuar haciendo la diferencia en el ejercicio permanente y renovado de lanzarnos en las “aguas profundas” de la incertidumbre y creer que siempre es posible ir más allá de los datos que representan las propiedades de los objetos y sus eventos, y alcanzar en la sabiduría del error, la forma anticiparnos cada vez más a los retos de la inevitabilidad de la falla.

Referencias

COSTELLO, T. (2011) 2011 IT Tech and strategy trends. IEEE IT Professional. January/February.

FENZ, S., PARKIN, S. y VAN MOORSEL, A. (2011) A Community Knowledge Base for IT Security. IEEE IT Professional. May/June 2011

STOLFO, S., BELLOVIN, S. y EVANS, D. (2011) Measuring Security. IEEE Security and Privacy. May/June 2011

COHEN, F. (2011) Toward information Science protection. Disponible en: http://all.net/Talks/2011-06-15-Keynote-Toward-IP-Science.pdf (consultado: 14-08-2011)

ACKOFF, R. (2011) Differences that make a difference. Triarchy Press.

Análisis forense digital en la nube: El reto de la inseguridad en un ecosistema tecnológico

2011-07-17T22:24:00.000-05:00

Estamos asistiendo a una nueva década dominada por las redes sociales, la computación móvil y la computación en la nube. Esta nueva condición de la sociedad digital, ubica a la información como uno de los elementos más sensible y más apetecidos por todos los participantes de esta realidad interconectada. Nada más cierto que el empoderamiento evidente de jóvenes y niños, que exigen de las redes mayor velocidad, mayor conectividad y renovados contenidos. Así las cosas, la información en movimiento, como la vida misma, es un reto que demanda de los mejores analistas de seguridad de la información, propuestas innovadoras para comprender ahora que significa “estar seguros” en un ambiente de cambio permanente, altamente impredecible, inalámbrico y de operación 7x24x365.

Entender la realidad actual de servicios y conexiones “sin cables”, es actualizar la reflexión de los retos asociados con los elementos materiales probatorios informáticos, medianamente conocidos y asegurados en un contexto cableado. Si encontrar o identificar a posibles atacantes en infraestructuras de configuraciones y flujos de información conocidos, ha sido un reto evidente durante los últimos 10 años, sumergirse en el desafío forense a través de las redes sociales, en medios inalámbricos y administrados por un tercero en la nube, describe una nueva disciplina y nuevos campos de investigación que exigen repensar la informática forense o computación forense en nuevo nivel, con una vista más sistémica, para establecer elementos sistemáticos que permitan avanzar en nuevos procedimientos estandarizados.

En un primer momento, conociendo esta realidad actual, se tiene la tentación de aplicar los procedimientos conocidos y generalmente utilizados para abordar el reto forense a través del trinomio: red social, móviles y la nube, pues al estar cada uno de ellos articulados y fundados en plataformas tecnológicas, suena coherente desarrollar los aseguramientos de evidencia, siguiendo los protocolos establecidos asociados con datos volátiles y no volátiles. Adicionalmente, poder seguir los rastros en cada uno de estos mundos, no debería ser diferente de lo que actualmente se efectúa cuando de investigaciones informáticas se trata.

Pero la realidad del análisis y reto de las investigaciones forenses en este renovado contexto abierto, de flujo de información permanente y ubicua genera más incertidumbres que certezas, más preguntas que respuestas y más imprecisiones que claridades. Mientras la esencia misma de la computación forense es establecer hechos y datos propios de la realidad que se investiga, una revisión de los diferentes actores de este nuevo escenario, nos propone diferentes perspectivas que confrontan los fundamentos de los procedimientos generalmente aceptados para avanzar en el aseguramiento de evidencias en un proceso forense digital.

En esta primera revisión del tema forense en el contexto actual, trataremos de analizar cada uno de los participantes y aquellos elementos críticos que hacen exigente una validación forense digital en medios sociales, apalancados en tecnologías móviles y convenientemente ubicadas en la nube.

Iniciemos con el usuario, con las personas, que cada vez más se advierte una alta dependencia de las redes sociales y consumo de contenidos y servicios en la web. Con el paso del tiempo los hábitos de las personas, particularmente de los niños y los jóvenes han venido migrando de una necesidad natural de interacción cara a cara, a una mediada por la tecnología, con información instantánea y técnicamente de acceso ágil y prácticamente ilimitado. Esto si bien es una gran ventaja para mantenerse actualizado y en movimiento, estamos debilitando la natural exigencia de explorar y revelar nuevas preguntas que forjen los nuevos investigadores del futuro, con hambre de logro, más allá de un click que hable de lo que “hay disponible”. Pero esta es una reflexión que está fuera del alcance de este análisis.

Desde el punto de vista forense, el caminar por las redes sociales es descubrir un perfil de la persona, sus hábitos para compartir información, sus patrones de conexión, las aplicaciones extra que utiliza y los amigos con los cuales más comparte. De igual forma, es detallar sus habilidades para configurar su interacción, los cuidados para aceptar a nuevos amigos y las particularidades de su personalidad que se describen en cada uno de sus publicaciones.

Analizar a un individuo en una red social, es ir más allá de cuál de ellas utiliza, es entender la interacción que existe entre el navegador y el sitio mismo, sabiendo que éste último está en un ecosistema tecnológico, con dependencias identificadas, bien para los servicios ofrecidos para sus usuarios, como para la infraestructura que los soporta. Así las cosas, una vista de la problemática estará en la forma como los terceros que intervienen han sabido estructurar la interacción de sus aplicaciones para ofrecer lo prometido y otra, la forma como la tercera parte mantiene y asegura los servidores y equipos de cómputo sobre los cuales se ejecutan los programas.

Como quiera que entender estas interacciones demanda una comprensión de un ecosistema que se articula en una malla de relaciones técnicas y de información, incorporar a este escenario, los conceptos de movilidad definen una realidad ampliada, que no es posible comprender sólo desde los elementos naturales de las redes inalámbricas y sus servicios, pues éstas representan sólo un medio adicional que se suma a las interacciones del ecosistema tecnológico que tenemos en la actualidad.

Así las cosas, las investigaciones forenses que conjugan las redes sociales y dispositivos móviles, superan las consideraciones actuales que los investigadores puedan tener, para recabar la información requerida con la profundidad necesaria, y así entender, el cúmulo de relaciones y puntos de contacto que son necesarios para encontrar patrones y respuestas a preguntas que se pueden hacer en una operación sin cables y altamente social digital.

Conjugar estas dos tendencias exige de parte del investigador forense reconocer que su entrenamiento actual se queda corto para asistir a la justicia en la persecución de las nuevas y silenciosas tácticas que la delincuencia viene utilizando a través de las redes sociales y los medios inalámbricos. Mientras los “chicos malos” avanzan diariamente en la búsqueda de nuevas opciones y oportunidades para continuar con su imperio del engaño y defraudación, apoyado bien en nuestras malas prácticas, fallas tecnológicas o de las aplicaciones, poco hacemos nosotros el mismo ejercicio de manera sistemática y formal para asegurar lo requerido en las personas, procesos y tecnología.

No contentos con lo anterior, ahora sumamos a la ecuación, por cierto, desde el punto de vista económico y estratégico, claramente positiva y rentable, la realidad de una relación más dependiente y más flexible de articulación de servicios de infraestructura, plataforma y de aplicaciones, lo que se denomina en el mundo tecnológico computación en la nube.

La computación en la nube es el eslabón “que hacía falta” para contar con la facilidad de almacenamiento prácticamente infinito, disponibilidad permanente y movilidad sin restricciones. La nube se convierte en el nuevo paradigma que “hace transparente” la relación entre los usuarios y los proveedores, la promesa de valor de pagar por lo que se usa, de agilidad para contar con lo que se quiere y desplegar los servicios de acuerdo con el cambio de las tendencias del mercado.

Así las cosas, se completa el cuadro de la complejidad que debe atender el nuevo observador forense digital, que consiste en entender primero las relaciones entre el usuario y su red social, luego la red social y los medios inalámbricos y finalmente los servicios tercerizados y sus accesos desde los medios móviles así como las consideraciones de interacción de los usuarios.

Como podemos ver, adelantar una investigación forense en una realidad como la que hemos analizado no es una extensión de lo que conocemos hoy en forensia digital. Es elevar nuestra reflexión general del análisis de datos que soportan los informes técnicos, por un ejercicio de desdoblamiento de la complejidad entendiendo a los actores comprometidos y sus relaciones en una escena virtual que tiene sentido en un escenario real.

De acuerdo con lo anterior, dejamos planteados los elementos base de una revisión de la computación forense en un ecosistema tecnológico, que demanda una estrategia de análisis y entendimiento renovado para retar y confrontar los modelos conceptuales conocidos para adelantar investigaciones forenses en informática.

Referencias

RUAN, K. (2010) Cloud forensics: Challenges and opportunities. Centre for cybercrime investigation. University College Dublin. Disponible en: http://confluence.jetbrains.net/download/attachments/36015346/Cloud+Forensics+-+Challenges+and+Opportunities.pdf (Consultado: 17-07-2011)

WRIGHT, B. (2010) Digital forensics and social media. Disponible en: http://computer-forensics.sans.org/blog/2010/04/20/digital-social-media/ (Consultado: 17-07-2011)

TRIMINTZIOS, P., HALL, C., CLAYTON, R., ANDERSON, R. y OUZOUNIS, E. (2011) Resilience of the Internet Interconnection Ecosystem. Disponible en: http://www.enisa.europa.eu/act/res/other-areas/inter-x/report/interx-report (Consultado: 17-07-2011)

Amenazas Persistentes Avanzadas. La inseguridad de la información como fuente de inteligencia estratégica para los intrusos

2011-06-06T21:26:00.000-05:00

Desarrollando el concepto de las Amenazas Persistentes Avanzadas - APAv

Considerando los impactos que puede tener una fuga de información a nivel corporativo y los constantes intentos de los intrusos por alcanzar las infraestructuras tecnológicas de las empresas, vía la práctica del engaño y manipulación de información disponible en internet, se hace evidente una tendencia o vector de ataque que busca como objetivo contar con un grado de control de la infraestructura atacada, actuando persistentemente para retener el acceso y las posibilidades que este brinda.

En este sentido, Richard Betjlich, detalla los elementos básicos del adversario que actúa siguiendo los elementos de una Amenazas Persistentes Avanzadas - APAv, con el fin de comprender mejor su motivaciones y movimientos que nos permitan, más adelante, establecer algunas contramedidas que permitan limitar el accionar de este tipo de amenazas, que buscan comprometer la esencia misma de la ventaja competitiva de las empresas, como lo es su información: (BEJTLICH, R. 2010)

Amenaza significa que el adversario no es una pieza de código sin sentido, al contrario, es una persona motivada, financiada y organizada, que busca un objetivo particular, para lo cual estará bien rodeada y asistida para lograr la misión designada.

Persistente significa que el adversario tiene una tarea que cumplir y que insistirá en ella hasta lograrla. En este sentido, persistente no significa necesariamente que buscará ejecutar un código malicioso en el computador víctima, sino mantener el nivel de interacción necesario para alcanzar sus objetivos.

Avanzada significa que el adversario puede operar un amplio espectro de posibles intrusiones informáticas, es decir, puede utilizar desde las más evidentes y publicitadas vulnerabilidades, o elevar el nivel del juego, para investigar o desarrollar nuevas debilidades o fallas dependiendo de las prácticas de seguridad y control de la empresa objetivo.

Como quiera que este tipo emergente de amenazas no es nuevo, en cuanto se basa en un componente eminentemente humano y asociado con comportamientos de las personas frente al tratamiento de la información, si representa una importante novedad, cuando se trata de operaciones digitales asistidas con propósitos de espionaje y desinformación, aplicados sobre objetivos gubernamentales, militares o privados.

Casos recientemente publicados y ampliamente difundidos dan cuenta que este tipo de amenazas han cobrado importantes organizaciones, poniendo en tela de juicio sus posturas frente a la seguridad de la información. A continuación se detallan algunos de ellos, como fuente de documentación y lecciones aprendidas: (SAVAGE, M. 2011)

El ataque a la firma RSA inició con dos correos phishing con asunto: “2011 Recruitment Plan”, enviado a dos pequeños grupos de empleados. Un empleado dio click en una de las hojas electrónicas adjuntas en el correo, el cual contenía un exploit de día cero, lo cual abrió una brecha de seguridad dentro de la empresa, lo que permitió que los atacantes tuviesen acceso a los sistemas de información críticos de la empresa y paso a la información relacionada con los productos SecureID, del cual son líderes en la industria de seguridad informática.

De otra parte tenemos el ataque del grupo “Anonymous” a la firma de seguridad HBGary Federal al inicio de este año. El ataque consistió en efectuar un engaño a un administrador de red, para que se diese acceso al sitio Rootkit.org, sitio web de investigaciones en seguridad informática mantenido por el fundador de la empresa Greg Hoglund, ocasionando desde allí un ingreso no autorizado a la empresa, ganando acceso a los sistemas interno de correo electrónico con datos sensibles y otra información crítica de la misma.

Finalmente el ataque a Google efectuado el año anterior, donde los atacantes recolectaron información publicada por los empleados de la firma en redes sociales como facebook y linkedid. Luego, configuraron un sitio web con fotos falsas, desde donde enviaban correos electrónicos que contenían enlaces al parecer confiables, dado que venían aparentemente de personas de confianza. Una vez, la personas hacía click sobre el enlace del correo, se descargaba un código malicioso, que abrió una brecha de seguridad que dio acceso a los servidores corporativos de Google.

APAv - Lecciones aprendidas y algunas por aprender

El foco fundamental de una APAv es atacar a los usuarios y no a las máquinas. Es un movimiento psicológico y de comportamiento basado en la información misma de las víctimas, que genera una falsa sensación de seguridad que permite al atacante, tener acceso a la infraestructura interna de las organizaciones. En este sentido, se hace necesario establecer iniciativas de monitoreo de cruce de información, balancear la necesidad natural de los empleados por descargar información, permitir dispositivos móviles en las redes internas y el acceso a redes sociales; un mundo de intereses cruzados que enfrenta los derechos fundamentales de los individuos y la exposición a los riesgos propia de las empresas con presencia en internet.

¿Qué hemos aprendido de los múltiples casos de uso efectivo de las APAv? Hagamos una mirada crítica sobre tres elementos fundamentales:

1. Nuestra naturaleza orientada a confiar en los demás. Esta condición sana y generosa que al interior de las empresas se genera por un ambiente de camaradería y motivación al trabajo en equipo, se ve mancillada y desvirtuada, frente a las APAv, dado que la información expuesta de las personas de la empresa en internet, opera como estrategia de inteligencia que permite abrazar la confianza de una comunidad, que de manera inadvertida acepta y entiende, que de personas conocidas podemos aceptar mensajes o comunicaciones, generando graves brechas de seguridad que comprometen el buen nombre y los activos intangibles de la empresa.

2. Manejo de las expectativas de las personas. Esta situación propia de los seres humanos, que generalmente busca alcanzar y satisfacer de manera natural, se ve oscurecida, cuando un tercero es capaz de conocer o inferir este tipo de deseos o anhelos, en los cuales encuentra el mejor motivador y motor para capturar la atención de sus víctimas. En este sentido, información sobre ascensos, ingresos, nuevos beneficios o incluso retiros de personas de las empresas, se vuelve sensible y clave a la hora de lanzar estratégicamente engaños electrónicos, que hagan sentido con las esperanzas e intereses de las personas en las organizaciones.

3. El afán de compartir información: si no estás en las redes sociales, no existes. Estamos en un mundo donde la información fluyen todo el tiempo. Es nuestro deber, saber que debe circular y que no, que información voy a compartir y cuáles serán sus implicaciones de hacerlo. Debemos tomar mejores decisiones informadas sobre los riesgos derivados de ubicar información en los medios electrónicos, sabiendo que al hacerlo estamos minando nuestro propio derecho a la privacidad y control de la misma. Así, mientras más conscientes seamos de la información que tenemos y compartimos, mejores experiencias tendremos al interactuar en la red.

Todo esto nos lleva indefectiblemente a cuestionarnos sobre el contexto futuro y emergente que nos traen las nuevas tendencias tecnológicas y propuestas de servicios, que no hacen otra cosa que motivarnos a mantener información en otros dominios, compartir información con otras personas y movilizarnos todo el tiempo sin restricciones de cables o lugares. Por tanto, se requiere hacer un pare en el camino y comenzar a desaprender de nuestros comportamientos actuales y concretar algunas recomendaciones que nos permitan disfrutar de manera responsable este nuevo entorno abierto, móvil y dinámico que nos proponen los nuevos desarrollos.

En este contexto, detallamos a continuación algunas lecciones que tenemos por aprender frente a los avances de las APAv, que prometen seguirnos sorprendiendo ahora en un universo personalizado en la nube y con empoderamiento permanente de los usuarios frente al uso de las tecnologías de información y comunicaciones.

1. Insistir en el valor de la información como activo crítico empresarial. ¿Por qué no le duele a las personas la información de la empresa? ¿Por qué sólo hasta cuando algo ocurre nos interesamos en el tratamiento de la información? La respuesta es sencilla, no existe un vínculo formal que permita valorar la información, como las cosas propias que afectan la vida de cada individuo. La información es algo externo a su realidad, que sólo es considerada importante, cuando la misma te afecta como persona en cualquier contexto de la vida.

2. Clasificar la información como práctica natural del tratamiento de la información. Todos sabemos que manejamos información privada y pública. Nadie quiere que se conozca parte de su vida y obra, a menos que cada uno lo autorice formalmente. De igual forma debería funcionar con la información empresarial, toda ella representa la vida y obra de la firma, mucha de ella habla de cosas que sólo le pertenece a la empresa, mientras otra está diseñada para ser compartida con el entorno. Así, mientras este ejercicio intuitivo que hacemos de manera personal, no sea una práctica natural en el entorno corporativo, continuaremos escuchando historias que nunca se debieron contar.

3. Promover sistemas de inteligencia y monitoreo preventivo sobre el flujo de información empresarial. Esta consideración advierte a las organizaciones que deben avanzar en el desarrollo de nuevas capacidades de detección de patrones competitivos y de amenazas informáticas en el contexto de sus relaciones de negocio, para establecer acciones preventivas que permitan anticiparse a futuros ataques o amenazas. Esto significa, que la información no será solamente un activo crítico, sino la fuente misma de las acciones de la organización frente a los retos de seguridad de la información que le sugiera su entorno, teniendo la capacidad de cambiarlo si es necesario.

Reflexiones finales

Conocer y advertir este tipo de estrategias de inteligencia informática, exige de cada una de las organizaciones, afianzar sus esfuerzos de entrenamiento y prácticas asociadas con el tratamiento de la información, dado que cada vez más habrá “comandos especializados”, que adelanten operaciones focalizadas para tener información sensible que requiere un tercero, utilizando como puente a alguno de los empleados. Por tanto, mientras más conciencia se tenga del nivel de exposición que se tiene frente al manejo de la información, mejor será el “mínimo de paranoia administrable” que cada una de las personas debe desarrollar.

En consecuencia y sabiendo que la situación no habrá de mejorar en el corto plazo, desarrolle una función de contrainteligencia informática sustentada en la formación y desarrollo de “firewalls” humanos, que compartiendo información y advirtiendo situaciones fuera de lo establecido, pueda distinguir la asimetría de la inseguridad de la información, a través de patrones de comportamiento emergentes y divergentes.

Finalmente y sabiendo que el adversario será persistente en su misión para lograr el acceso no autorizado, debemos advertirle, que si bien no conocemos qué nuevo movimiento estará planeando, si estaremos vigilantes y perseverantes para hacerles la vida más difícil, aprendiendo de nuestra maestra la inseguridad de la información.

Referencias

BEJTLICH, R. (2010) Understanding the advanced persistent threat. Information Security Magazine. July. Disponible en: http://searchsecurity.techtarget.com/magazineContent/Understanding-the-advanced-persistent-threat (Consultado: 6-06-2011)

SAVAGE, M. (2011) Gaining awareness to prevent social engineering techniques attacks. Information Security Magazine. May. Disponible en: http://searchsecurity.techtarget.com/magazineContent/Gaining-awareness-to-prevent-social-engineering-techniques-attacks (Consultado: 6-06-2011)

Pensar como el atacante: Mente y corazón de la inseguridad de la información

2011-05-09T00:36:00.000-05:00

Comenta recientemente un informe publicado en sitio web Darkreading.com: “In the world of cybercrime, bad guys work together. They share information; they build attacks together” cuya traducción podría ser: “En el mundo del cibercrimen, los chicos malos trabajan de manera conjunta. Ellos comparten información; construyen ataques juntos”.

En este contexto, podemos advertir que los atacantes entienden mejor la estrategia de continuar aprendiendo en conjunto, si bien, no con las motivaciones más loables del mundo, si con la consigna de lograr “mover” la línea de lo conocido y enfrentarse a desafíos más interesantes y fuera de lo común. Cuando los “chicos malos” establecen formas de confrontar la incertidumbre o la exigencia de la complejidad de una tecnología o método de protección, estamos asistiendo a una manera renovada de “ver donde otros no ven” y a una estrategia de aprendizaje encarnada en una forma diferente de ver el mundo y reconocer patrones fuera del statu quo.

Revisar esta frase, es revisar nuestros propios patrones de comportamiento y asociación frente al desafío de la inseguridad de la información. Mientras muchos analistas insisten en el paradigma de la seguridad de la información, buscando victorias efímeras y llenas de aplausos, aquellos que siguen el rumbo de la información asimétrica, de las notas al margen de los manuales y reportes, entienden que sólo en el reconocimiento de nuestras propias debilidades, se encuentra la fuerza misma para continuar afianzando nuestra posición frente a la inevitabilidad de la falla.

Pensar como un “atacante” ha sido la consigna que muchas publicaciones y analistas ha sugerido para seguirle la pista a los “chicos malos”. Pero una cosa es sugerirlo y otra volverlo una práctica. Podríamos hacer muchas reflexiones y cuestionamientos éticos sobre invitar a las personas a pensar como “el malvado”, pero se hace necesario transitar en la mente, algunas veces inestables, de estos, para descubrir la lectura paralela que debemos hacer de la realidad, romper la inercia de nuestros modelos mentales y comprender una “realidad” que se escapa a la nuestra.

Pensar como el “enemigo”, no es algo novedoso o restringido para un grupo de personas o especialistas en algunos temas, es una forma de navegar en la mente inquieta de una persona que razona sin restricciones propias de nuestro entender, para revelar patrones de acción que están presente en nuestro contexto, pero que “nuestros lentes” no nos permiten ver. Bien anota, Drucker (2002), cuando menciona que la innovación responde a fuentes básicas, donde se encuentran entre ellas, las incongruencias y las ocurrencias inesperadas.

Ejercitarse en el razonamiento de los atacantes informáticos, es encontrarse con la forma como entienden la tecnología, las motivaciones para su explotación y las condiciones en las cuales ellos se hacen uno con ella. Dentro de las múltiples formas de alcanzar la mente de un “chico malo”, está la revelación y gusto por la incertidumbre. Mientras un analista de seguridad, claramente bien fundado en las modelos generalmente aceptados, puede limitar la incertidumbre en su actuar, para ser prudente y estar alineado con las normas internas y externas; un atacantes busca expandir el nivel de incertidumbre para crear con nuevas posibilidades, que bien sabe su contraparte no podrá ver por estar atendiendo restricciones propias de su rol.

Para lograr pasar de la sugerencia de pensar como los atacantes y hacerlo una práctica evidente en las organizaciones, se requiere un escenario experimental que cuente con recursos propios y alcances determinados, donde se pueda abrir la mente a renovadas fuentes de ideas, sin que se exijan resultados inmediatos o esperados. Un sitio como estos, deberá está fundado en un real compromiso de aprendizaje de la organización, que declarando que no sabe y quiere aprender, es capaz de asumir el costo que exige lanzarse a tener una “incubadora de innovación para la inseguridad de la información”, que no sabe qué efectos tendrá, pero que será un observatorio privilegiado del negocio, para divisar, al menos en un contexto conocido, cuáles pueden ser los patrones que se pueden advertir frente a los riesgos en sus flujos de información.

Pensar como el “atacante”, es una estrategia arriesgada, en la que no podemos dimensionar el retorno de la inversión de la forma como lo espera la lógica conocida, sino que puede hacerlo en cualquier momento y de manera inusual. De igual forma, es una estrategia que con supervisión inadecuada puede romper los límites de su diseño y ser víctima de sus propios deseos, una tentación natural cuando nos acercamos a la esencia misma de nuestra naturaleza caída.

Si la inseguridad de la información reconoce en la sabiduría del error, de la sorpresa, de lo inesperado, la fuente misma de conocimiento y renovación de su propia esencia; el pensar como el atacante nos confirma en nuestra pasión por desaprender, por dejarnos sorprender y encontrar con las contradicciones entre la tecnología, los procesos y las personas; nuevas excusas para revisar y analizar aquellas relaciones que hacen de nuestra realidad, un mundo más asincrónico, asimétrico y orquestado por un caos aparente, donde la vulnerabilidad o la falla escribe derecho con letras torcidas.

Experimentar y practicar “pensar como el atacante” debe ser más que una filosofía o un buen deseo; debe ser una necesidad y una forma de cuestionar nuestros modelos de protección, que nos permita retar los marcos metodológicos actuales, para fundar una cátedra paralela y exigente que apalanque las estrategias de generación de valor de la empresa, no como un agregado de la misma, sino como factor crítico de éxito y movilizador de nuevos negocios.

En este punto de la reflexión, muchos estarán pensando “¿no será muy arriesgado aplicar esta estrategia?”, “¿será que esto realmente se puede dar en una empresa?” o cuestionamientos semejantes, que hacen evidente nuestro sistemas de alertas propios de la sana prudencia y el analista de seguridad que todos llevamos dentro. No obstante lo anterior, este tipo de iniciativas responden a un nivel de madurez de la función de seguridad de la información y al posicionamiento de la misma en las organizaciones, pues los márgenes de utilidad que se puedan alcanzar con esta iniciativa, no se podrán evidenciar en el corto plazo, sino en el mediano y largo plazo, dadas las condiciones en las cuales se manifiesta la “innovación propia” de la inseguridad.

Dicen algunas personas que “no es bueno siempre tener la razón”, pues nos perdemos la oportunidad de ver otros puntos de vista y dejamos “líneas ocultas” en nuestras reflexiones. En este sentido, pensar como el atacante, es buscar siempre buenas razones para revisar las “consideraciones de otros”, encontrar las limitaciones de los argumentos y aprender a ver lo que subyace entre las líneas de código, los comportamientos humanos y diseños de los procesos. Un atacante no va sugerirte un forma de actuar, va a actuar para retarte a pensar, es decir, más allá de las motivaciones contrarias que este pueda tener, pondrá en la mesa de juego sus mejores habilidades para jugar con la incertidumbre y hacerte parte de su ecuación de análisis.

No hemos querido con este documento hacer una apología o defensa de los atacantes informáticos, sino asomarnos de manera silenciosa y prudente a su mente diferente y activa para comprender algunos de sus patrones y referentes, que puedan ser de utilidad para los responsables de la seguridad de la información, no como simples espectadores de sus acciones, sino como una forma de abrir la mente y el corazón, para que como se describe en las Sagradas Escrituras, podamos afirmar “por sus obras los conoceréis”.

Referencias

DRUCKER, P. (2002) The discipline of Innovation. The innovative enterprise. Harvard Business Review. August. Disponible en: http://www.engr.pitt.edu/mac/images-t/articles%20and%20docs/DisciplineofInnovation.pdf (Consultado: 6-12-2010)

Las nuevas posibilidades para el cibercrimen: el desafío de un ecosistema tecnológico

2011-04-30T00:31:00.000-05:00

Los gerentes de seguridad de la información deben reconocer que ahora se encuentran en un ecosistema tecnológico, donde terceros hacen parte de su ecuación de seguridad y continuidad, dado que grandes jugadores como Microsoft, Google, Amazon, entre otros, hacen parte de los elementos fundamentales de la malla de interacción y operación que no deben descuidar so pena de encontrarse con pérdidas de la eficiencia de la operación y compromisos, posiblemente, de sus datos frente a la demanda de servicios crecientes en las organizaciones. (MATHER, T., KUMARASWAMY, S. y LATIF, S. 2009)

De otra parte, con el creciente uso de las redes sociales, los ambientes tridimensionales (second life) y las interacciones comerciales vía internet, se advierte un tráfico de información e intereses ocultos de terceros para identificar información de carácter financiero útil para alimentar redes criminales, que articuladas en contactos con operadores internacionales, son capaces de generar avanzados y sofisticados ataques con programas espías o códigos móviles a través de los navegadores de uso común sin despertar sospechas entre los cibernautas. Un escenario donde el dinero real, circula y se usa en un mundo virtual, generando una confusión evidente que pierde los límites entre lo que se vive en un ambiente simulado y las transacciones virtuales con flujo de autorizaciones de patrimonios reales.

El cuadro de la ciberdelincuencia en los próximos 10 años se expande con una tendencia que desde hace más de cinco años se viene desarrollando, apalancada en programas zombies que toman control de las máquinas de los usuarios, generalmente fruto de lo que podríamos denominar una pobre higiene informática, haciéndolos vulnerables a las trampas y artilugios de los desadaptados informáticos. Si bien, estas acciones de redes de programas “zombies” denominadas “botnets”, se ha manifestado con importantes ataques a infraestructuras de diferentes partes del mundo, se prevé que estas mismas posibilidades, se extiendan en un concepto semejante al de computación en la nube, generando nuevas posibilidades más profundas y menos rastreables, que podríamos denominar “fraude como servicio”.

Esta nueva tendencia del “fraude como servicio” es una estrategia de la criminalidad organizada que busca ofrecer al mejor postor las redes y posibilidades de interrupción o penetración masiva de infraestructuras o sitios, con el fin de llevar a cabo importantes ataques que muestren las nuevas capacidades de los delincuentes informáticos para ser un brazo armado de la ilegalidad del mundo real, ahora en el mundo virtual, donde las zonas de monitoreo y control son limitadas y donde pocas veces, las naciones llevan sus acciones con alcance trasnacional, pues saben de las barreras y diferencias jurisdiccionales que las restringen.

Complementario al escenario anterior, el fuerte desarrollo de las comunicaciones móviles y el empoderamiento de las personas con mayor capacidad de cómputo en sus manos, nos movemos rápidamente hacia el concepto del “locker digital en la nube”, cuya llave será el dispositivo móvil que podamos tener: iphone, ipad, smart phones, entre otros, lo que hace que los datos y la información personal comience a migrar a sitios diversos en la infraestructura dispuesta en internet, sin un aparente control por parte de sus dueños, retando a los proveedores de servicios para desarrollar buenas prácticas de seguridad y control que permitan aumentar la confianza de sus clientes frente a las amenazas constantes de pérdida de confidencialidad y/o disponibilidad de dicha información.

En consecuencia, una falta de atención a las amenazas de seguridad en un ambiente abierto e interconectado, crea un vector de ataque impredecible, que articulado con una “confianza inusual” de los jóvenes de ciudadanos digitales en los medios informáticos, establece un tejido oculto y desafiante que mimetiza a los atacantes, creando un ecosistema paralelo y dependiente donde los cautivos usuarios serán objeto de acciones indeseadas o en el peor de los casos, actos que atenten contra su integridad física. (COUNCIL OF EUROPE 2007, CANO, J., CAVALLER, V. y SABILLON, R. 2008)

Al tener un colectivo de visiones en un espacio prácticamente infinito como lo es internet, podemos tener grandes beneficios como alto niveles de transparencia y responsabilidad por lo que se hace o deja de hacer, pero de igual forma, una puerta para abandonar y evadir cualquier investigación (CANO, J. 2009) que trate de llegar a la verdad. Por tanto, construir una visión de seguridad global o al menos local, exige la creación de un espacio de confianza psicológica y tecnológica, que motive en los participantes, la aplicación de prácticas que limiten las acciones de los terceros no autorizados.

Por tanto, si queremos alcanzar un resultado evidente en la gestión de la inseguridad de la información y lucha contra el cibercrimen, debemos entender la brecha entre nuestra realidad y la visión deseada en un ecosistema tecnológico sano, resiliente y autocontrolado, para construir de esta forma, una ruta de medios ajustados con la exigencia de la inevitabilidad de la falla y la pasión por un fin, que no es otra cosa que “sobreponernos a nosotros mismos, descubrir las virtudes de otros y potenciar nuestros talentos y dones” y así poder responder con oportunidad, cuando nuestros maestros “la inseguridad y el cibercrimen” nos presenten una nueva lección.

Referencias

MATHER, T., KUMARASWAMY, S. y LATIF, S. (2009) Cloud Security and Privacy. O’Reilly.

CANO, J., CAVALLER, V. y SABILLON, R. (2008) Cibercrimen y ciberterrorismo. Dos amenazas emergentes en un contexto global. (2008) Memorias del I Congreso Nacional de Inteligencia. Universidad Rey Juan Carlos. Madrid, España.

COUNCIL OF EUROPE (2007) Cyberterrorism. The use of internet for terrorist purposes. Counter-terrorism Task Force. Council of Europe Publishing.

CANO, J. (2009) Computación Forense. Descubriendo los rastros informáticos. Editorial AlfaOmega.

Postura individual de seguridad de la información: Un hábito requerido para sobrevivir ante la inevitabilidad de la falla.

2011-03-13T21:49:00.000-05:00

Cuando se lee en los principales medios informativos en el mundo sobre la amenaza de ciberguerras, sobre armas no convencionales soportadas en desarrollos tecnológicos, ciberataques y grupos o asociaciones técnicas y/o científicas que comprometen la seguridad de las infraestructuras tecnológicas de los gobiernos y naciones, o se filtran informaciones clasificadas como secretas o ultra secretas, como se presentó recientemente con Francia, se nos viene a la cabeza historias como las de Julio Verne, que en su momento desafiaron nuestro entendimiento y confrontaron nuestra realidad.

Sin embargo, hablar de fraude en un ambiente digital, de cibercriminalidad, de vulnerabilidades e inseguridad de la información ya no es desconocido en nuestro entorno; no obstante lo anterior, seguimos conquistados por la novedad de la tecnología y sus posibilidades, con una extraña confianza en ella, como si el proveedor cuidara de los detalles de seguridad y control, como parte inherente de la entrega del producto. En este sentido, cada uno de nosotros debe advertir que al estar en un ambiente de alta conectividad y componente informático, nos vemos expuestos a operar en un escenario donde se nos “pide” compartir información, detallar configuraciones de nuestros dispositivos móviles y muchas veces entregar las especificaciones de los medios tecnológicos propios para entrar en contacto con aquello que queremos o necesitamos. (GRAGIDO, W. y PIRC, J. 2011)

Como quiera que esta manifestación de una tendencia informática en la que nos encontramos indefectiblemente nos va a atrapar, se hace imperioso desarrollar y aumentar nuestra postura de seguridad de manera proactiva, que nos permita como ciudadanos de las redes, caminar con las medidas mínimas de seguridad y control, no para evitar ser alcanzado por la inseguridad de la información o la infraestructura, sino para ser más responsables y disciplinados en nuestras interacciones en el mundo digital que nos lleva más allá de la realidad en que vivimos. (GIRGENTI, R. y HEDLEY, T. 2011)

Hoy por los CIO – Chief Information Officer, o llamados Vicepresidentes o Directores de Tecnología de Información o mal llamados de Sistemas, se enfrentan al desafío de una sociedad altamente alfabetizada en temas tecnológicos, la cual le exige día con día mayor velocidad, mayor capacidad y mayor libertad de acción, para hacer de la experiencia de la tecnología en las empresas, una forma de aumentar la productividad de sus empleados. En este tenor, en la aparente libertad y posibilidades que se abren con los desarrollos tecnológicos, se esconden costos humanos, técnicos y procedimentales, que aún estamos por descubrir.

De otra parte, los oficiales de seguridad de la información, como ejecutivos responsables de las estrategias de protección de la información de las empresas, al igual que sus similares (CIO), sufren de las exigencias de los individuos, que demandan servicios y posibilidades que conquisten lo mejor de los dos mundos: la novedad y versatilidad de las tecnologías móviles e interactivas, con lo mejor de las condiciones de seguridad y control disponibles en el mercado. Así las cosas y sin perjuicio de las implicaciones que esta “espinosa” realidad establece, encontrar el balance ideal o al menos requerido para entregar lo mejor a los ansiosos “usuarios” es una labor donde ambos mundos deberán ceder en sus demandas y conciliar una posición intermedia, donde ninguno de los actores sea parte dominante.

Hablar de una sociedad digital, donde día con día se abren posibilidades y negocios novedosos con la información, la movilidad y la vida virtual, es entender una transición de un modelo de sociedad conocida y validada por comportamientos del mundo físico y real, a uno donde la vida transcurre siempre “en línea”, conectado y compartiendo información, donde las distancias no existen y los límites se desdibujan con un “click”.

Este es un momento histórico de transformación de la sociedad que conocemos y abrirnos a una nueva forma de interacción, que no permite demoras en la respuesta y entiende que en la movilidad esta la respuesta a su vida agitada y de comunicación, aún ésta no alcance el sentido real y formal que exige la misma.

Desarrollar una postura real y práctica de seguridad y control en una sociedad como la actual, en transición y concentrada en el movimiento permanente de información y tecnología, requiere integrar a nuestras acciones al menos cuatro elementos conceptuales y sencillos, que nos permitan contar con las alertas mínimas requeridas para caminar por el pedregoso mundo de la inseguridad de la información en un ambiente digital.

Siguiendo los conceptos expuestos por Westerman y Hunter (2007) en su libro, IT Risk. Turning business threats into competitive advantage, publicado por Harvard Business School Press en 2007, el lenguaje de los riesgos de la tecnología de información es una herramienta fundamental y básica que nos debe sensibilizar para avanzar en la construcción de una red de actividades cotidianas para asegurar una adecuada interacción con internet y todo lo que ella conlleva.

Según los autores, los temas de disponibilidad, control de acceso, exactitud y agilidad deben ser el nuevo modelo de entendimiento de nuestra relación con la avalancha de exigencias de movilidad y la realidad de la sociedad digital. Como se puede observar, estas cuatro palabras, no hablan de restricciones o conductas que requieran entendimientos sofisticados, sino más bien de acciones conocidas y disciplinadas para hacer de nuestra experiencia informática y tecnológica, una verdadera renovación permanente de nuestro entendimiento de la red y sus posibilidades.

Cuando hablamos de disponibilidad, no demandamos ni establecemos niveles de exigencia del 99.9% de operación de las plataformas de los proveedores de servicios de información, sino nuestras estrategias y acciones para estar preparados y continuar funcionando cuando el 0.1% se materialice. Esto es, tener la disciplina de mantener resguardados nuestros datos y la forma de tener acceso a ellos, mientras la condición de falla parcial o total se presenta. Así, la disponibilidad vista de esta forma, nos mantiene entrenados en la práctica de la prevención, que a todas luces resulta más económica que una actividad reactiva o de reparación.

De igual forma, cuando de control de acceso se trata, no estamos hablando de restricciones o formas de evitar que la información se conozca, sino de la forma cómo nosotros seleccionamos a quién(es) permitimos conocer nuestra información; hablamos del cuidado que tenemos para cuidar nuestros documentos personales y privados, del algoritmo personal que utilizamos para saber quién digno de nuestra confianza y cómo aseguramos que la información no toma caminos equivocados que terminen comprometiendo nuestra imagen, nuestras acciones e incluso poner en riesgo la vida misma o la de otros.

Revisar el tema de la exactitud, en inglés, accuracy, es advertir la gran huella digital que dejamos al navegar por internet, el conjunto de datos que constantemente estamos registrando en los diferentes sitios, que con el paso del tiempo se confunden y pierden su relación, por la renovación permanente de esta biblioteca 7x24x365 como lo es internet. Al no advertir esta realidad, la sombra digital, es decir, aquellas cosas que se puede decir con nuestra información, inmersa en los registros y documentos que dejamos al visitar la red, podrá ser susceptible de interpretación por los navegantes o utilizada por terceros inescrupulosos para crear los peores momentos de contradicción y riesgo, con un manejo inexacto de nuestra realidad, que cuestione incluso nuestros valores, actividades y manifestaciones dejando en entredicho lo que somos y hacemos.

La exactitud es esa responsabilidad que todos debemos tener con el manejo de nuestra información en cualquier escenario tecnológico, como esa conciencia permanente de nuestro actuar e interacción con la red, que nos permite mantener la prudencia en lo que compartimos, conversamos y revelamos, pues al final del día, todo lo que digamos, compartamos o revelemos será nuestra pesadilla o nuestra redención.

Finalmente la agilidad, es esa condición y característica que la tecnología debe brindar para hacer que las cosas pasen, ese entendimiento de cómo comprender las necesidades de los individuos y articular los modelos de negocios de las empresas. La agilidad, se alcanza sólo si se cuentan con buenos elementos de seguridad y control. Es decir, nadie es tan avezado y temerario (bueno, ¿algunos pocos?) de conducir un vehículo a muy alta velocidad, sin contar con un sistema o mecanismo de control que le permita detenerse cuando es debido. De igual forma, la agilidad en términos tecnológicos y en el paisaje de la red mundial de información, no podrá avanzar más rápido y de manera decidida, sin contar con unos buenos sistemas de seguridad y control, que permitan acelerar su desarrollo e integración con los diferentes actores sociales.

En este sentido, se hace necesario entender la agilidad en el contexto de los sistemas de protección y prácticas de seguridad de la información, que permitan tanto a los habitantes de la red, como a los proveedores, encontrar rutas alternas, que utilizando las condiciones básicas de aseguramiento de sus plataformas y las buenas práctica de protección y control de la información, establezcan la plataforma de aceleración que beneficie tanto a los individuos como a las empresas para alcanzar mayores niveles de desarrollo y generación de valor para sus accionistas y grupos de interés.

Considerando estas cuatro condiciones o elementos de reflexión, podemos establecer lo que podríamos llamar una postura individual de seguridad de la información que nos permitan mantener un nivel mínimo de paranoia administrable, que mantenga un sistema de alertas prudente y proactivo; que exija de nosotros una adecuada protección de la información, entendida como el hábito en el que desarrollamos una disciplina permanente para entender los riesgos a los cuales está expuesta, como parte natural de nuestro diario vivir en medio de una sociedad de la información y el conocimiento.

En consecuencia, cuando nos apropiamos de las prácticas de seguridad de la información, de nuestra preparación ante los sucesos inesperados, de nuestra responsabilidad sobre la circulación de la información, de nuestra forma de cómo brindamos acceso a ella, y entendemos que la velocidad de nuestra interacción con la red, depende de nuestros sistemas de seguridad y control, estamos creando un sistema de detección de amenazas inherente a las interacciones sociales digitales, que evoluciona conforme la exigencia de la red lo requiere, no como un estrategia de regulación impuesta por un tercero, sino como referente natural del mismo sistema, que cuestiona, enfrenta y descubre las intenciones de aquellos que quieren atentar contra el orden que balancea las más exigentes necesidades de los individuos y las condiciones de seguridad y control requeridas para su adecuado desempeño.

Si bien aún estamos muy distantes de este ideal, sea esta reflexión una excusa académica para cuestionar nuestra zona de confort y poner a tambalear la inercia misma donde descansa nuestra postura individual frente a la protección de la información.

Referencias

WESTERMAN, G. y HUNTER, R. (2007) IT Risk. Turning business threats into competitive advantage. Harvard Business School Press.

GIRGENTI, R. y HEDLEY, T. (2011) Managing the risk of fraud and misconduct. Meeting the challenges of a global, regulated, and digital environment. McGraw Hill

GRAGIDO, W. y PIRC, J. (2011) Cybercrime and espionaje. An analysis of subsersive multivector threats. Syngress.

Cibercrimen: Evolución y desafíos en una sociedad digital

2011-03-06T21:20:00.000-05:00

Hablar de cibercrimen, de delitos informáticos, de ciberdelicuencia, de crímenes por computador, u otra denominación semejante, pareciera que detallara reflexiones en terrenos desconocidos, efímeros o contradictorios para una sociedad de la información y el conocimiento, una sociedad donde estamos acostumbrados a la conectividad, donde somos adictos a la información y sobre manera nos encanta estar en movimiento.

En este sentido, comprender las conductas punibles en este contexto requiere analizar un perfil diferente de delincuencia, que si bien mantiene los viejos hábitos del crimen en el mundo real, propiciados muchas veces por nuestra constante exposición e inadecuado manejo de los riesgos, establece un reto interesante para todos aquellos que deseamos entender el modus operandi de estos nuevos actores y sus oscuros propósitos en una sociedad digital.

Siguiendo algunos apuntes del libro de GRAGIDO y PIRC (2011) en sus capítulos siete y ocho, trataremos de plantear algunas ideas sobre cómo estos nuevos ciberactores del mal, encuentran en algunas variables sociales nuevas motivaciones para marcar una nueva diferencia en el desarrollo de actividades delictivas, utilizando a la tecnología como cómplice y medio para materializar sus acciones.

De acuerdo con los autores para comprender mejor el fenómeno del cibercrimen, se hace necesario considerar al menos tres variables básicas, que responden primordialmente a modelos generales de comprensión de esta realidad, al cual se le agrega un elemento denominado vector de ataque, que busca incorporar en la ecuación planteada, el abuso de los servicios tecnológicos o los usos de técnicas de hacking tradicionales y elaboradas, con el fin de materializar sus actos y generar la zozobra y la inestabilidad en el entorno donde se manifiesten.

(1) Experiencia + Motivación + Vector de Ataque = Resultado

La experiencia es una variable que mide la habilidad del ciber actor, su nivel de exposición a la tecnología y sus usos, las habilidades que posee para desarrollar sus actividades, sus contactos personales y capacidad de diseño de ataques que permitan o no su posterior nivel de rastreo. La experiencia nos dice con quién estamos tratando, quién es la persona que debemos comprender y qué destrezas requerimos para avanzar en su seguimiento, análisis y estrategias para su judicialización.

De otra parte y de manera complementaria tenemos la motivación, esa fuerza interior que mueve al posible delincuente para adelantar sus acciones, esa movilización de la voluntad bien centrada en el reto con la máquina, o en las creencias o racionalizaciones válidas en su mundo, que permiten encontrar en la acción punible una respuesta a sus necesidades o reflexiones más íntimas. De igual forma, a través de la motivación, es posible explicar aquellos modus operandi planteados por el delincuente, siempre y cuando sea posible estudiar el contexto de sus relaciones con otras personas o círculo de influencia, que de manera importante determinan las actuaciones de estos individuos.

El vector de ataque es una variable interesante, pues vincula tanto la experiencia como la motivación en el escenario de ataque, con el fin de validar cómo las habilidades y móviles personales o grupales, hacen evidente la aplicación de las técnicas y tecnologías para lograr sus propósitos. Comprender con claridad la experiencia o el expertise del atacante, así como sus motivaciones, establece un claro contexto para desarrollar acciones que permiten tomar acciones proactivas para prevenir futuros movimientos, sin embargo, no es suficiente pues los vectores de ataque son los que establecen los móviles de operación que al final hacen la diferencia en las investigaciones de sus acciones de manera posterior.

Se dice que actualmente el cibercrimen responde a intereses de mafias organizadas y organizaciones criminales internacionales, que tienden sus redes a través de comunicaciones abiertas y tradicionales para evadir el cerco de las autoridades internacionales. Si bien comprenden que las conductas tradicionales como robo, falsificación, manipulación, asalto, suplantación entre otras, son verbos que conocen y conjugan muy bien, se están moviendo en el diseño de nuevas redes de apoyo y servicios para hacerlo de manera masiva, a bajo costo y de difícil rastreo.

En consecuencia, estamos observando cómo cada vez más advertimos organizaciones criminales, perfectamente instaladas, con roles y responsabilidades que articulan las diferentes habilidades y potencialidades de sus integrantes con el fin de alcanzar sus acciones de manera efectiva con las consideraciones planteadas en el párrafo anterior. Así, se pueden encontrar hoy en las organizaciones de este estilo las mulas electrónicas, programadores o codificadores, distribuidores, hackers, defraudadores (ingenieros sociales), los recolectores de cuentas de correo o cuentas bancarias, por supuesto, los líderes de la organización. (GORMAN, S. 2010)

Esto lo que nos dice es que el “crimen está organizado”, que se prepara para competir en un entorno digital no solamente contra los desprevenidos ciudadanos “de a pie”, sino para entrar en la grandes ligas, como son las empresas y los estados. No por nada, cada vez que se presenta en público un nuevo producto tecnológico o una estrategia comercial de apoyo a la gestión de la empresa, se encuentran nuevas propuestas de “aprovechamiento” por parte de la delincuencia, pues ellos entienden que hacer significa ganar una diferencia importante para consolidar sus estrategias en esta sociedad digital.

Algunos ejemplos de esta situación lo podemos ver en reciente incidente con el troyano denominado ZEUS, el cual estaba orientado hacia los temas financieros, cuyo modus operandi conocía claramente los controles financieros y las estructuras de seguimiento a las transacciones bancarias, para lo cual se utilizaron diferentes pasaportes de diferentes nacionalidades para materializar el ilícito, una estrategia que se sustenta en la habilidad para usar los controles establecidos en contra de sus propios diseñadores. La mayoría de las transacciones efectuadas tuvieron como actividades básicas el robo de identidad, el robo de números de tarjetas de crédito, el lavado de dinero, la explotación de vulnerabilidades y la venta de servicios. (SCARBOROUGH, T. 2010)

Así como este caso, se tienen documentadas actividades más elaborados alrededor de temas como negación de servicios gubernamentales, espionaje militar, desarrollo de capacidades basados en ciberarmas (botnets avanzadas para negación de servicios y espionaje, armas de pulsos electromagnéticos, modificaciones de hardware y software con fines destructivos o espionaje, bombas lógicas avanzadas, virus a la medida: polimórficos, de hipercontagio, multiplataforma y cifrados), las cuales nos hablan de un nuevo escenario de guerra y diferenciación estratégica de estados y organizaciones, que se mueven entre lo legal y lo ilegal.

Si durante la década de los 90’s internet era una biblioteca en línea, donde podíamos encontrar lo que necesitábamos, así como tener una experiencia diferente para ser parte de un nuevo mundo, de una realidad extendida y llena de oportunidades, durante la primera década del nuevo milenio, internet es una capacidad necesaria para competir en un terreno global y estar en permanente contacto con los clientes, quienes ahora están más informados, empoderados y demandantes de nuevos servicios para seguir una experiencia extrema en el uso de la red y así retar a diario su modelo de operación y de negocios.

En los albores de una nueva década (2010 – 2020) estamos a la espera de un nuevo amanecer de posibilidades como dinero electrónico, banca totalmente móvil, locker digital en la nube, medicina basada en telemetría, mundos tridimensionales extendidos y móviles, redes inalámbricas en la nube, servicios de telecomunicaciones planos y gratuitos, redes extendidas de contenidos agregados y personalizados, en fin una gama abierta de oportunidades, que estarán monitoreadas por la delincuencia digital organizada, que se ha venido preparando para competir en estos mismos terrenos (fraude como servicio, hacking como servicio, virus como servicio, entre otros), entendiendo estos desafíos y cómo evolucionan las motivaciones de sus posibles objetivos, para de la mano con su cómplice, la inseguridad de la información, nos pueda sorprender y cuestionar frente a nuestros comportamientos, hábitos, rutinas y posturas frente a la protección de la información.

Si bien aún nos falta mucho camino por recorrer en el entendimiento del cibercrimen, debemos estar atentos a los rastros que se advierten en cada incursión de la delincuencia organizada, para que podamos de manera conjunta continuar analizando sus patrones de actuación, capitalizando nuestro conocimiento del enemigo y así, afirmar como lo advirtió Kennedy en su momento:

“Los problemas no están todos resueltos y las batallas no están todas ganadas; y estamos hoy al borde de una nueva frontera, una frontera de desconocidas oportunidades y peligros, una frontera de esperanzas y amenazas no cumplidas”.

Por tanto, se hace necesario mantenernos extraviados y confundidos en nuestro camino, para poder desaprender en medio del incertidumbre y así, enfrentar la contradicción que nos propone la delincuencia frente a nuestros controles y la confianza que debemos desarrollar frente a los medios y posibilidades en las plataformas basadas en tecnologías de información y comunicaciones.

Referencias
SCARBOROUGH, T. (2010) Electronic Fraud and the Evolution of Cybercrime. Disponible en: http://www.kasbo.com/documents/2010_Spring_Handouts/8B-Electronic%20Fraud%20&%20the%20Evolution%20of%20CyberCrime%20Optimized.pdf (Consultado: 7-03-2011)
GORMAN, S. (2010) 'Hackers' atacan a miles de empresas y agencias gubernamentales en 196 países. http://sonicwallblog.blogspot.com/2010/02/hackers-atacan-miles-de-empresas-y.html (Consultado: 7-03-2011)
GRAGIDO, W. y PIRC, J. (2011) Cybercrime and espionaje. An analysis of subsersive multivector threats. Syngress.

Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's

2011-02-14T00:30:00.000-05:00

¿Quiénes son los arquitectos?

Frecuentemente se habla de arquitecturas, de arquitectos, elementos y personalidades que poco a poco han tomado forma en medio de diferente temáticas como tecnología de información, seguridad de la información, talento humano, liderazgo entre otros campos. Cuando revisamos la etimología de la palabra arquitectura, encontramos que proviene del griego αρχ (arch, cuyo significado es ‘jefe’, ‘quien tiene el mando’), y τεκτων (tekton, es decir, ‘constructor’ o ‘carpintero’), que de manera combinada podría leerse como “jefe constructor”, esa persona que orienta, dirige y mantiene el rumbo para asegurar que cada pieza sea la requerida y mantenga la vista general y articulada de todo cuanto se tiene.

El arquitecto es quien de manera sistemática y sistémica define y mantienen las relaciones entre los elementos, le da forma a la estructura y define su propio funcionamiento. Ser un arquitecto es encontrarle el sentido a cada unión de los componentes, entendiendo su función en el conjunto de su obra, una forma de conjugar diferentes vistas de los participantes e interesados para ser luz en medio de las “turbas” de los diferentes entendimientos. Ser un “maestro constructor”, es traducir la complejidad y la visión de un diseño, en la sencillez de una expresión, en la cotidianidad de una explicación y en la contundencia de una declaración.

Avanzar en el diseño de una arquitectura, es decir, de una forma de articular y entender una realidad, es sumar en la reconstrucción de una verdad vista por múltiples actores, planteando una serie de patrones y parámetros para hacer de la visión de la estructura final, una ruta concreta y desafiante que permite a cada uno de sus participantes, sentirse orgulloso de un logro colectivo. El arquitecto no puede permitirse “errores de interpretación” o la tentación de “tener la verdad”, pues corre el riesgo de encontrarse con su propio reflejo, que no es otra cosa que su limitado entendimiento del enfoque final del proyecto.

En este sentido, tener la responsabilidad de ser un arquitecto de tecnología de información, de seguridad de la información, de la estrategia corporativa de una organización, requiere ir más allá del entendimiento de su propia área de conocimiento y forzarse a cruzar sus dominios y descubrir aquellas relaciones que antes no había visto, encontrarse con la esencia misma de la incertidumbre, para trazar un camino evolutivo que lo lleve de una vista particular, a una colectiva y enriquecida con las reflexiones de otros.

Un arquitecto que se niegue a vivir la realidad de su misión: ser facilitador de una visión colectiva de un equipo, sabrá que será responsable por las consecuencias de las inconsistencias que se planteen en el desarrollo de sus planes, pues el que debiendo ser luz, se vuelve tiniebla, corrompe la sal que “da sabor” a la fuente de la perspectiva y limita el desarrollo del potencial de la comunidad, de la cual es mentor.

Así las cosas, los arquitectos, esos jefes de construcciones técnicas, deben ir en profundidad de sus propias limitaciones, para que haciéndolas evidentes en cada una de sus actuaciones, puedan ser ocasión para descubrirse a sí mismos. Por tanto, avanzar en el reconocimiento de principios básicos de arquitectura, es recabar en la historia reciente de la humanidad que desafiante de la obra divina, es capaz de vivir la humildad de su propio conocimiento.

Finalmente y sabiendo que todos somos responsables para lograr la “maestría del constructor”, es necesario reconocernos finitos y limitados, para encontrar el camino que nos lleva la “veritas”, esa promesa divina y búsqueda humana, que se esconde en cada uno de nuestros pensamientos, en cada disciplina científica, en cada esfuerzo humano y técnico que hace de cada día, la experiencia más exigente y desafiante que podemos experimentar: vivir en plenitud y sin límites.

Reflexiones para los arquitectos de seguridad de la información

En este sentido, un arquitecto de seguridad de la información y todo su conocimiento deberá servir de “tapete” para que sea mancillado y puesto a prueba por las “huestes” de la inseguridad de la información y así, aprender de cada paso de sus maestros, la exigencia del reto de encontrar sentido y valor para ver más allá de lo evidente y escribir “derecho” con las letras “torcidas”.

Todo aquel que en seguridad de la información acepte el reto de ser un arquitecto, deberá soltar la vista de la infraestructura tecnológica y sumergirse en el mar de las relaciones de los negocios, no para saber cómo alcanzar mayor reconocimiento corporativo, sino para descubrir en las esencia misma de cada estrategia corporativa, cómo apalancar la diferencia desequilibrante, en un mercado altamente competitivo y dinámico.

Los arquitectos de seguridad de la información deben encontrar en su organización, el mejor laboratorio conceptual y arquitectónico para poner a prueba su entendimiento de los negocios y las promesas de valor basadas en la confianza corporativa, con el fin de esbozar con mayores detalles las estructuras más adecuadas para anticiparse a los ataques propios de la inseguridad de la información replegada en la articulación de la tecnología, las personas y los procesos.

En consecuencia, avanzar en una vista empresarial de la arquitectura de seguridad de la información, es reconocer en las capacidades del negocio, fuerzas y mecanismos anticipatorios, que permitan proteger los flujos de información que alimentan la estrategia. Es buscar en la sabiduría de los incidentes de seguridad, el conocimiento requerido para blindar las respuestas de la organización frente a sus amenazas. Es comprender las expectativas de los interesados, como retos y sugerencias de transformación que hacen de las estrategias de seguridad de la información, un insumo real y evidente de cómo se logran las metas empresariales.

Cuando el gerente, director o ejecutivo de seguridad de la información, reconoce en la arquitectura empresarial, cómo se hace parte de la dinámica de la corporación misma, revela los disparadores escondidos del programa de seguridad de la información, amplía la visión del modelo de negocios y es consciente del impacto de sus decisiones frente a la protección de la información.

Si bien existen múltiples formas de aproximarse al diseño de una arquitectura de seguridad, cualquiera que se escoja deberá tener en cuenta al menos cuatro elementos fundamentales: la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos. Estos cuatro elementos, visto de manera sistémica, revelan las necesidades propias de una organización frente al reto de hacer de la información un activo valioso y de su protección, una práctica sistemática inmersa en cada elemento de ella.

Por tanto, los arquitectos de seguridad de la información deberán compartir y alinear la agenda interna de la alta gerencia, con la agenda interna del área de seguridad de la información, no para estar enterados de los retos y ajustes empresarial, sino para afinar y ajustar sus acciones frente a las amenazas empresariales del entorno y, cómo desde el entendimiento de los riesgos de la información, generar escenarios predictivos y preventivos que custodien la forma como la empresa genera valor para sus accionistas y empleados.

Para dar cumplimiento a esta promesa del arquitecto de seguridad, se deben considerar algunas declaraciones de diseño que no pueden ser negociables y menos hoy en un ambiente móvil, de sobrecarga de información y de servicios extendidos.

Las declaraciones sugeridas son:

• La inseguridad de la información en una propiedad inherente de un sistema, por tanto es deber de la arquitectura descubrirla y entenderla.

• La arquitectura de seguridad de la información deberá ser flexible y adaptable como la inseguridad de la información (Resilente).

• El arquitecto debe entender que la seguridad es una propiedad emergente de un sistema y por tanto, deberá generar la variedad requerida para enfrentar sus amenazas internas y del entorno.

• Cualquier diseño que se proponga para enfrentar la inseguridad de la información deberá privilegiar la autoregulación, la autoadaptación y el aprendizaje, como apalancadores de valor para la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos.

Si bien no será fácil materializar esta disciplina arquitectónica en los diseños actuales de seguridad de la información, será un reto tratar de hacerlos realidad en las nuevas iniciativas, que den paso a un entendimiento de la seguridad, más allá de un ejercicio de protección de información y aseguramiento del cumplimiento normativo, por otro donde los fundamentos de la seguridad sean parte de la construcción de modelos de negocio confiables y productivos y la información sea el eje fundamental de nuestra relación con los accionistas y grupos de interés.

Referencias

• WEIL, ROSS y ROBERTSON (2006) Enterprise Architecture as Strategy. Harvard Business School Press.

• KOVACICH, G. y HALIZBOZEK, E. (2006) Security metrics management. Butterworth Heinemann.

• SCHOU, C. y SHOEMAKER, D. (2007) Information assurance for the enterprise. A roadmap to information security. McGraw Hill.

• COHEN, F. (2005) Security Governance: Business Operations, Security Governance, Risk Management and Enterprise Security Architecture. ASP Press.

• CARALLI, R. (2004) Managing for enterprise security. Technical Note. CMU/SEI-2004-TN-046. Carnegie Mellon University.

Cultura de ciberseguridad: Un estandar de comportamiento colectivo

2011-02-06T23:02:00.000-05:00

La era de la información, como es frecuentemente llamada nuestra sociedad actual no es otra cosa que la consecuencia natural del ser humano por conocer y descubrir su propia realidad y dejar evidencia y registro de sus observaciones, bien como forma de operacionalizar y ordenar lo observado y experimentado, o como testimonio de una visita sincrónica o asincrónica de un legado reciente que captura un momento en el tiempo.

Así las cosas los datos privados, la propiedad intelectual, la infraestructura y aún las fuerzas militares y la seguridad nacional pueden ser comprometidas por ataques deliberados, inadvertidas fallas de seguridad y vulnerabilidades inherentes de internet y sus diferentes componentes y relaciones. En este sentido, los gobiernos han venido revisando sus agendas para comprender estos nuevos fenómenos, que definitivamente alteran la gobernabilidad de las naciones y ponen en tela de juicio a las instituciones frente a sus ciudadanos.

Enfrentar esta realidad exige el conocimiento de los cambios en los hábitos y estilos de vida de los nuevos habitantes de la red, seres necesitados de interacción permanente, servicios novedosos e interacción móvil, para fortalecer el empoderamiento que la tecnología y sus componentes les brindan, y hacer de su espacio vital, una extensión misma de su vida natural, en un contexto virtual.

Al tener un colectivo de visiones en un espacio prácticamente infinito como lo es internet, podemos tener grandes beneficios como alto niveles de transparencia y responsabilidad por lo que se hace o deja de hacer, pero de igual forma, una puerta para abandonar y evadir cualquier investigación que trate de llegar la verdad. Por tanto, construir una visión de ciberseguridad global o al menos local, exige la creación de un espacio de confianza psicológica y tecnológica, que motive en los participantes, la aplicación de prácticas que limiten las acciones de los terceros no autorizados.

En la búsqueda de esta condición de apertura e intimidad con los artefactos tecnológicos, se precisa mantener un balance que comprenda las expectativas de los individuos en su interacción a través de internet y las responsabilidades de las autoridades gubernamentales en esta interacción. Luego, no es posible cargar un solo lado de la balanza, pues de hacerse, los intrusos sabrán que habrá oportunidad para continuar cuestionando las iniciativas de los gobiernos y provocando a los ciudadanos, haciendo que éstos, ante su desesperación, actúen de manera errática y desordenada.

Para que esta cirugía de precisión se materialice, se hace necesario cambiar la vista de seguridad, por la vista de riesgos. Es decir, la seguridad es una propiedad emergente que se presenta fruto del diseño de la interacción de elementos como la tecnología, las personas y los procesos, mientras los riesgos son una propiedad inherente a los objetos que representan aquellas amenazas y condiciones que pueden atentar contra este (bien de manera positiva o negativa), razón por los cual deben identificarse y tratarse conforme se requiera.

Cuando encontramos en la vista de riesgos, una forma de repensar la tradición natural de la seguridad, como barreras y limitaciones que limitan un acceso, creamos una cultura creativa alrededor de la amenazas, que comprendiendo la dinámica de las relaciones, es capaz de sorprender a la atacante en su propio terreno y hacer de la condición inusual, una postura proactiva para enfrentar la condición insegura.

Hablar entonces de una postura de ciberseguridad en el contexto de los ciudadanos de la sociedad de la información y el conocimiento, es construir un estándar de comportamiento colectivo y protocolos de anticipación, reacción y contención, que encuentren en la amenazas informática del entorno, una forma de recomponer su posición frente al acceso a la información y sus servicios asociados, no como una limitación a su empoderamiento natural en la red, sino como una forma de darle sentido a sus derechos civiles y libertades individuales.

Cuando los individuos se hacen responsables de sus comunicaciones, de los contenidos de sus aportes en la red; cuando reconocen que existen formas alternas de acceder a la información y, que mientras mayor sea la exposición de sus datos en la red, mayor será la sombra digital que se puede ver; estamos asistiendo a la conformación de una conciencia de seguridad de la información colectiva, que reconoce y destruye la complejidad de la red y sus posibilidades; un sistema de lecciones aprendidas que no busca otra cosa que “desaprender” cada día para dejar al descubierto el camuflaje de la inseguridad de la información.

Ciber seguridad y ciber defensa: Dos conceptos emergentes en la gobernabilidad de una nación

2011-01-10T20:29:00.000-05:00

Introducción

Los eventos recientes sobre fuga de información, las noticias de atacantes informáticos doblegando protocolos y tecnologías de seguridad, las fallas de seguridad que se han presentado tanto en el sector público como en el sector privado, son argumentos suficientes para evidenciar que estamos en nuevo escenario de riesgos y amenazas, donde la información se convierte en un arma estratégica y táctica, que cuestiona la gobernabilidad de una organización o la de una nación.

En este contexto, los ejercicios de riesgos y controles propios de las empresas, para establecer y analizar los activos de información críticos, han dejado de ser "algo que hacen los de seguridad" para transformarse día con día en una disciplina que adopta la organización para hacer de su gestión de la información una ventaja clave y competitiva frente a su entorno de negocio. Por tanto, la figura opcional de la seguridad de la información, comienza a desvanecerse y a tomar una relevancia estratégica, ahora en un escenario donde la información, es la "moneda fundamental" para generar, proponer y desarrollar posiciones privilegiadas de personas, empresas y naciones.

Cuando elevamos esta reflexión a nivel de estados y países, encontramos múltiples vistas para comprender los riesgos y amenazas frente a la información y sus impactos, que generan confusión y desconfianza, generalmente aprovechadas por los escépticos, para reparar en comentarios poco constructivos, que tratan de limitar la importancia de estos temas. Sin embargo, los hechos y eventos que se han presentado, mantienen la atención de gobiernos sobre estos peligros, que aunque escondidos en el tejido de las noticias cotidianas, son actores claves de las relaciones internacionales y capacidad de reacción de un estado.

Reconociendo al enemigo digital : Ciber defensa

Una primera estrategia que adoptan los estados cuando reconocen "al nuevo enemigo" en el contexto de una sociedad de la información y el conocimiento, es reconocer que cuenta con infraestructura de información crítica, requerida para mantener la operación y gobernabilidad del nación. Siguiendo la directiva presidencial No.13010 firmada por el Presidente norteamericano Clinton en 1998, se definen ocho sectores críticos cuyos servicios son vitales para el funcionamiento de la nación, cuya incapacidad de operación o destrucción tendría un impacto directo en la defensa o en la seguridad económica de los Estados Unidos. Los ocho sectores son: energía eléctrica, producción, almacenamiento y suministro de gas y petróleo, telecomunicaciones, bancos y finanzas, suministro de agua, transporte, servicios de emergencia y operaciones gubernamentales (mínimas requeridas para atender al público).

Así las cosas, un ataque masivo y coordinado a alguno o varios de estos sectores establece una condición importante y crítica para una nación, pues se pone en juego la estabilidad de la misma y la confianza de la ciudadanía en su gobierno para enfrentarse a estas amenazas. En este sentido, el concepto de guerra tradicional, se transforma para darle paso a una nueva función del estado que es la defensa de su soberanía en el espacio digital y la protección de los derechos de sus ciberciudadanos frente las amenazas emergentes en el escenario de una vida más digital y gobernada por la información.

En consecuencia, se acuña el término de ciber defensa como esa nueva connotación sistémica y sistemática que deben desarrollar los gobiernos para comprender ahora sus responsabilidades de Estado, en el contexto de un ciudadano y fronteras nacionales electrónicas o digitales. Un concepto estratégico de los gobiernos que requiere la comprensión de variables entre otras, la vulnerabilidades en la infraestructura crítica de una nación, las garantías y derechos de los ciudadanos en el mundo online, la renovación de la administración de justicia en el entorno digital y le evolución de la inseguridad de la información en el contexto tecnológico y operacional.

Considerando lo anterior, las reflexiones y decisiones sobre la seguridad nacional, tienen una renovada connotación, para atender ahora un enemigo móvil, cambiante y evolucionado, que se mueve tanto en las infraestructuras críticas como fuera de ella, que sabe lo reactivo que son las empresas y gobiernos, y que aún pueda ser identificado en sus ataques, se hace poco creíble probar que existió.

La defensa nacional, como noción acuñada por las fuerza militares de un país, requiere ser analizado y repensado en el contexto del "nuevo rostro de la guerra", de una confrontación que enfrenta lo mejor de los entrenados en el arte de la inseguridad de la información, con lo mejor de los entrenados para controlar y mantener la paz de una nación. Por tanto, animar una revisión de las estrategias de seguridad nacional en el contexto de posibles y factibles escenarios de confrontación tecnológica y de guerra de la información, prepara a los estados para defender su gobernabilidad y asegurar su resiliencia frente a condiciones de falla parcial o total.

A la fechas muchos estados (generalmente de países desarrollados) han tomado acciones concretas frente al reto de la ciberdefensa, encontrando en sus ciudadanos los primeros y más importantes aliados en sus estrategias de protección de la nación en el contexto digital. Dichos estados comprenden que es, desde el ciudadano y su experiencia en el uso de las tecnologías de información y comunicaciones, donde puede fortalecer el perímetro extendido de seguridad nacional digital, aunque sabiendo que es poroso y poco confiable, sabe que allí encuentra su mejor carta para hacer realidad su visión de defensa de la nación en un mundo interconectado.

Detallando las prácticas de aseguramiento: ciber seguridad

Para darle vida a esta visión de la defensa nacional digital, se requieren elementos específicos que materialicen ese querer en acciones detalladas, que aplicadas en las tecnologías de información e interiorizadas en los hábitos de los ciudadanos, puedan hacer evidente esa nueva propiedad emergente denominada seguridad nacional digital, esa que genera confianza, respeto y confiabilidad en las iniciativas del gobierno frente a la realidad de la creciente dinámica informática y de las telecomunicaciones.

Considerando lo anterior, se hace evidente que los gobiernos, no puede hacer realidad su nueva visión de la defensa, sin una estrategia concreta de prácticas de seguridad de la información, como base fundamental de su visión de seguridad nacional, donde cada uno de los individuos reconozcan en la información, ese activo fundamental que articula todas las infraestructuras críticas de la nación y que hace realidad el sueño de la una sociedad “informada”.

Así las cosas, el concepto de ciber seguridad, como realidad complementaria de la ciberdefensa, materializa el concepto de defensa nacional digital, en un conjunto de variables claves acertadamente definidas por la ITU – International Telecommunication Union, en las cuales se hacen necesarias el desarrollo de prácticas primordiales para darle sentido y real dimensión a la seguridad de una nación en el contexto de una realidad digital y de información instantánea.

La ITU, entendiendo que la problemática de la ciberseguridad requiere un esfuerzo colectivo y coordinado entre los diferentes países, establece cinco elementos fundamentales para desarrollar una estrategia de ciberseguridad acorde con la realidad de cada una de las naciones: desarrollo de un marco legal para la acción, desarrollo y aplicación de medidas técnicas y procedimentales, diseño y aplicación de estructuras organizacionales requeridas, desarrollo y aplicación de una cultura de ciberseguridad y la cooperación internacional.

Se vemos cada una de las variables establecidas por la ITU, no buscan otra cosa que comprender los riesgos propios de una sociedad de la información digital y en constante movimiento, que considere los aspectos normativos, las tecnologías de seguridad de la información, la organización de la seguridad de la información necesaria para operar, la cultura de seguridad de la información y la cooperación entre países, como fuente de la armonización de visión de la ciber seguridad en el planeta.

Reflexiones finales

En razón con lo anterior, cuando hablamos de ciber seguridad, necesariamente debemos considerar las acciones básicas que desarrolla una nación para proteger de manera coherente, sistemática y sistémica los activos de información crítica, distribuidos en toda su infraestructura y cómo ellos impactan la operación del estado.

De la mano con los conceptos de ciber defensa y ciber seguridad, se han venido desarrollando reflexiones académicas y de la industria relacionadas con ciberterrorismo y cibercrimen, dos amenazas emergentes en una sociedad digital, las cuales han comenzado a inquietar a los ciudadanos, quienes hoy por hoy se sienten expuestos frente a la materialización de las mismas y sus efectos reales sobre la confianza en el estado y sus instituciones.

Si bien la ciberdefensa como la ciberseguridad, son temas de estudio e investigación actual tanto en la industria, la academia y el gobierno, es claro que requieren atención inmediata con acciones definidas que permitan comunicar a los potenciales agresores, que estamos preparados para enfrentar el reto de un ataque informático coordinado y hacer respetar nuestra soberanía nacional digital.

Referencias

ITU (2010) Global cybersecurity agenda. Disponible en: http://www.itu.int/osg/csd/cybersecurity/gca/new-gca-brochure.pdf

US CONGRESS (1998) PRESIDENTIAL DECISION DIRECTIVE/NSC-63. Disponible en: http://www.fas.org/irp/offdocs/pdd/pdd-63.htm

CANO, J. (2008) Cibercrimen y ciberterrorismo. Dos amenazas emergentes. ISACA Information Control and Audit Journal. Vol 6. Disponible en: http://www.isaca.org/Journal/Past-Issues/2008/Volume-6/Pages/JOnline-Cibercrimen-y-Ciberterrorismo-Dos-Amenazas-Emergentes.aspx

CANO, J. (2008) La guerra fría electrónica y la inseguridad de la información. Publicación en Blog. Disponible en: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012245&random=4197

McAFEE (2009) Virtual Criminology Report 2009. Virtually Here: The age of cyber warfare. Disponible en: http://www.mcafee.com/us/resources/reports/rp-virtual-criminology-report-2009.pdf

Predicciones en Seguridad de la Información 2011

2010-12-20T12:31:00.000-05:00

Cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y asimétrico, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

A continuación cinco predicciones de lo que puede pasar durante 2011 en temas de inseguridad de la información.

1. Bienvenida la era Post PC

Comenta el analista de Forrester Research, Andrew Jacquit, que cada vez más estamos pasando de la era del computador de escritorio a una computación móvil, ágil y sin fronteras. Definir la era Post PC es considerar dispositivos inteligentes pequeños, con sistemas operativos propios, con aplicaciones prácticas para tener acceso a la información en tiempo real y una lucha entre los diferentes proveedores de dispositivos móviles, que siempre buscan una mejor experiencia para el usuario, aún a costa de la seguridad de la información que se encuentra almacenada en el dispositivo o transita en medio de las redes a las cuales tiene acceso. En este contexto, de acuerdo con diferentes informes de seguridad se verá un incremento de la inseguridad en los dispositivos móviles, como un reflejo del impulso de las transacciones por este medio y el privilegiar una interacción en línea, virtual y sin intermediarios.

2. Repensando los modelos de confianza: Identidad centrada en los datos

El interés creciente en los retos de la nube y el acceso a la información disponible, así como el desafío de alcanzar una trazabilidad más certera y verificable sobre la información y sus transacciones asociadas, será un requerimiento cada vez más evidente. La necesidad de atender con claridad los requisitos de cumplimiento, obligará a las organizaciones a repensar sus modelos de confianza, ahora basados en el control de acceso efectivo y real sobre sus datos, lo que hará que las organizaciones reaccionen y comiencen a buscar formas integrales para darle mayor confianza a los ejecutivos sobre quién ingresa a sus locaciones físicas, qué se hace sobre sus sistemas de información y quién hace uso de los beneficios de la empresa. Para lograr este nuevo salto, las corporaciones deberán pasar por no tener una clara perspectiva de quién hace qué y ni cómo, momento donde los atacantes, conocedores de esta realidad, pondrán a prueba la forma como se reconstruyen las transacciones y retarán los mejores equipos de atención de incidentes e investigadores forenses en informática.

3. La ciberseguridad como estrategia gubernamental

Los recientes hechos internacionales donde se pone a prueba la respuesta técnica, diplomática y administrativa de las naciones, frente a ataques informáticos que afectan organizaciones y revelan información restringida de éstas, así como, la exposición de secretos industriales y ataques contra la propiedad intelectual de los países y sus nacionales, son eventos que no han pasado inadvertidos por los estados, razón por la cual se vienen tomando medidas que permitan una acción más controlada y confiable frente a estos retos que muestra cada vez más el mundo interconectado. Todo esto necesariamente conlleva a una renovación de las tácticas y acciones de la seguridad nacional, que ahora concibe un estado extendido en las redes informáticas y unos ciudadanos digitales y móviles, que requiere atención por parte del estado y la generación de una paz digital frecuentemente amenazada por actores que quieren tomar ventaja o inclinar la balanza para su conveniencia. Así las cosas, 2011 será un año de revisión y consolidación de la ciberseguridad como parte de la gobernabilidad de una nación.

4. Explosión de la información: una realidad innegable

En un mundo donde la información se ha convertido en la moneda para tener acceso a múltiples escenarios y posibilidades, se advierte un riesgo inminente como es el de la pérdida de la privacidad. Mientras más se intercambia, registra y comparte información mayor es la huella digital que dejamos en la red, donde algunos inescrupulosos hacen mal uso de la misma. Tener huella digital en internet no es malo en sí mismo, es una forma de advertir una presencia en la red, que muestra tu grado de interacción y visibilidad que es posible alcanzar con un adecuado uso de los recursos disponibles. Sin embargo, desafiar el poder multiplicador y propagador de internet y sus sistemas conexos, cuando de compartir información se trata, sin medir las consecuencias de este acto, es despertar la furia del “Poseidon Informático” que se esconde en el mar de registros disponibles en internet, con lo cual tu vida, tus acciones y obras, serán objeto de revisiones, interpretaciones y actualizaciones algunas autorizadas y otras no, que dejarán entredicho si lo que haces corresponde o no con la realidad. Durante el año siguiente, las olas de información y los servicios implementados agitarán el mar de internet para generar nuevas mareas de pérdidas de privacidad y desequilibrios en el manejo y clasificación de la información.

5. De los logs a la ciberinteligencia

Si bien la información ha tenido una connotación importante para las organizaciones en más de una década, la pregunta es ¿qué están haciendo con ella? Para algunos la respuesta está en los modelos y avances en la generación de valor para los negocios con estrategias desequilibrantes y para otros, una manera de mantener los registros de las actividades de las empresas. Algunos investigadores hablan de inteligencia de negocios, como esa manera de explorar en los datos patrones y tendencias que te permitan ver comportamientos y acciones para responder de manera temprana a los mercados y otros, ven en los registros de información modelos históricos de eventos que hablan del pasado y de las lecciones aprendidas en el campo de batalla.

Así las cosas, el encontrar en la información una manera de anticiparse a los riesgos, una estrategia de validar y revisar tendencias, un forma de evidenciar las huellas del pasado y la generación de escenarios para predecir el futuro, es abrir la puerta a una nueva disciplina, que heredera de las tradicionales técnicas de inteligencia, es capaz de navegar en las aguas inestables de internet, para recabar propuestas innovadoras y anticipatorias que permitan estar un paso delante de los eventos, mostrar caminos alternativos para enfrentar a los mismos ciberdelicuentes y mantener una posición vigilante y privilegiada frente a los retos de los atacantes. Aunque este nuevo ejercicio de seguridad nacional e informática, aún está en sus inicios es bueno mantener la humildad y la distancia, pues sabemos que la inseguridad cuando menos lo esperemos nuevamente podrá sorprendernos.

Reflexiones finales

La seguridad de la información es un proceso exigente y dinámico que requiere la habilidad de sus responsables para mantener en movimiento su ojo crítico frente la dinámica de la inseguridad, no sólo para crear la sensación de confiabilidad requerida por los usuarios de las tecnologías, sino para que vinculando, a estos últimos en la conquista de la asimetría de la inseguridad, se construya de manera conjunta una distinción concreta y evidente de un ambiente controlado y confiable, mas no seguro.

Sólo nos queda observar el desarrollo del 2011, para ver cómo la inseguridad de la información nos sorprende y nos hace meditar nuevamente y así, pensar de manera distinta para abrirle la puerta a las posibilidades, esas que no son otra cosa que el insumo de la inevitabilidad de la falla, contexto que debe alimentar permanentemente el instinto y la mente del responsable de la seguridad de la información.

Referencias

PRICEWATERHOUSECOOPERS (2010) Revolution or Evolution? Information Security 2020. Disponible en: http://www.pwc.co.uk/eng/publications/revolution_or_evolution_information_security_2020.html (Consultado: 14-12-2010)

DELOITTE & TOUCHE (2010) Cybercrime: A clear and present danger. Disponible en: http://www.deloitte.com/assets/Dcom-UnitedStates/Local%20Assets/Documents/AERS/us_aers_Deloitte%20Cyber%20Crime%20POV%20Jan252010.pdf (Consultado: 14-12-2010)

JACQUIT, A. (2010) Security in the Post-PC Era. Forrester Research. Revisión del autor en: http://blogs.forrester.com/andrew_jaquith/10-10-15-whats_next_for_it_security_post_pc_devices (Consultado: 14-12-2010)

CANO, J. (2010) Fuga de la información. Revelando la inseguridad de la información en el factor humano. Disponible en: http://insecurityit.blogspot.com/ (Consultado: 14-12-2010)

KARK, K. (2010) The new threat landscape: Proceed with caution. Forrester Research. Disponible en: http://www.federalnewsradio.com/docs/The_New_Threat_Landscape.pdf (Consultado: 14-12-2010)

Fuga de la información: Revelando la inseguridad de la información en el factor humano

2010-12-12T19:40:00.000-05:00

Revisando la etimología de la palabra fuga, encontramos que viene de la palabra fugare (en latín espantar, hacer huir), deriva de fugere (huir), por esta razón en latín fuga significa las dos cosas: persecución y huída. (Tomado de: http://etimologias.dechile.net/?fugar)

Considerando el origen de la palabra en español y su origen latino, la fuga es un acto en el cual se da una huída y a la vez una persecución. Podría decirse que no existe la huída sin una persecución. Necesariamente el acto de huir, exige una causa que anima a una de las partes a desaparecer del escenario y tratar de evitar ser visto o identificado para hacer más exigente la persecución por la otra parte interesada.

Con los recientes acontecimientos relacionados con la fuga de información (en inglés infomation leakage) se revelan muchos de los secretos mejor guardados de las naciones y la agenda paralela que se mantienen entre los gobiernos para mantener los lazos diplomáticos y acuerdos estratégicos. Si revisamos con cuidado, lo que ha ocurrido, podemos tener diferentes lecturas y motivaciones para calificar los hechos, bien como la mayor brecha de seguridad que se haya realizado o un acto de real libertad de información.

En cualquiera de los dos casos tenemos una fuga de información, que necesariamente genera una persecución, bien por haber expuesto información clasificada como secreta o altamente secreta, o bien por publicar y mancillar la privacidad natural y propia de tanto de las personas naturales como jurídicas. En este contexto, todos tenemos cosas que sabemos son restringidas y propias de nuestra intimidad, que estamos dispuestos a preservar de la mirada de otros, no porque sean ilegales o prohibidas, sino porque hacen parte de nuestra realidad y personalidad muy propia. Por tanto, todas las acciones que emprendamos para defendernos ante esta situación estará justificada frente a la magnitud de los hechos, sabiendo que las consecuencias de estas acciones tendrán efectos a corto, mediano y largo plazo e impactos en la reputación y buen nombre de los involucrados.

Si nos remontamos a otras épocas (la famosa guerra fría) donde la inteligencia y el espionaje era la norma natural a través de la cual las naciones generaban su posición Info-estratégica, encontramos que todas las personas involucradas en estas actividades reconocían en la información una de las formas a través de la cual era posible anticiparse o tener una perspectiva ventajosa frente a situaciones inesperadas en el corto o mediano plazo. Estos ejercicios realizados en el contexto de la seguridad nacional daban mayores márgenes de maniobra o negociación ante situaciones críticas, mientras que en el escenario de la industria privada fue la manera de anticiparse a la crisis de los mercados, reconociendo el valor de los ejercicios prospectivos y de inteligencia competitiva como apalancadores de la visión y la administración de los riesgos de los negocios.

Cuando somos testigos de uno de los hechos más representativos de fuga de información de la última década, son múltiples las visiones y afirmaciones que se advierten, frente a un hecho que naturalmente ocurre, como bien dice una señora casada: “de las puertas hacia adentro, yo si sé como son las cosas”. Dicho de otra manera, de las puertas hacia adentro, cada nación, empresa y persona, tiene detalles de los asuntos y acciones que han emprendido para mejorar y tener una posición práctica y relevante frente a eventuales vulnerabilidades propias de sus procesos de negocio y su estatus frente a su competencia en el entorno.

Por mucho que las naciones, organizaciones y personas se esfuercen para evitar una fuga de información, se hace necesario contar con la esfera inabarcable de los seres humanos, que quieran o no, están expuestos constantemente a guardar o revelar secretos como parte natural de su relacionamiento con otros. Si el secreto que se guarda le implica sanciones o efectos negativos posteriores, la persona estará persuadida de no hacerlo, aunque muchos podemos ser lo suficientemente osados para desafiar lo que haya por venir. Así las cosas, nadie puede vivir sin relacionarse con otros, por tanto la revelación de la información propia de nuestras relaciones estará enmarcada en la confianza y protección que al menos dos puedan hacer de ella, siempre y cuando no exista la intimidación o presión que se pueda tener por ésta.

Con los avances tecnológicos y una alta interactividad de los usuarios finales a través de medios inalámbricos, la información fluye tan rápido como ella se produce. Es así que tenemos ahora ciudadanos digitales empoderados y exigentes, que demandan estar “informados”, para tener una posición al respecto y por qué no incidir en la toma de decisiones que implica la situación. En este contexto, al compartir cada vez más información a través de las redes, perdemos espacio en nuestra privacidad, ese principio fundamental propio de la esfera personalísima que nos define y realiza, más allá de nuestras acciones y labores diarias, pues allí está la esencia misma de nuestra personalidad y razón de ser.

En razón con lo anterior, cada vez más tenemos escenarios para materializar una fuga de información, más allá de un acceso físico a documentos, o generación de grabaciones analógicas o digitales de conversaciones, ahora en un mundo interconectado y con múltiples plagas informáticas, vulnerabilidades y fallas de seguridad, los cuales no avizoran un mejor escenario para las naciones, organizaciones y personas. En consecuencia, las acciones que se emprendan para mitigar la fuga, deberán articular los aspectos tecnológicos, jurídicos, procedimentales y culturales para establecer una red de estrategias, que reten las motivaciones propias de aquellos que “buscan revelar” lo que está oculto y generar los impactos que satisfagan sus “intenciones” primarias.

Establecer estrategias en este sentido, es reconocer al ser humano como el eslabón más débil de la cadena y el elemento táctico más efectivo para enfrentar al mismo hombre. Dicho de otra forma, nosotros somos la causa y el control de la fuga de la información, razón por la cual los teóricos y practicantes de la seguridad se encuentran en una encrucijada, para poder enfrentar con efectividad este riesgo. Cuando la protección de la información corporativa se hace como parte extensiva de la custodia misma de la información personal y sus impactos, se confronta el entendimiento colectivo de la cultura y se hace evidente que nuestros comportamientos deberán ser los esperados por la empresa, así como nosotros los esperamos con nuestros datos.

Es claro que, como reza la realidad de los hackers o “aquellos que van más allá del manual” (no hablo de aquellos que han usado lo que saben para afectar o dañar a otros), la información es la materia prima para hacer que las cosas avancen: un mundo informado es un mundo que tiene una posición crítica y acciones concretas frente a la situación, pero de igual forma hay registros que no deben estar a la luz pública, so pena de generar inestabilidades sociales o malos entendidos que no ayudan a la construcción de un mundo mejor y con oportunidades para todos.

Cualquiera sea su posición frente a los hechos revelados recientemente, es importante que se cuestione sobre “su derecho a estar informado”, al “derecho que tiene a cada persona a su privacidad”, a la revisión de los impactos propios de este tipo de hechos y sobre manera a la protección de su información, como elementos básicos para tomar una posición balanceada, firme y concreta frente a ese activo que representa o tiene un valor para alguien, quien generalmente conoce y sabe lo importante que es para esa persona u grupo de individuos: la información.

Finalmente y sabiendo que toda fuga lleva consigo una persecución, evalúe con cuidado de qué lado quiere estar: ser un “fugitivo o perseguido” con causa o sin causa, o ser el “fiscal acusador y perseguidor” que hará defender sus derechos bien por una causa o razón para salvaguardar una reputación, o por conveniencia, cuándo él mismo se encuentra involucrado. A final la decisión no admitirá puntos medios, sino la realidad propia de los intereses de las partes comprometidas.

Referencias

GORDON, P. Data leakage. Threats and mitigation (2007) GSEC Gold Certification. Disponible en: http://www.sans.org/reading_room/whitepapers/awareness/data-leakage-threats-mitigation_1931

BORTNIK, S. (2010) ¿Qué es la fuga de información? Parte II. Disponible en: http://blogs.eset-la.com/laboratorio/2010/04/22/%C2%BFque-es-la-fuga-de-informacion-parte-ii/. Blog - ESET.

Inseguridad de la información. Fuente de la innovación en seguridad de la información

2010-12-05T21:52:00.000-05:00

Introducción

Parafraseando al Jesuíta González Vallés en su libro “El secreto de oriente. Respirar”, “(…) bastó un soplo para que el hombre tuviese vida. Un delicada y suave expiración de DIOS, para que fluyese la semejanza del Eterno en nuestra esencia”. Una frase que verifica con una decisión la transformación de la creación, la puesta en escena de una nueva criatura, un nuevo orden que somete bajo el mandato del hombre, todas las cosas como administrador de la tierra.

Esta misma condición y mandato natural, se quiebra por la desobediencia del hombre, lo cual trae como consecuencia todas las vicisitudes y limitaciones que experimentamos a diario. De igual forma en la seguridad de la información la desobediencia y la arrogancia de nosotros es causal de la innovación permanente de la inseguridad de la información. Al no tener claridad sobre el ejercicio de protección de la información, cualquier escenario que se plantee será válido y las respuestas ante los incidentes serán inesperadas, sin planeación y posiblemente erráticas.

En este escenario ahora natural y normal, no resulta muy sofisticado tratar de inferir las tendencias en la inseguridad de la información el próximo año o 10 años, pues de lo que se trata es de identificar “los nuevos juguetes tecnológicos” que están disponibles, su popularidad en el uso, advertir los nuevos desarrollos tecnológicos y malas prácticas aplicadas, que generan el escenario ideal para que la creatividad, esa ausencia de autorestricciones, fluya con sencillez entre las rendijas desatendidas de las relaciones entre la tecnología, las personas y los procesos.

Revelando las fuentes de la innovación

Trata de comprender la inseguridad de la información y un escenario plausible para su evolución, es tratar de comprender algunas variables generalmente aceptadas para comprender la innovación. De acuerdo con Peter Drucker, las fuentes básicas de la innovación se encuentran en: las ocurrencias inesperadas, las incongruencias, las necesidades de los procesos, la industria y cambios en los mercados, en los cambios demográficos, en los cambios de percepción y en el nuevo conocimiento.

Cada una de estas variables representa todo un reto de análisis y revisión que con el paso del tiempo, es posible ver un marcado liderazgo de una u otra. Las dos primeras están más relacionadas con el factor sorpresa, ese momento o reflexión que surge sin estar previsto, que desequilibra la comprensión actual y compromete el statu quo de lo que se conoce y sabe. Esta incertidumbre, se convierte en el insumo fundamental para que un nuevo paradigma surja y nuevas propuestas para aproximarse a la situación problemáticas se hagan presentes.

Las dos siguientes variables, las necesidades de los procesos, así como la industria y sus cambios en los mercados, están relacionadas con la manera como la empresa entiende lo que hace y en qué contexto lo materializa. El estar avocada a la constante renovación de los mercados y las reiterativas necesidades del negocio para obtener mejores resultados, genera una ambiente de alta presión, mucha responsabilidad y decisiones oportunas. En este contexto, la inestabilidad de la situación nos revela nuevamente la incertidumbre, como ese factor común que lanza al tomador de decisiones a advertir sus riesgos y evaluar su posición frente al reto que se le sugiere.

Cuando de cambios demográficos y cambios de percepción se trata, el ser humano es el protagonista principal. Los cambios en la composición de la sociedad, edades, perfiles de las personas, variaciones de sus percepciones, propensión al riesgo, nuevas necesidades y exigencias, hacen de estas variables elementos desafiantes, pues comprender este tipo de desviaciones, exige una permanente valoración de la comprensión del riesgo de las personas, sus gustos y tendencias de los mercados, permitiendo el surgimiento de nuevos entendimientos de la realidad o retos novedosos para la industria o su entorno de negocio.

Finalmente la creación de nuevo conocimiento, necesariamente pasa por la ruta de la incertidumbre y contradicción, pues sólo en este entorno se abre la posibilidad de correr el velo de la rutina y se cae el telón del “eso ya lo hemos probado”, para que los nuevos lentes tallados desde la mente individual y colectiva, muestren a la sociedad una sorpresa que mueva elementos dormidos o aún desconocidos para sus participantes.

La innovación y la inseguridad de la información

Revisando cada uno de estos elementos de la innovación, encontramos en la inseguridad toda una maestra que revela en cada variable analizada una lección propia que debemos reconocer e incorporar en nuestra práctica de seguridad como estrategia para anticiparnos a los posibles riesgos que son propios en cada una de ellas.

Cuando de hablamos de ocurrencias inesperadas, la inseguridad de la información se revela en la inevitabilidad de la falla, esa que está esperando el momento y la ocasión para materializarse. Cada trozo de código en cualquier programa cuenta con situaciones inesperadas que han quedado incluidas en su estructura y sólo esperan una combinación particular de la interacción con el usuario o proceso para revelarse. Una condición que denominamos inesperada es la que termina por descubrir la combinación exacta para materializar la falla de seguridad, falla que ha estado dormida en la ejecución del código y aguardando su turno para manifestarse.

Las presiones de los mercados y la exigencia de resultados exponen nuevamente a la seguridad a rendir concesiones, a generar excepciones que plantean escenarios para que la inseguridad de la información haga su aparición. Cada excepción es la respuesta a una condición de exigencia de negocio que requiere espacio para avanzar en la realización de valor de la firma o el cumplimiento de una exigencia directiva. Cuando la seguridad de la información no colabora, es estigmatizada frente al resultado, pero cuando se hace parte de la solución, es la respuesta que se espera de ella y sus responsables. La seguridad no debe ser parte del problema, sino facilitadora de la contestación al mismo.

Con el paso del tiempo se advierten cambios en la manera como percibimos el riesgo, como entendemos nuestras relaciones con los demás y sobremanera como nos aproximamos al mundo que nos rodea. No es equivalente comprender a los nacidos entre 1980 y 1990, que a los nacidos en 1970 y 1979. Cada uno de ellos tiene una manera de comprender su entorno y una realidad diferente. Mientras los nacidos en los 70’s encontraron un mundo con guerras y nacientes desarrollos tecnológicos, los cuales fueron apalancadores de grandes cambios y revoluciones, los nacidos en los 90’s son herederos de la tecnologías, del mundo de lo instantáneo y de soluciones automáticas.

Así las cosas, la distinción de la seguridad de la información para los herederos de los 70’s es una condición base para actuar, mientras para los nacidos en los 90’s es un reto para superar, una condición contradictoria frente al flujo natural de la información, pues consideran que ésta (la información) es parte natural de su entorno y realidad.

Todos estos elementos revisados previamente generan múltiples vistas de la realidad, diversos entendimientos y posiciones que terminan en explicaciones de los fenómenos estudiados, no para cuestionar el ambiente actual, sino para revelar una comprensión aún no estudiada, una vista complementaria de lo que ocurre, que nos permite construir nuevos “cómos” y desarrollar reglas novedosas para sorprendernos de lo que podemos hacer y renovar para evitar la zona de confort.

Reflexiones finales

La inseguridad de la información reconoce en la sabiduría del error, de la sorpresa, de lo inesperado, la fuente misma de conocimiento y renovación de su propia esencia. No es posible avanzar en el fortalecimiento de las tecnologías de seguridad sin la manifestación propia de la inseguridad. Es decir, que mientras más nos sumerjamos en la fuente misma de la inseguridad de la información mayor información tendremos para anticiparnos.

Cuando advertimos la aplicación de malas prácticas en la protección de la información; cuando somos capaces de destruir nuestras propias restricciones frente a las posibilidades de la interacción entre tecnología, personas y procesos, es posible generar escenarios prospectivos que nos permitan anticiparnos a ver posibilidades, antes que la inseguridad los haga reales.

Como sabemos que el riesgo cero no existe, esta reflexión busca manifestar una posibilidad para avanzar en la conquista de nuestras propias limitaciones, de nuestros inesperados comportamientos frente a las fallas, para encontrar en las condiciones base de la innovación, nuevos insumos para rastrear a la inseguridad de la información como una táctica más para continuar comprendiendo la “inevitabilidad de la falla”.

Reconocer en la inseguridad de la información una estrategia para validar las manifestaciones de la innovación sugeridas por Drucker, es caminar en un nuevo tejido de relaciones y propuestas para incorporar una función de inteligencia competitiva que nos permita una función de seguridad de la información proactiva, preventiva y retadora de la realidad: una búsqueda permanente con focos claros, esfuerzos dirigidos y trabajo dedicado.

Referencias

DRUCKER, P. (2002) The discipline of Innovation. The innovative enterprise. Harvard Business Review. August. Disponible en: http://www.engr.pitt.edu/mac/images-t/articles%20and%20docs/DisciplineofInnovation.pdf (Consultado: 6-12-2010)

GONZÁLEZ VALLÉS, C. (2006) El secreto de oriente. Respirar. Sal terrae.

Facilitando la madurez de la función de seguridad: Algunos arquetipos propuestos

2010-11-01T20:22:00.000-05:00

Según un informe reciente de Forrester Research denominado “Use Organizational and Professional Archetypes to accelerate security organization maturity”, son las expectativas del negocio sobre la organización de la seguridad la que define el proceso de madurez de la función de seguridad de la información de una organización. Esto es, identificar el foco o interés particular de la alta gerencia sobre la protección de los activos de información y detallar las preocupaciones que estos altos ejecutivos tienen frente a sus grupos de interés.

En este sentido, el artículo establece cuatro arquetipos (modelos de referencia base) que permiten comprender focos de acción que los responsables de la seguridad de la información pueden tener, según los casos estudiados por la firma consultora. Los cuatro arquetipos de profesionales de la seguridad identificados son: security practitioner, security architect, security strategist y business partner. Los dos primeros hacen referencia a una vista eminentemente operacional y de cumplimiento, el siguiente se mueve por una vista de riesgos y el último como un facilitador del negocio.

Cuando se revisa el security practitioner, tenemos el especialista técnico de la seguridad, el cual se encuentra concentrado en las amenazas de seguridad y operación de controles tecnológicos, quien constantemente tiene como foco la realización de los análisis de vulnerabilidades, monitoreo de la infraestructura tecnológica de seguridad y el mantenimiento de su nivel de parches. Cuando encontramos este arquetipo en las organizaciones podemos advertir que la alta gerencia ve la función de seguridad como un componente técnico propio de la infraestructura y como guardián de la información en el nivel operacional de la misma.

De otra parte, cuando las regulaciones internacionales comienzan a ejercer presión sobre los objetivos de negocio, la reputación y el mantenimiento de un estatus en un entorno global, aparece el arquetipo del security architect, quien si dejar de mantener una vista operacional, traduce los requerimientos de seguridad en controles técnicos operativos, los cuales se incorporan de manera inmediata y algunas veces, sin mayores condiciones o estrategia de gestión del cambio, en la operación de la empresa. Esta distinción de la seguridad, que pasa de una vista de amenazas de seguridad a una de cumplimiento regulatorio, permite al responsable de la seguridad pensar un poco más allá del hacer y actuar en seguridad, para lanzarlo a comprender el verificar, como una función más de aseguramiento que de operación.

Muchas organizaciones se mantienen en estos dos arquetipos sin mayores cambios, dado que cumplen con las expectativas de la gerencia frente a sus preocupaciones con los activos de información. Sin embargo, cuando la función de seguridad de la información, sabe que hace parte del sistema de administración de riesgos de la empresa y que sus acciones están encaminadas a comprender y tratar los riesgos propios de la tecnología, hace su aparición el arquetipo denominado security strategist. Este modelo o desarrollo de la función de seguridad, es un momento en el que el responsable de la seguridad de la información comprende que su misión real, más allá de un hacer y un actuar en la infraestructura, es el planear y verificar que le permita conocer con mayor detalle las funciones de negocio y cómo a través de los flujos de información es capaz de ver su aporte a la ecuación de utilidad de la firma.

La distinción de riesgos sobre los activos de información es una forma concreta y real de advertir en el lenguaje de los ejecutivos de la firma, los niveles de exposición de la información y los impactos que se pueden tener por un inadecuado tratamiento de los mismos. El security strategist, sabe y comprende mejor su responsabilidad como asesor táctico del negocio, como función clave dentro de la manera como la empresa apalanca función generadora de valor en mediano y largo plazo.

Es frecuente escuchar en las juntas directivas y comités de alto nivel que la seguridad no habla el lenguaje de los negocios y que los negocios hablan un lenguaje de seguridad, cifrado en las expectativas de valor y generación de confianza con sus grupos de interés. Cuando la función de seguridad puede quebrar el criptosistema que recubre las peticiones de los presidentes de las empresas o mejor aún, el responsable de seguridad es capaz de proponer elementos de negocio basados en una estrategia de protección de la información que maduren y desarrollen las perspectivas de la gerencia, visibles en el pérdidas y ganancias tangible o intangible de empresa estamos hablando del arquetipo del Business Partner.

Este arquetipo comprende el riesgo empresarial y sus impactos en cada proceso de negocio, lo que le posibilita un lenguaje de riesgo articulado en las impresiones de la gerencia, que sabiendo los desbalances de los mercados y las afectaciones de sus portafolios de inversiones, son capaces de incorporar en estas reflexiones los impactos de las estrategias de seguridad, medibles y visibles en términos de percepciones de aseguramiento de operaciones y manejo de información. Un business partner, exige un proceso de madurez organizacional y propia de la función de seguridad que ha sabido crecer con las corrientes y expectativas del negocio, aprovechando cada momento para apalancar la generación de valor con las acciones e impactos de las medidas de seguridad en los flujos de información de la empresa.

El informe concluye diciendo que en la medida que se evoluciona desde una seguridad basada en la tecnología, a una basada en la administración de riesgos de flujos de información hacia una propuesta colaborativa de apalancamiento del negocio, en términos tangibles o intangibles, deberán agotarse diferentes instancias y reflexiones al interior de la empresa. En este camino el Chief Information Security Officer – CISO, deberá desarrollar una gran capacidad de persistencia basada en resultados y logros que lo catapulten al siguiente nivel. Este implica que cada logro, debe asegurar la sostenibilidad del mismo, con el fin de que sea posible continuar abriendo camino en la evolución de la distinción de seguridad de la información.

Por otro lado, sabiendo que deberá llegar a ser parte de la agenda de los ejecutivos de la empresa en el contexto mismos de los planes de negocio, deberá mantener y asegurar el ambiente de control y eficiencia táctica y operacional que soporte un funcionamiento confiable de la infraestructura, como parte natural del gobierno de la seguridad de la información que debe ejercer frente las necesidades diarias de la corporación, donde los arquetipos security practitioner y security architect podrán ser útiles.

Finalmente y no menos importante, este informe si bien muestra la curva de madurez que debe seguir la función de seguridad de la información en una organización, nos debe recordar que todo este ejercicio deberá estar mediado por el factor impredecible y retador de la seguridad como lo son los individuos. Esto es, desarrollar de manera paralela en este proceso la construcción de una cultura de seguridad enraizada en los mismos objetivos de negocio y cómo la información es un activo estratégico y táctico de la empresa, que hace la diferencia al efectuar los balances y los análisis económicos, al sopesar las estrategias de continuidad de operaciones y al mirar las nuevas oportunidades para generar valor en la empresa y sus grupos de interés.

Referencias
KARK, K. (2010) Use organizational and professional archetypes to accelerate security organization maturity. Forrester Research

El debido cuidado en seguridad de la información. Un ejercicio de virtudes para la función de seguridad de la información

2010-10-03T19:01:00.000-05:00

Siguiendo los elementos conceptuales y formales establecidos en la tesis de maestría en Derecho de ETSEBETH (2009) detallar un estándar de debido cuidado para el gobierno de la seguridad de la información en una organización debe pasar al menos por los siguientes elementos:

* La obligación legal de las organizaciones de proteger la información

* Las responsabilidades frente a la materialización de las fallas de seguridad de la información

* El desarrollo efectivo de un programa de seguridad de la información

* Un modelo de seguimiento y control de la efectividad del gobierno de la seguridad de la información

Obligación legal de proteger a la información

La obligación legal de las organizaciones de proteger la información no solamente se encuentra articulada por las normatividades nacionales e internacionales que obligan a las empresas para establecer medidas de salvaguarda de la misma, sino en el entendimiento y aseguramiento de: (ETSEBETH 2009, Sección Resumen Ejecutivo)

* La forma en la cual la información es creada, procesada, almacenada, transmitida, usada y comunicada.

* ¿Quién tiene acceso a la información?

* ¿Qué pueden hacer las personas con la información?

* ¿Cuánto tiempo éstas tendrán acceso?

* ¿Quién tiene la autoridad para cambiar el acceso y cómo?

Responsabilidades frente a las fallas de seguridad de la información

Teniendo claras las respuestas y acciones requeridas para enfrentar la obligación legal, se hace necesario revisar y comprender las responsabilidades que se tienen cuando la inseguridad de la información se materializa en el contexto organizacional. Las responsabilidades se articulan a nivel corporativo en diferentes niveles frente a los diferentes grupos de interés.

En este sentido, el primer responsable frente a la materialización de una falla de seguridad es la alta gerencia, quien al declarar a la información como un activo a proteger es el primer patrocinador del aseguramiento de la misma en los diferentes frentes de la organización. Si bien dicha responsabilidad, se materializa en el responsable corporativo de la seguridad de la información, es deber de los cuerpos de gobierno corporativo, establecer las respuestas concretas y efectivas para los interesados (mayoritarios y moniritarios) sobre lo ocurrido, sus impactos y las posibles disminuciones de valor que han tenido sus intereses en la empresa.

En un segundo nivel, se encuentra el director o responsable empresarial de la seguridad de la información o en inglés Chief Information Security Officer, quien deberá rendir cuentas de la efectividad del programa de seguridad de la información, la administración de los riesgos de seguridad y la efectividad de las medidas de seguridad tecnológicas que se tienen implantadas. Este reporte, deberá estar articulado con las promesas de valor que la organización tiene para sus grupos de interés de tal manera que se haga evidente como la inversión en la protección de los activos de información, se hace concreta en el nivel de confianza esperado por la organización y el nivel de riesgo aceptado por ésta frente a las amenazas identificados.

En un tercer nivel, se encuentran los analistas de seguridad de la información, especialistas en riesgos y controles de seguridad, así como los profesionales de seguridad informática que aseguran la infraestructura tecnológica: administradores de red, de servidores, de firewalls, antivirus, entre otros, que deberán rendir cuentas sobre las medidas de mitigación y control frente a las amenazas identificadas, así como el conocimiento del nivel de riesgo propio de cada uno de los mecanismo de protección. Este reporte, debe mostrar el seguimiento y alineación de acciones frente al programa de seguridad que tiene la empresa y cómo las fallas de seguridad deben ser atendidas en el modelo de atención de incidentes, con el fin de comprender mejor a la efectividad de las medidas tecnológicas implementadas y su permanente actualización frente a la dinámica del entorno empresarial y de la inseguridad de la información.

Diseño y desarrollo el programa de seguridad de la información

Como se puede ver, las responsabilidades frente a las falla de seguridad, exigen del responsable de la seguridad de la información, el diseño y desarrollo de un programa de seguridad de la información efectivo, entendiendo este como un conjunto de estrategias y actividades que articulen los mecanismos de integración organizacional, las estructuras de coordinación y las competencias técnicas requeridas que muestren claramente la integración de la seguridad con la estrategia empresarial (CANO 2010).

En este contexto, la implementación del programa de seguridad debe informar y comunicar a la alta gerencia sus alcances, retos y riesgos, con el fin de advertir con claridad y precisión qué hace parte de las acciones para mitigar las posibles fallas de seguridad y cuáles los riesgos residuales que acepta la empresa frente a las amenazas identificadas en los flujos de información en sus procesos de negocio.

Seguidamente, incorporar dentro del hacer natural de las actividades de negocio, el análisis de los riesgos de seguridad de la información, como parte inherente del actuar de las personas en sus actividades diarias. Esto es, reconocer que la información no es algo que está en los procesos, sino que es parte del negocio, pues basado en las prácticas de aseguramiento y protección, es que podemos comprender la efectividad y valor de la misma cuando el negocio mismo genera valor para los grupos de interés.

Roles y responsabilidades frente al tratamiento de la información

Fruto de lo anterior, se presenta de manera natural los roles y responsabilidades que los participantes de los procesos tienen frente a la información. Los dueños o propietarios de la información, como aquellos que crean la información y establecen las condiciones de uso y custodia del mismo, dado que reconocen y entienden sus riesgos, en el contexto de los flujos de información del proceso en el que participan.

Seguidamente, se establecen los usuarios, quienes atendiendo las condiciones y característica de uso establecidas por sus propietarios, sacan el mejor provecho de la misma en un ambiente controlado, sabiendo que cualquier uso no autorizado, promueve la materialización de un incidente de seguridad de la información con impacto corporativo importante.

Finalmente, se tienen los custodios, quienes observando las características establecidas por los propietarios y las necesidades de uso de los usuarios, definen los medios y mecanismos para mantener la disponibilidad de la información y la trazabilidad de los accesos requeridos, asegurando en tiempo, medio y formato que la organización minimizará los riesgo asociados con obsolescencia tecnológica, compatibilidad de formatos de datos e integridad de los medios de almacenamiento.

Seguimiento y control del gobierno de la seguridad de la información

Necesariamente lo anterior, debe responder no solamente a una apropiación de recursos técnicos, financieros y talentos humanos, sino toda una estrategia de concientización e interiorización de la distinción de seguridad, que apalancada desde la distinción de riesgos, es capaz de cuestionar el colectivo organizacional de supuestos frente a la protección de la información, para construir una nueva forma de comprender y valorar la información desde la esfera personal, hacia la realidad corporativa.

Como toda iniciativa, el programa de seguridad de la información, deberá mantener un seguimiento y mantenimiento por parte de la función de seguridad y su cuerpo directivo, de tal manera que asegure que el nivel de riesgo aceptado se mantiene o disminuye. Esto significa, que el reporte de avance del programa no se medirá exclusivamente en la materialización o no de incidentes de seguridad de la información, que se tengan en la organización, sino en los niveles de prevención y ahorro que situaciones infortunadas que se pudieron materializar y no se dieron.

Medir la efectividad de la seguridad la información es un reto permanente de los ejecutivos de la seguridad de la información, que lo que busca en últimas es “contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas (…)” (CANO 2010b)

Reflexiones finales
En consecuencia, para hacer realidad la propuesta planteada para materializar el debido cuidado en seguridad de la información se hace necesaria una evolución acelerada de la función de seguridad hacia los temas de gobierno, riesgo y cumplimiento, que le permita estar en la agenda los miembros de la junta directiva a través de un comité ejecutivo de primer nivel, donde se rindan cuentas de la evolución del programa de seguridad, apalancado en los riesgos estratégicos de negocio y las regulaciones y acciones legales que implican la materialización de una falla de seguridad. (ETSEBETH 2009, capítulo 8)

Por tanto, la próxima vez que sea interrogado sobre el debido cuidado en seguridad de la información, recuerde éste es un ejercicio equivalente al desarrollo de virtudes humanas, donde cada persona da lo mejor de sí para alcanzar el justo medio, aún cuando en el camino sea tentado y sorprendido por situaciones inesperadas que ponen a prueba su propio entrenamiento y experiencia frente al siempre nuevo y dinámico arte de la inseguridad de la información.

Referencias

ETSEBETH, V. (2009) Legal implications of information security governance. Master of Law Thesis. Unpublished Document. Law Faculty. University of Johannesburg. Disponible en: http://ujdigispace.uj.ac.za:8080/dspace/handle/10210/1837. (Consultado: 3-10-2010)

CANO, J. (2010) Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad. Disponible en: http://insecurityit.blogspot.com/2010/09/integrando-la-seguridad-de-la.html (Consultado: 3-10-2010)

CANO, J. (2010b) Métricas en seguridad de la información. Un reto permanente. Disponible en: http://insecurityit.blogspot.com/2010/07/metricas-en-seguridad-de-la-informacion.html (Consultado: 3-10-2010)

Bases de datos: ¿inseguras?. Algunas reflexiones básicas

2010-09-26T18:12:00.000-05:00

Recientemente la Independent Oracle Users Group's (IOUG) (ver referencias) liberó un estudio realizado con 430 de sus miembros sobre la seguridad en los datos, donde se revelan cinco puntos claves que muestran porqué falla la seguridad en las bases de datos. Los cinco puntos son:

1. Las organizaciones no saben aún donde residen sus datos sensibles

2. El monitoreo de la seguridad sigue siendo aún irregular y no sistemático

3. Los usuarios privilegiados se siguen ejecutando sin un adecuado control y seguimiento

4. Los parches en las bases de datos se despliegan y aplican lentamente

5. Existe un evidente retraso en la aplicación de técnicas de cifrado sobre las bases de datos

Cuando se advierten estas cinco conclusiones sobre la seguridad de la bases de datos, encontramos que son situaciones que en la mayoría de ellas se encuentran asociadas con ineficientes prácticas de seguridad de la información que exponen la información y a la organización a posibles fallas o vulnerabilidades que pueden ser explotadas tanto por atacantes internos como externos.

El estudio afirma que las organizaciones no saben donde residen sus datos sensibles. Esta es una realidad en muchas empresas a nivel internacional, la cual se manifiesta en una inadecuada o inexistente clasificación de la información. Esto es, que las corporaciones no se toman el tiempo para adelantar el análisis de riesgos propios de los flujos de información en sus negocios, de tal manera que puedan identificar aquella información que por su confidencialidad requiera niveles de protección diferentes a las demás.

Esta situación se agrava aún más cuando las prácticas de seguridad de la información no son constantes, lo que lleva a una aplicación sistemática de comportamientos inapropiados con la información que pueden ser, ingenuos por el desconocimiento del nivel de confidencialidad de la información o definitivamente intencionales, sabiendo que por la ausencia de controles e indefiniciones frente al tratamiento de la información, es posible filtrarla con la complicidad de un limitado seguimiento y control propio de los participantes en los procesos de la compañía.

Lo anterior confirma la segunda conclusión del estudio: el monitoreo sigue siendo irregular e inconstante. La seguridad de la información cuando se traduce en una inestable y débil gestión de reconocimiento de la inseguridad en los procesos de negocio, allana el camino para la materialización de incidentes de seguridad con consecuencias inesperadas, dado que no se conoce el alcance ni impacto de cada uno de los componentes del proceso y su interrelación con las otras áreas de negocio.

Esta situación, exige de las organizaciones modernas, la incorporación de prácticas de control interno, que le permitan afianzar el reconocimiento de los riesgos en el tratamiento de la información para así, hacer de ciclo de vida de la información, una experiencia conocida y apropiada por todos y cada uno de los colaboradores empresariales.

Ya la tercera conclusión, sobre la falta de monitoreo de los usuarios privilegiados es un llamado de atención al sistema de control interno informático de las organizaciones. Mientras los administradores de las bases de datos, así como los administradores de servidores o dispositivos de telecomunicaciones, mantengan su hálito de “intocabilidad” por su clara función crítica en el funcionamiento de los sistemas informáticos de las organizaciones y no se acojan a las prácticas de seguridad y control, que exige básicamente la trazabilidad de sus operaciones, así como la aplicación de guías de aseguramiento de cada uno de sus dispositivos, mantendremos una gestión parcial de seguridad que podrá ver claramente lo que los usuarios desarrollan en las aplicaciones, pero una vista borrosa e inexacta de lo que los usuarios privilegiados aplican o ejecutan sobre los componentes básico de la infraestructura computacional de las empresas.

Hablar de parches y aplicación de los mismos es hablar de una operación de cirugía de alta precisión, pues esto implica conocer muy bien las aplicaciones y la manera como ellas funcionan en los diferente servidores. Cuando de aplicar un parche se trata, se hace necesario establecer una “ventana de tiempo” para que en un ambiente controlado y donde las aplicaciones no estén funcionando, se pueda instalar éstos y ver los comportamientos de la máquina y del software base, así como de las aplicaciones. Estas últimas son las que ante una actualización pueden dejar de funcionar o hacerlo de manera errática, lo cual implica un trabajo conjunto con los líderes funcionales de éstas con el fin de asegurar que la solución sigue funcionando como se tiene previsto.

Aplicar un parche, no es instalar un archivo ejecutable en un servidor y esperar a que se termine su realización; es todo un procedimiento formal en la organización donde participan tanto el área de tecnología de información como el área de negocio, para asegurar que las condiciones y acciones requeridas para que el proceso de actualización se dé y que ante cualquier eventualidad se tienen previstos los mecanismos de “vuelta atrás” y respaldos, que permitan mantener la operación y excepcionar si es necesario, la aplicación del parche en la máquina. Es claro que una situación como la anterior, exige de la organización una revisión de la aplicación afectada, con el fin de evaluar y revisar su código para ver alternativas de afinamiento según se requiera.

Finalmente el estudio nos habla sobre el uso de las técnicas de cifrado, las cuales son ampliamente conocidas y las cuales cuentan con aplicaciones de implementación tanto en bases de datos como en aplicaciones, con el fin de asegurar la confidencialidad en el tratamiento de la información en los diferentes escenarios en los que la información fluye.

El uso de cifrado de la información en las bases de datos o en sobre cualquier información bien sea en servidores de alto desempeño o en dispositivos móviles, lleva consigo un impacto en desempeño propio de la aplicación de los algoritmos utilizados. Mientras la operacionalización de las técnicas de cifrado se apalanquen en el uso intensivo del procesador, siempre habrá un costo base en el tiempo de respuesta, que estará disminuido en la manera como cada implementador del algoritmo lo desarrolle. Así las cosas, en las bases de datos conocidas este es un costo que debe ser considerado en el momento del diseño de la seguridad de la misma, siempre y cuando esta fase, haga parte de la puesta en operación de un sistema manejador de bases de datos.

Las conclusiones del estudio realizado por la Independent Oracle Users Group's (IOUG), demuestran una vez más que la seguridad de la información aún continua siendo una realidad “externa” a la gestión propia de la tecnología de la información en las organizaciones, lo cual genera el escenario ideal para que la maestra inseguridad encuentre nuevas razones para mostrarnos que mantiene su posición vigilante ante nuestra inconstancia y falta de aseguramiento de acciones preventivas que nos permitan anticiparnos a las lecciones propias de la fallas de seguridad.

En consecuencia, debemos reconocer que si queremos, podemos aumentar la predictibilidad de la operación de las tecnologías de información, no sólo desde las buenas prácticas de seguridad inmersas en los procesos de negocio, sino dentro del colectivo cultural y social de los participantes de la empresa, quienes son los que al final del día hacen la diferencia en la gestión de la seguridad de la información.

Referencias:

http://www.darkreading.com/shared/printableArticle.jhtml?articleID=227500653

http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf

Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad

2010-09-05T19:16:00.000-05:00

Son muchas las estrategias que hoy por hoy los responsables de la seguridad de la información intentan para persuadir a la alta gerencia con su discurso de protección de activos, las cuales van desde cuantificación de la materialización de las vulnerabilidades, análisis de impactos por pérdidas de imagen e implicaciones económicas de alguna sanción por algún incumplimiento normativo. (BAYUK 2010, pág.4) En este contexto, los ejecutivos de la seguridad de la información, buscan de alguna manera integrar sus planes en la agenda estratégica de la compañía para hacerse visible, no sólo por las consabidas brechas de seguridad que tarde o temprano se presentarán en la empresa, sino como elemento crítico para apalancar las ventajas competitivas de la corporación.

En este sentido, se advierten en la realidad de los programas de seguridad de la información elementos como incorporación de mejores prácticas, análisis beneficio-costo, historias o anécdotas en otras empresas del sector o estudios de referenciación que revisan la función de seguridad de la información en el contexto de los costos organizacionales y el personal requerido para dar cumplimiento al desarrollo de los habilitadores de riesgo y cumplimiento normativo, que no es otra cosa que apalancar las funciones de control interno o aseguramiento de los flujos de información de negocio de la empresa.

Así las cosas, los responsables de seguridad de la información saben que su integración con la estrategia corporativa, no depende exclusivamente de cómo los mecanismos tecnológicos de seguridad se comportan en las diferentes unidades de negocio (valga la pena aclarar, que deben funcionar de acuerdo con lo previsto y acordado con las áreas), sino de cómo alinear sus esfuerzos para hacerse una distinción transversal en la compañía, embebida en la cultura de los negocios, articulado con los sistemas de gestión organizacional y reconocidos por los terceros o grupos de interés en su relación comercial y estratégica.

Sobre este particular un reciente estudio realizado por KAYWORTH, T. y WHITTEN, D. (2010) advierte: “(…) la falta de integración entre el grupo de seguridad de la información y los negocios resulta en una política de seguridad y presupuestos que no reflejan las reales necesidades de la organización. En este contexto, la seguridad de la información tiende a ser reactiva, las decisiones de inversión se mueven por prioridades de corto plazo más que estratégicas o de largo plazo, recibiendo muy poca atención por parte de los ejecutivos de la empresa.(…)”.

Este resultado no nos sorprende, pues lo que hace es ratificar lo que de múltiples formas ha venido ocurriendo hace algunos años, donde la seguridad de la información se confunde con implementación de tecnologías de seguridad, haciendo de esta última distinción, una marca que generalmente tiene alta gerencia de lo que es esta función. Adicionalmente podemos agregar que esta percepción técnica generalizada de la seguridad, es también de nuestra propia práctica, que orientada por los nuevos desarrollos tecnológicos, nos dejamos tentar sin considerar, en algunos casos, los impactos de éstas en los negocios de la empresa. Podríamos decir que los altos ejecutivos de la empresa ven al área de tecnologías de la información y por ende, a la de seguridad de la información, como la sección de la inversión en “juguetes novedosos y costosos” que buscan generar un poco de más confianza en las operaciones de la empresa, pero no mayor valor para el negocio.

En consecuencia, la transformación y renovación de esta percepción de la alta gerencia en los seguridad de la información debe pasar no solamente por una estrategia tecnológica, sino social y cultural que implique una distinción complementaria de los riesgos en los activos de información de la empresa. Es decir, desarrollar un liderazgo de alto nivel sobre la protección de los activos, como parte de la práctica gerencial de la empresa, una visibilidad ejecutiva de la seguridad en los comités directivos y una cultura de seguridad de la información anclada en los supuesto propios de la empresa, que no solamente la perciba como algo que existe en el exterior, sino que se construye y vive en su interior.

Para lograr, lo propuesto en el párrafo anterior, no se requiere amplios esfuerzos en estrategias de gestión del cambio, sino articular tres elementos fundamentales detallados en el estudio de KAYWORTH, T. y WHITTEN, D. (2010) que son:

Balancear el aseguramiento de los activos de información con la necesidad de apalancar el negocio
Mantener el cumplimiento
Asegurar la alineación cultural

En este sentido, dicen los autores que se podrá desarrollar una estrategia efectiva de seguridad de la información que permita a los ejecutivos de la empresa salir de las “historias de horror y miedo” (concepto acuñado por BAYUK 2010) de la seguridad (como son los incidentes de seguridad), para entrar en la etapa del reconocimiento estratégico del valor de la seguridad de la información, como una forma de comunicarse con sus grupos de interés y los mismos procesos de negocio, y asegurar que la información que fluye entre las diferentes áreas, está disponible, controlada, gobernada y ágilmente procesada para que las metas de la organización se transformen en realidades evidentes y visibles tanto para los accionistas como para sus empleados.

Comprender la función de seguridad de la información como una forma de apalancar la manera como la empresa genera valor y lo comunica a sus clientes y demás interesados, debe llevar a los responsables de la seguridad de la información a cuestionarse sobre el enfoque de su estrategia de seguridad de la información más allá del aseguramiento de los perímetros porosos, de las acciones proactivas de identificación y manejo de vulnerabilidades, de los programas de sensibilización e interiorización de la seguridad y de la misma estrategia de cumplimiento legal y normativo, para reenfocar las conversaciones sobre la seguridad de la información más en términos de logros y servicios de apoyo a las estrategias de negocio, que en los componentes de tecnología que los hicieron posibles.

De otra parte, los responsables de la seguridad de la información, sabiendo que es fundamental mantener la segregación funcional con sus pares de la seguridad informática, deben comprender que su trabajo no termina cuando una tecnología de seguridad se instala y asegura lo que ha prometido, sino que allí debe iniciar la construcción de la nueva distinción de seguridad de la información, más allá de la técnica puesta en operación, sino en la percepción de la confianza y aseguramiento de los activos de información que entregue y comunique el valor mismo de la estrategia de la compañía en el proceso de negocio, que haga evidente una experiencia útil y estratégica tanto para los clientes como para el proceso.

Dicho lo anterior, los profesionales de la seguridad de la información no deben hacer cumplir de manera inflexible las reglas y estándares propios de los sistemas de gestión de la seguridad de la información, sin comunicar en el lenguaje del negocio, el porqué estas existen y cómo se articulan con el hacer mismo de los procesos de la empresa. Por tanto, la comunicación del valor de la seguridad de la información en un contexto estratégico y táctico, se centra en las personas, sus habilidades, actitudes y las manera como ellas interactúan con el resto de las áreas y sus procesos, y cómo las prácticas de protección de los activos de información son parte de su manera de actuar y hacer.

Si bien las consideraciones técnicas de la seguridad de la información se deben asegurar y funcionar conforme lo que se tiene previsto para hacer realidad, una percepción de la seguridad de la información requerida en los procesos de negocio, el lenguaje que se utilice para insertarla en la comunicación del valor para los negocio, deberá ser el más adecuado y ajustado con las prácticas de los negocios y las metas corporativas. El área de seguridad no debería hablar de sus “clientes”, como sino fuese parte del negocio mismo; más bien, debe ser alguien que acompaña y se hace parte del proceso como colega o par que aprende junto con aquello que genera valor, para hacerlo diferente y novedoso, comunicando y cumpliendo su promesa de valor de apalancar los resultados de la empresa de manera confiable.

Los responsables de la seguridad de la información que quieran avanzar en una estrategia efectiva de seguridad de la información, no deberán descuidar los diferentes elementos mencionados en esta reflexión, sabiendo que en un entendimiento sistémico de la realidad de la organización podemos mejorar día a día el entendimiento de la inseguridad de la información en los procesos de negocio y descubrir, en la puesta en práctica del programa de seguridad de la información, que la seguridad perfecta no existe y que caminamos “en medio de la noche” con una luz encendida: un monitoreo proactivo.

A continuación el detalle de los tres mecanismos de administración de riesgos para una efectiva estrategia de seguridad de la información sugerida por KAYWORTH, T. y WHITTEN, D. (2010):

Mecanismos de integración organizacional
• Estructuras organizacionales formales

Unidades organizacionales responsables de la seguridad de la información
Existencia de un ejecutivo responsable de la seguridad de la información
Función de auditoría interna

• Estructuras de coordinación

Comité directivo de seguridad de la información
Enlaces de seguridad de la información (oficiales de seguridad de la Inf.)
Separación entre seguridad de la información y seguridad informática

• Coordinación de procesos

Enfoque de seguridad de la información Top-Down
Seguridad de la información embebida en los procesos críticos de la organización
Aplicación flexible de estándares uniformes

Mecanismos de alineación social
• Culturales

Programas de sensibilización e interiorización en seguridad de la información
Desarrollo de redes informales de aliados estratégicos de la seguridad de la información
Desarrollo mentoría y asesoría en seguridad de la información para las áreas de la empresa

• Liderazgo

Compromiso ejecutivo basado en el reconocimiento de la información como un activo clave de la organización.

Competencia Técnica (El detalle propuesto en este tema es aporte del autor del blog y no hace parte del artículo original mencionado previamente)

Continuidad de Tecnológica
Control de acceso
Integridad de la información
Cumplimiento legal y normativo
Gobierno de la seguridad de la información

Referencias
KAYWORTH, T. y WHITTEN, D. (2010) Effective information security requires a balance of social and technology factors. MIS Quarterly Executive. Vol.9, No.3. September.
BAYUK, J. (2010) Enterprise security for the executive. Setting the tone from de top. Praeger.

Expectativas y motivaciones de la función de seguridad de la información

2010-08-18T17:52:00.000-05:00

Existen múltiples publicaciones y reflexiones sobre la formación y evolución del ejecutivo responsable de la seguridad de la información, las cuales hablan sobre las competencias que debe desarrollar para incorporar en la dinámica de los procesos de negocio y la esencia misma de la protección de los activos de información. De igual forma y de manera complementaria, se plantea la inquietud sobre la posición del área de seguridad de la información dentro de la estructura organizacional, que por lo general entra en conflicto con múltiples entendimientos de la función de seguridad de la información: visión técnica, de riesgos o estratégica.

A raíz de este constante y sano debate, que habla de una función dinámica y evolutiva, Forrester Research ha desarrollado un interesante análisis denominado “Security Organization 2.0: Building a robust security organization”, que procura explicar con precisión las expectativas y motivadores de la seguridad de la información en las organizaciones.

Según este estudio y basado en la experiencia del autor, la función y el role del ejecutivo de la seguridad de la información responde a un proceso evolutivo de los motivadores de la empresa sobre el tema. Mientras hace más de 25 años, la seguridad de la información se entendía como la implementación de tecnologías de protección de información, hoy se mueven más por la administración de los riesgos en los flujos de información de los negocios. Así las cosas, la función de seguridad se viene transformando de un motivador eminentemente tecnológico y operacional (que se debe mantener en el radar) a uno más táctico y estratégico, orientado por el entendimiento de los riesgos críticos para el negocio como pueden ser la fuga y/o pérdida de la información.

En este contexto, el responsable de la seguridad de la información debe poseer una fuerte formación técnica en las tecnologías de seguridad, con un alto componente de visión de riesgos y gran capacidad de ejecución y aseguramiento de controles, que le permitan moverse eficientemente entre el control y la eficiencia de las medidas de seguridad y el apoyo a la generación de valor en el negocio.

De igual forma y de manera consistente, el CIO Executive Board publicó un reporte sobre el Futuro de la TI Corporativa a 2015, donde hace evidente que la información será el elemento donde estará fundada la ventaja competitiva de las organización, apalancada con cambios significativos en la manera como los clientes usan la información, analizan los datos y se facilita el desarrollo de los trabajadores del conocimiento. En razón con lo anterior, el encargado de la seguridad de la información deberá estar atento para desarrollar roles estratégicos que le permitan fundir la distinción de seguridad en este escenario futuro.

Un primer role es el de enlace de negocio. Esto significa que el área de seguridad debe hablar y comprender cómo el negocio genera valor, para mirar en ese contexto, aquello que el negocio necesita para ser exitoso y cómo la protección de los activos de información hace la diferencia en el logro de las metas organizacionales.

Un segundo role es el de coordinador con terceras partes. En un mundo global y con claras tendencias hacia la tercerización se hace necesario que el encargado de la seguridad de la información comprenda y asegure los requisitos básicos que deben atender los proveedores de servicios, incluir dentro de sus panoramas de riesgos (los de los negocios) aquellos que se derivan de la relación con terceros y el manejo de la información de la empresa. Así las cosas, este ejecutivo, puede apalancar al negocio, siendo el puente de entendimiento de las posibles amenazas que implican una operación de seguridad de la información con terceras partes.

Finalmente un tercer role, es el de arquitecto de seguridad. Esta distinción le permite al responsable de la seguridad de la información establecer los controles de línea base de la operación, los estándares de cumplimiento y la articulación de las iniciativas técnicas de seguridad, que le brinden al negocio la confianza y tranquilidad que los flujos de información, se encuentran modelados alrededor del entendimiento de los riesgos y asegurados con tecnologías adecuadas.

Estos tres roles exigen de los encargados de la seguridad, repensar la misión y visión del negocio de seguridad, para hacer de la función misma, una vista sistémica de gobierno, riesgo y cumplimiento, que considerando y alineando la correcta y eficiente operación de la infraestructura de seguridad, sea capaz de responder con celeridad y prudencia cuando la magia de la inseguridad se haga presente.

En consecuencia con lo anterior, la estructura organizacional del área de seguridad de la información deberá articular perfiles profesionales orientados por la gestión de riesgos de seguridad de la información, con capacidad de entrenar y asesorar a las áreas de negocio en la valoración de sus riesgos, así como asegurar la correcta operación de los controles que se tengan implementados. Lo que en definitiva se entiende como un desarrollo consistente y formal de una cultura de seguridad de la información apalancada en el individuo, que participa en un proceso de negocio y soporta una meta organizacional.

Así las cosas, la seguridad de la información como función y facilitador de las estrategias de negocio, debe asegurar el despliegue de prácticas de protección de la información, como parte de la operación del negocio, de tal forma, que cada persona que participe conozca y comprenda los riesgos e impactos de un inadecuado tratamiento de la información; que experimente de manera real y concreta la consciencia de que la información es un activo y como tal exige de cada uno su mejor esfuerzo para asegurarla.

Por lo tanto, construir una función de seguridad robusta en una organización, debe ser una resultante del trabajo continuado y sistemático del entendimiento de los riesgos de la información tanto en los procesos de negocio y sus flujos de información, como del apoyo y comprensión de los mismos por parte de los profesionales de seguridad en el lenguaje de la industria. Mientras mayor sea la comprensión del negocio y sus amenazas frente a las vulnerabilidades o fallas de seguridad, mejor será el resultado de la gestión de confiable de la información, pues son ellos mismos los que hacen la diferencia al reconocerla como parte de su estrategia para apalancar la generación de valor.

Cuando la función de seguridad de la información, entiende con claridad cómo la organización genera el valor, produce los resultados y alcanza sus metas, puede afinar y afianzar su discurso como una forma de cuestionar las creencias, las prácticas y los artefactos empresariales que permitan transformar su cultura organizacional hacia una gestión segura de la información que reconozca, entienda y comprenda el valor de la misma en un contexto global e interconectado.

Referencias

* CIO Executive Board (2010) The future of Corporate IT. Disponible en: http://www.executiveboard.com/it/pdf/The_Future_of_Corporate_IT.pdf
* FORRESTER RESEARCH (2010) Security Organization 2.0: Building a robust security organization. Disponible en: http://eval.symantec.com/mktginfo/enterprise/articles/b-article_security_organization_20_building_a_robust_security_organization.en-us.pdf

Métricas en Seguridad de la Información: Un reto permanente

2010-07-11T21:51:00.000-05:00

Hablar sobre métricas en seguridad de la información, es actualizar una reflexión permanente que está en la agenda de los ejecutivos de seguridad. Las métricas, necesarias para evidenciar la gestión de los profesionales de seguridad frente a los temas de aseguramiento de infraestructura, pero no suficientes para dar respuesta al interrogante: ¿qué tanto hemos mejorado nuestra seguridad con respecto al año anterior?

El Dr. Hyden afirma en su libro que “medimos la seguridad para entender la seguridad”. Parece una afirmación algo simple, pero desafiante y exigente para llevarla a la práctica. En la medida que recolectamos datos sobre la seguridad, con un contexto, con un objetivo, sabiendo lo que queremos hacer con ellos, poco a poco se nos revelará aquello que queremos conocer y detallar. Podemos tener grandes reportes con datos y vulnerabilidades identificadas, los cuales carecerán de sentido si no sabemos qué es aquello que nos queremos responder y atender, para continuar nuestro viaje al corazón mismo de la inseguridad en las diferentes relaciones entre personas, tecnología y procesos.

Continúa comentando el académico mencionado previamente, que “el real beneficio de las métricas se revela cuando los datos que se representan llevan a actividades con sentido para la organización, acciones que soporta objetivos y apalancan retos en la empresa”. En este contexto, el valor de las métricas se percibe y se potencia, sólo cuando somos capaces de expresarlas en el lenguaje del negocio y la hacemos parte de la manera como la misma corporación genera valor en su entorno.

Así las cosas, las métricas en seguridad son valoraciones altamente riesgosas, pues al comprender mejor algo que previamente no se conocía, se genera un mayor conocimiento de la situación y su correspondiente responsabilidad y obligación para actuar en conformidad. En este escenario, recolectar información sobre las diferentes variables el programa de protección de la información es comprender por qué se recogen y las decisiones que se tomarán soportadas en ella.

Considerando lo anterior, el desarrollar un programa de métricas en seguridad exige declarar las limitaciones propias de este ejercicio y la comprensión de variables con cambios constantes, incertidumbre y riesgo, que en otras industrias como los seguros, la manufactura y los diseños se manifiestan con la misma intensidad. De acuerdo con lo que presenta el Prof. Hyden en su libro, se advierte al menos tres lecciones sobre las métricas de seguridad en estas industrias a saber: (HYDEN 2010, pág. 20, 21 y 22)

Lección No.1 Sus métricas de seguridad y las subsecuentes decisiones derivadas de la administración de riesgos, mejorarán su seguridad, tanto como su capacidad para recolectar, analizar y entender los datos relacionados con la operación de la seguridad. (Seguros)

Lección No.2 La seguridad es un proceso de negocio. Si usted no está midiendo ni controlando el proceso, usted no estará midiendo ni controlando la seguridad. (Manufactura)

Lección No.3 La seguridad es el resultado de una actividad humana. Un programa efectivo de métricas en seguridad tratará de entender las personas tanto como la tecnología. (Diseños)

Hyden define la medición como el acto de juicio o estimación de las calidades de algo, a través de la comparación con algo adicional. Mientras las métricas, como los estándares de medidas. En este sentido, no son las métricas las que son sensibles en sí mismas, pues responden a hecho concretos sobre aspectos de la seguridad de la información que requieren ser revisados, sino las mediciones que se derivan de ellas, es decir las valoraciones que se efectúan sobre las métricas las cuales son juicios de valor humanos frente a referentes que deberán ser los más adecuados con la realidad de la empresa y su entorno competitivo.

Considerando lo anterior, Jaquith (2007, pág.30) confirma que si bien se establece un sistema de métricas basado en estándares como el ISO 27001 es un reto interesante, no es lo más adecuado dado que las mediciones asociadas con éste, estarán focalizadas en aspectos que son auditables y requerimientos de control, más que en la incorporación de las prácticas mismas; estará muy sesgada por criterios subjetivos de valoración, dado que se requiere definir qués y cómos propios con la dinámica de la organización y sus estructuras de negocio, y finalmente, las métricas se enfrentarán al problema de la valoración, las cuales el mismo estándar no ofrece orientación al respecto.

De manera complementaria Brotby, establece en su publicación que “se mide para poder administrar”. Esto es, negociar un conjunto de recursos, acordar unos comportamientos requeridos y rendir cuentas. En consecuencia para determinar la información requerida para medir y monitorear un proceso de seguridad se requiere dar respuesta al menos a las siguientes preguntas: (BROTBY 2009, pág.73)
1. ¿Qué es lo que será administrado?
2. ¿Cuáles son sus objetivos?
3. ¿Qué decisiones se deben tomar?
4. ¿Qué información es requerida para tomar dichas decisiones?
5. ¿Qué procesos pueden proveer la información requerida?

Los tres autores coinciden en que las métricas en seguridad de la información son acuerdos propios de las organizaciones en los cuales las buenas prácticas y/o estándares nos permiten comprender la brecha que tenemos frente a los ideales y no representan un ejercicio mandatorio o imprescindible para alcanzar modelos certificables frente a nuestra gestión de riesgos relacionados con la información.

El contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas, nos permite generar mayor visibilidad del programa de protección de activos de información, que el uso mismo de un estándar per se.

No queremos con esta reflexión insinuar o desvirtuar las grandes bondades de las prácticas de seguridad de la información disponibles a la fecha, sino más bien darles su debido lugar dentro de la exigente y constante manifestación de la inseguridad en cada uno de nuestros procesos organizacionales, como esos libros abiertos de sabiduría y consejo, que siempre están disponibles para continuar afinando nuestras acciones de tratamiento del riesgo y afinando nuestro olfato para enfrentar a la inseguridad de la información, haciendo de las mediciones una consecuencia de nuestro mejor entendimiento de esta realidad.

Referencias
HYDEN, L. (2010) IT Security metrics. A practical framework for measuring security & protecting data. McGraw Hill.
BROTBY, K. (2009) Information security management metrics. A definitive guide to effective security monitoring and measurement. CRC Press.
JAQUITH, A. (2007) Security metrics. Replacing fear, uncertainty, and doubt. Addison Wesley

Innovación, Cambio y Estrategia: Tres elementos claves para potenciar la función de seguridad de la información

2010-07-05T16:10:00.000-05:00

Durante estos días de múltiples noticias sobre balances de mitad de año, de revelación de indicadores de gestión, surgen muchas inquietudes sobre qué deben hacer las organizaciones para lograr lo que se han propuesto para este periodo de 365 días. En este sentido, luego de revisar tres libros, uno sobre innovación, otro sobre el cambio y un tercero sobre estrategia, se advierte con claridad que son estas tres palabras las que deben marcar el paso de todos aquellos que se atreven a hacer sus sueños realidad y que han decidido dejar una huella profunda en el mundo.

En este contexto, los responsables de la seguridad deberán hacer lo propio, pues la magia de la inseguridad de la información, como maestra de aquellos, nos recuerda a cada instante que debemos caminar por la ruta del desaprender, como requisito de la estrategia, la base para el cambio y la fuente de la innovación. Cada vez que nos enfrentemos al reto de la inseguridad, son los tres elementos antes mencionados los que deben animar nuestra reflexión para avanzar y desafiar los movimientos de nuestra maestra.

La innovación en seguridad de la información supone una mente creativa, que constantemente se pregunta el porqué de las cosas, nunca está satisfecha con las explicaciones de los proveedores y demanda de ellos, formas diferentes de enfrentar los retos de la inseguridad. De igual forma, busca de manera constante combinar dominios y fuentes de análisis, como la incorporación de prácticas de otras disciplinas como el derecho, la seguridad física, las matemáticas, las ciencias sociales, entre otras, pues sabe que allí encontrará elementos que le permitirán ver mejor o replantear el reto mismo de las fallas de seguridad. (Adaptado de: PONTI 2010, pág. 72 y 73)

Cuando somos capaces de innovar, de retirar nuestras propias autorestricciones y lanzarnos a experimentar las consecuencias de este acto, es posible liberar la energía potencial de ideas y acciones que la seguridad requiere para enfrentar a la inseguridad. Esta connotación, exige de los diseños organizacionales de la función de seguridad espacios seguros para pensar diferente y traducir en la práctica, empoderamiento de los profesionales del área y sobre manera mucha alineación con los objetivos de negocio, para que el impacto de lo que se proponga maximice su competitividad y la fuerza de la función de seguridad.

De otro lado, el innovar supone un cambio. Un cambio que debe estar apalancado en una movilización de esfuerzos alrededor de una visión compartida, que permita a la creatividad, encontrar terreno fértil para que sus semillas germinen. Mientras el responsable de la seguridad no sea el abono natural para pensar de manera diferente la seguridad de la información, ésta no estará en la zona de impacto que la organización necesita para ser diferente y hacer de sus procesos de negocio una zona confiable para gerencia y sus grupos de interés.

Cambiar, deja de ser un proceso de las organizaciones, para convertirse en una necesidad permanente de las mismas. El cambio generalmente se indica cuando se desarrolla una crisis, un momento de verdad. En seguridad de la información el cambio es una crisis permanente, gracias a que la inseguridad todo el tiempo está generando nuevas formas de hacernos ver que tenemos mucho que aprender. Así las cosas, el cambio en la función de seguridad de la información es una exigencia permanente que evita a toda costa la zona de confort para los profesionales del área y la tentación de “la falsa sensación de seguridad”.

Consolidar a la seguridad de la información como una ventaja competitiva de la organización, como un activo negocio que hace la diferencia, exige hacer de la práctica de seguridad un referente interno en la forma como comprendemos los riesgos de la información en los flujos de negocio, del conocimiento propio de nuestras limitaciones y de la habilidad para hablar el lenguaje de la dirección. Si esta consideración se inscribe en los planes de desarrollo de las áreas de seguridad de las empresas, otro será el futuro de los Chief Information Security Officers, pues no estarán buscando razones para justificar la importancia de la seguridad en los negocios, sino haciendo parte de la búsqueda de nuevos horizontes y escenarios de crecimiento de las corporaciones.

Pensar de manera estratégica, requiere tener una visión intuitiva e irreverente de lo que vemos y queremos de nuestro futuro. Bien se dice que planear, es lanzarnos a experimentar las corrientes inesperadas y propias de los vientos en las alturas como lo hacen las aves, pues de la misma forma en seguridad se exige que busquemos fuera del statu quo opciones y alternativas para disparar las rentabilidades de los negocios. La seguridad de la información más allá de un servicio, debe transformarse en una realidad de las expresiones y declaraciones de las juntas directivas, que vean en esta función un proceso de madurez organizacional, que crea estándares de industria que diferencia y posicionan a la organización más allá de sus propuestas de negocio.

Hablar de innovación, cambio y estrategia en seguridad de la información es declarar que estamos dispuestos a dar la batalla permanente y efectiva a la inseguridad de la información, que estamos atentos y alertas para conocer y confrontar las consecuencias de lecciones de las fallas, errores y vulnerabilidades de la tecnología y sobremanera, que nuestra decisión para alcanzar la madurez y evolución en el gobierno de la seguridad de la información, estará soportada en la visión estratégica, sistémica y de futuro que la organización quiere alcanzar.

Referencias
PONTI, F. (2010) Los siete movimientos de la innovación. Editorial Norma
HARVARD BUSINESS (2009) Surviving Change. A manager’s guide. Harvard Business Press.
HAX, A. (2010) The Delta model. Reinventing your business strategy. Springer Verlag

ISACA international Conference 2010 - El lenguaje de los riesgos de TI

2010-06-21T23:42:00.000-05:00

La Information System Audit and Control Association – ISACA es una organización sin ánimo de lucro que es decana de las asociaciones en lo referente a los temas de seguridad y control en tecnologías de información. Dentro de sus múltiples actividades, anualmente organiza un evento de alcance global para reconocer los temas emergentes y retos que los profesionales en tecnologías de información, auditores y entes de aseguramiento y control, así como todos aquellos interesados en los desarrollos tecnológicos, deben advertir de cara a los cambios y tendencias que se presentan en el hacer organizacional y en los avances de la ciencia y la tecnología.

En el 2010 la conferencia internacional desarrollada en Cancún, México, deja ver claramente que las tendencias asociadas con la computación en la nube, la administración de riesgos de tecnologías de información, la generación de valor con tecnologías de información y los temas de continuidad de negocio son los elementos que marcan y marcarán la práctica de las organizaciones que asumen el reto de caminar en la nueva década del nuevo milenio.

La computación en la nube, ya no es más una tendencia, sino una realidad que empieza a desarrollarse en las empresas. Muchas de las presentaciones, incluso se estableció una pista completa para tratar el tema, se mostraron como aplicaciones prácticas del concepto, ilustrando con ejemplos y casos, la forma como se viene desplegando el concepto en países como Australia y Estados Unidos, donde se encuentran muchos de los proveedores de este servicio.

Así mismo, esta realidad hace evidente un riesgo sistémico de falla, dado que en un ecosistema interrelacionado de empresas que proveen servicios en la nube, existe una interdependencia que hace que una falla en una parte de la malla de proveedores, repercuta en el servicio de una u otra empresa. Así las cosas, esta advertencia, hacen más elaborada las reflexiones que sobre el particular se vienen haciendo para darle vida con seguridad y control al reto de los servicios en la nube.

Por otro lado la administración de los riesgos en tecnología de información, asociado con el marco general de Risk IT, establece una serie de elementos de consideración, que permiten al profesional de TI, advertir las amenazas relevantes a la generación de valor de las TIC’s en la organización, no sólo desde la perspectiva tecnológica, sino desde la visión integral de personas, tecnología y procesos. Risk IT es una herramienta estratégica y táctica que permite un gobierno eficiente y efectivo de los riesgos de tecnología en las organizaciones, para lo cual establece tres dominios de conocimiento fundamentales: gobierno de los riesgos, evaluación de los riesgos y respuesta a los riesgos.

Tomado de: ISACA. http://www.isaca.org/Knowledge-Center/PublishingImages/Risk-IT-VAL-IT-Full.jpg

La administración de los riesgos de TI, establece una práctica fundamental en los objetivos de negocio, dada la alta dependencia de la tecnología de las organizaciones modernas. Así las cosas, un marco de referencia como Risk IT, define una ruta a seguir, una forma estructural de identificar el valor y la comunicación del mismo, integrada al portafolio de iniciativas del área de tecnología, como una forma de identificar y valorar el apetito y tolerancia al riesgo de la organización sobre los temas de TI.

De igual forma, los nuevos avances en el tema de Cobit 5.0, que integra los diferentes esfuerzos de buenas prácticas que viene desarrollando ISACA tanto en el tema de riesgos, como en el de seguridad la información (Business Information Security Model), así como en el tema regulatorio y de cumplimiento, hacen parte de un giro estratégico que la asociación y su práctica internacional materializada en sus más de 40000 miembros, ha identificado. La información se convierte en el centro de la gestión misma del área de tecnología. Mientras las tecnologías de información detallan los medios para el uso de la información, la información en sí misma es la razón de ser del área de tecnología.

El valor que percibe la organización del área de TI, se refleja más en el uso mismo de la información. Es decir, en los comportamientos y valores que los individuos identifican y practican frente al procesamiento de los datos, más que en el despliegue de herramientas tecnológicas. En este contexto, el Cobit 5.0 presenta el Information Reference Model, que centra la atención de cada uno de los profesionales de TI en la riqueza misma de la información y sus diferentes relaciones de negocio y de éstos con sus clientes.

Finalmente y no menos importante, los se detallaron aspectos asociados con la continuidad del negocio donde la tecnología funge como el apalancador táctico y estratégico para que las consideraciones de las buenas prácticas revisadas se hagan realidad. De nada sirve contar con un reconocimiento del valor estratégico de la información en la organización, si el soporte de las herramientas mismas, no hace parte de la visión general del gobierno de las tecnologías de información. En este escenario, la continuidad del negocio no puede ser confundida como un seguro técnico que se compra e implementa en la infraestructura técnica de la organización, sino como un proceso estratégico y táctico que incorpora en el marco general de riesgos de TI, la manera real y práctica como la organización responde a una falla parcial o total de los equipos de computación que soportan la operación.

Las charlas asociadas con continuidad de negocio, muestran con claridad mitos y realidades que muchas veces se ignoran frente a este reto organizacional, donde la tecnología, al igual que otros elementos como las evacuaciones, pandemias, emergencias, entre otros, hacen parte de la sintonía requerida por la organización para sobrevivir a un evento bien sea fortuito, intencional o no.

Si bien el evento revisa múltiples perspectivas en los temas previamente desarrollados, es importante anotar que en la vista conjunta tanto de latinoamericanos como europeos, así como de asiáticos y americanos, el lenguaje de los riesgos hace confluir las miradas y los análisis, lo cual genera una dinámica generosa y particular que permite asistir a una conversación internacional sobre una realidad local y propia de cada empresa.

ISACA Internacional Conference 2010, es una experiencia que motiva la imaginación y el entendimiento de una realidad heterogénea y muchas veces ambigua, que sólo en una construcción colectiva de saberes es posible avizorar un modelo parcial de la realidad de la seguridad y el control en el uso de las tecnologías de información a nivel global

Inversión en seguridad de la información: Volver a los principios

2010-05-23T20:43:00.001-05:00

Recientemente se ha publicado un estudio del Instituto Ponemon sobre el estado de la seguridad en las aplicaciones web, donde muestra con claridad que se avanza poco en esta área tan crítica para las organizaciones en la actualidad. Sin embargo, llama la atención el estudio de la inversión en seguridad de la información que se presenta como parte de este reporte, que nos recuerda un ejercicio similar realizado por Peter Kuper en 2005 y publicado por el IEEE Security & Privacy en el mismo año.

Si las coincidencias no existen, estos dos reportes parece se han puesto de acuerdo en sus resultados. La diferencia de 5 años en su publicación y sus diferentes autores, nos dicen que algo está ocurriendo con los temas relacionados con la inversión en seguridad de la información. Es posible que los costos asociados con la infraestructura de seguridad de la información se han venido incrementando y la tendencia se mantiene, ó no hemos cambiado el foco de atención en los últimos 5 años en las prioridades de la seguridad de la información.

Tomado de: KUPER 2005

Si revisamos los resultados del estudio de KUPER, según sus análisis en 2005, la inversión en seguridad de la información se concentraba en el perímetro, donde se encuentran las cajas “anti” de la seguridad: antispam, antyspyware, antivirus, las cuales hoy por hoy son parte natural de las infraestructuras de seguridad de las organizaciones. De igual forma, los temas de redes y aplicaciones se consideraban en menor cuantía, dejando relegada la inversión en los temas de los datos. Parece increíble que la razón de ser de la seguridad no tuviese la mayor prioridad en la inversión. Sin embargo, luego de consultar a varios especialistas en el tema se dice que “si se atiende el segmento perimetral, mucho se avanza en la protección de los datos”, de no ser así la situación fuese peor.

Considerando lo anterior y las reflexiones de los especialistas parece que la dinámica interna de las organizaciones no se encuentra en el radar de prioridades, pues el atacante interno, uno de los principales protagonistas hoy en las organizaciones, parece estar desatendido y muchas veces subestimado. Basta con revisar las estadísticas de fuga de información que se han presentado durante este año, para ver que este fenómeno sigue ganando fuerza y afectado la imagen de las organizaciones modernas. Así las cosas, las inversiones perimetrales, si bien son necesarias y requieren su afinamiento, no es posible descuidar la fuerza, ni la dinámica de los datos en los procesos y flujos de información en los negocios, donde las personas son los principales protagonistas.

Tomado de: PONEMON INSTITUTE 2010

En este sentido, cuando revisamos los resultados del Instituto Ponemon, vemos que la seguridad de los datos, si bien ha avanzado en las inversiones de seguridad, la infraestructura es la “reina” que continúa mandando en los presupuestos de las áreas de seguridad. Los datos y la información de las empresas son la materia prima que los negocios del siglo XXI demandan para hacer la diferencia. Si este insumo fundamental no cuenta con las características mínimas de integridad, confidencialidad y disponibilidad, habrá una ola masiva de desconfianza que no permitirá elaborar y concretar relaciones estratégicas de largo plazo que comuniquen el valor a la gerencia y sus grupos de interés.

La seguridad de la información no se trata de medios, sino de fines. Se trata de principios y no de medios tecnológicos; es una reflexión, que centrada en las personas, nos permite entender las relaciones de confianza que se deben crear alrededor de los procesos de negocio, en los cuales la información y datos correctos, se entregan a las personas correctas. Es una dinámica de formalidad en el uso de la tecnología como habilitador de la acción, sustentada en una cultura de seguridad de la información, que no es otra cosa que un hábito consecuente y reiterado, que le dice a persona lo valioso de la custodia de los datos y la consistencia en la generación de la información.

No podemos avanzar en un fortalecimiento de la seguridad de la información sino nos concentramos en los principios. La tecnología evoluciona, las personas de igual forma, pero los fundamentos permanecen. Así las cosas, que cuando volvamos a revisar nuevamente el avance de la inversión en seguridad de la información, prevalezca la esencia del aseguramiento de la información y no las modas y procesos evolutivos de la tecnología, que si bien son necesarios y claves para el desarrollo de las estrategias de protección, nunca reemplazarán al eslabón más débil de la cadena y fin último de la seguridad: La gente.

Referencias

KUPER, P. (2005) The state of Security. IEEE Security & Privacy. Septiembre/Octubre.

PONEMON INSTITUTE (2010) The state of Web Application Security. Disponible en: http://www.imperva.com/ld/ponemon_web_application_security.asp

Inseguridad de la información: Confusión de fines y perfección de medios

2010-05-09T22:13:00.000-05:00

Recientemente revisando el libro de Chris Lowney, denominado “Vivir Heroicamente” se identifica una frase que claramente describe una estrategia para comprender la dinámica de la seguridad de la información en los últimos diez años: “Albert Einstein observaba que nuestra era podía describirse acertadamente como una en la que hay "perfección de medios" y una "confusión de fines”.

Durante esta primera década del siglo XXI los encargados de la seguridad de la información han confundido los fines de la seguridad con los medios para alcanzarla. Prueba de ello, es la preponderancia que ha tenido la tecnología sobre las personas y los procesos organizacionales. Si bien, se ha observado claramente iniciativas que privilegian la formación de individuos en los temas de seguridad de la información, la magia de las tecnologías de seguridad de la información ha ocupado a la industria, particularmente en el aseguramiento de los perímetros tecnológicos de las empresas, ahora más porosos que antes.

En este sentido, se observa un amplio perfeccionamiento de las tecnologías, haciéndose más sensibles y afinadas con los cambios dinámicos del ambiente y con mayores índices de efectividad frente a las nuevas amenazas y fallas. Sin embargo, el fin último del aseguramiento de la información nos se percibe, ni se avizora como se quisiera tanto en las organizaciones como en las personas.

Las empresas al transformar los medios (las tecnologías de seguridad) en los fines de la estrategia de seguridad de la información, confunden y desdibujan los esfuerzos sistémicos para comprender la inseguridad de la información en la dinámica de la empresa, privilegiando las fallas de seguridad de las máquinas, perdiendo el horizonte de experiencias y expectativas de las acciones y hábitos cotidianos de las personas.

Al privilegiar los medios sobre los fines, la inseguridad se apodera de la arrogancia del analista de seguridad para demostrarle que sus “fierros tecnológicos” sólo representan una parte de su ecuación y que tarde o temprano deberá reconocer que no ha visto el bosque y que los solos árboles no tienen la respuesta al desafío del aseguramiento de la información.

Cuando el analista de seguridad entiende que el fin último es el aseguramiento de la información en la realidad de la persona (como prácticas) y procesos de negocio de las empresas (sistemas de gestión y control), la inseguridad advierte la activación de la inteligencia estratégica que se inicia para desentrañarla de los diversos escondites, de sus diferentes máscaras y disfraces, que si bien no logrará conocerlos todos, si tendrá las bases o patrones para continuar avanzando en el reconocimiento de ésta.

Cuando los responsables de la seguridad de la información se concentran apasionadamente en los fines de la protección de la información, se activa la destrucción creativa que desequilibra a la inseguridad; se reinventan de manera continua la seguridad y se desvanece la “falsa sensación de confianza” que ocupa a los conformes y tradicionalistas de la seguridad, que entienden ésta como medio y no como fin.

Si queremos alcanzar un resultado evidente en la gestión de la inseguridad de la información, debemos entender la brecha entre nuestra realidad y la visión deseada, para construir de esta forma, una ruta de medios ajustados con la exigencia de la inevitabilidad de la falla y la pasión por un fin, que no es otra cosa que “sobreponernos a nosotros mismos, levantar a quienes nos rodean y potenciar nuestros talentos y dones” y así poder responder con oportunidad, cuando nuestra maestra “la inseguridad” nos presente una nueva lección.

Referencias
LOWNEY, C. (2010) Vivir heroicamente. Ed. Norma.

Signos y señales de la Inseguridad de la información: Pérdida y/o fuga de la información

2010-04-18T21:42:00.000-05:00

Dice el Padre linero en su libro “Orando y Viviendo para pensar en la Cotidianidad” que DIOS habla a través de signos y que DIOS da señales de su voluntad. Los signos son demostraciones concretas que hacen evidente la manifestación de una realidad, mientras las señales son elementos que nos indican algo, te muestran un camino, te sugieren una posibilidad.

Las señales en sí mismas, no son DIOS, sino elementos que deben ser revisados en el contexto de lo que ocurre, para revelar aspectos del camino que se sigue en el contexto de la vida. Por lo tanto, pueden seguirte muchas señales particulares que pueden ser ignoradas o analizadas, y es tu deber dedicarte a revisarlas o ignorarlas según tu cosmovisión del mundo y acercamiento a tu Creador.

Considerando lo anterior como inspiración base para nuestras reflexión ante la pérdida y/o fuga de la información, se hace necesario monitorear y revisar de manera permanente los signos reportados de las fallas de seguridad, los comportamientos inadecuados con el uso de la información y las diferentes tendencias que la industria revela frente a las vulnerabilidades que se presentan con frecuencia tanto en procesos organizacionales como en las tecnologías de información disponibles.

Cuando las organizaciones no se encuentran atentas a los “signos de los tiempos”, las sorpresas se hacen evidentes, los riesgos se materializan y los pronósticos se comprometen. En este sentido, las empresas deben “sensar” y responder a su entorno, de tal manera que capitalicen los referentes que marcan las “señales del camino” con relación a la información, como esa nueva moneda que circula de manera restringida o libre, según se establezca por sus dueños o propietarios.

Así las cosas, este documento presenta una revisión básica sobre la fuga y/o pérdida de la información, la cual busca la restitución de la importancia de la clasificación de la información, no como una actividad del proceso de aseguramiento de la información, sino como una competencia básica que le dé la relevancia a la información como activo real y concreto de las personas y las empresas del siglo XXI.

Somos las personas, los primeros y más importantes custodios de la información y como tal, debemos advertir una serie de buenas prácticas que nos permitan mantener ésta asegurada según se requiera.

Para que esto sea real, la clasificación de la información, es una actividad y a la vez una competencia que cada uno de nosotros debe desarrollar. La información clasificada define el nivel de importancia y protección que una persona debe darle a la misma, lo que en sí mismo, delinea aquello que no deberá circular y lo que deber fluir de manera restringida.

Frente a esta práctica y competencia nuestra en esta sociedad de la información y el conocimiento, existen signos concretos que muestran su necesidad. En el reciente informe elaborado por Forrester por encargo de RSA y Microsoft, liberado en marzo de 2010, denominado The value of corporate data, se advierte que el 57% de las fugas de información de las empresas están asociados con accidentes de los empleados como son: pérdida del teléfono móvil (smartphones), pérdida de computador portátil con información sensible de la empresa y publicación o envío de información sensible de la empresa a través de medios masivos de información o vía correo electrónico respectivamente.

Así las cosas, cuando no se cuenta con una adecuada clasificación de la información que articule la práctica misma con las tecnologías disponibles, las fallas o accidentes que se presenten generarán mayores activos tóxicos, como los menciona el informe de Forrester, en términos de titulares de prensa, multas, sanciones legales y quejas de los clientes, que generan pérdida de valor de la empresa y daños importantes en la imagen y competitividad de la empresa en su entorno de negocio.

Considerando lo anterior, la clasificación de la información o mejor de activos de información, se vuelve una práctica requerida y general para cualquier organización, como la base para adelantar las actividades requeridas en sus relaciones de negocio. No tener asegurada esta práctica, expone a la organización a una pérdida de posicionamiento global e importantes impactos económicos, que debilitan, no solo los informes de pérdidas y ganancias, sino también la moral interna de la organización, pues cada persona recibe un mensaje encontrado que no sabe cómo interpretar frente a una de las actividades centrales de la compañía: generar valor con la información.

Esta realidad de la clasificación de la información, asociada con los elementos de cumplimiento normativo se enfrentan a las necesidades de agilidad de los procesos de negocio y la información secreta, donde reside el 70% de la información clave de las empresas para su posicionamiento local y global, según anota el reporte de Forrester. Para tratar de encontrar un balance entre estas necesidades y realidades organizacionales el informe The Value of Corporate Data establece los siguientes elementos para revisar:

1. Identifique los más importantes activos de información en su portafolio de negocio. Esto es clasifique la información secreta y restringida de la firma que le permita tener por área de negocio aquellos datos que no deben circular y deben ser custodiados por responsables específicos con medidas de control concretas; y los flujos de información de los procesos críticos de negocio, con aquella información que sólo le interesa a dicho proceso y que requieren medidas de control adecuadas para evitar su filtración, fuga o pérdida. En este último escenario, estos activos de información se volverán tóxicos en la medida que el proceso de gestión de incidentes no se encuentre probado o sea ejecutado de manera improvisada.

2. Funde el registro de riesgos de seguridad de los datos. Esto es, divida los registros de dos formas: los registros asociados con el cumplimiento normativo y el mal uso de la información secreta. Sabrá que mientras más riesgos materializados por incumplimiento normativo, mayores posibilidades de un mal uso de la información secreta se puede advertir. Así mismo, al materializarse un uso no adecuado de la información secreta, analice en el contexto del área y los individuos que tienen acceso a esta información, para documentar las lecciones aprendidas y fortalecer los esquemas de segregación de funciones y control de acceso requeridos para este tipo de información.

3. Balancee el programa de seguridad de la información frente a las exigencias de cumplimiento y protección de la información secreta de la empresa. Esto implica comprender las necesidades y expectativas de la gerencia frente al manejo de la información y la “toxicidad” de sus activos, de tal forma que los responsables de la seguridad de la información, puedan avanzar en el fortalecimiento de la cultura de protección de los activos de información, desarrollo de métricas de efectividad del programa de seguridad y generación de confianza en la gestión de la información de la empresas tanto a su interior como con sus asociados y clientes.

Cuando observamos los análisis detallados en este documento, advertimos que se vienen dando signos evidentes que nos sugieren cambios estructurales en la manera como estamos manejando la información tanto a nivel personal como corporativo, lo que exige de los ejecutivos de riesgos empresariales y de seguridad de la información, alinear esfuerzos para incorporar en el desarrollo mismos del diseño de los procesos, las medidas de aseguramiento requeridas para disminuir la fuga y/o pérdida de la información.

Por otro lado, en diferentes industrias se presentan señales que sugieren comportamientos generalizados que materializan riesgos que afectan activos de información claves para las empresas, los cuales muchas veces no son vistos con la relevancia requerida por los altos niveles ejecutivos de las organizaciones, que pueden llevar a caminos peligrosos para la salud financiera y pérdida de imagen en su sector de negocio, afectando su posición y competitividad en el mediano y largo plazo.

En consecuencia, si bien esta reflexión no pretende ser una señal más sobre los signos evidentes que a diario se presentan sobre la inseguridad de la información, quiere proponer algunos elementos de análisis que nos cuestionen sobre lo que a diario ocurre en nuestras organizaciones y no detenernos en nuestro proceso de aseguramiento permanente de los flujos de información en los procesos.

Seguir en la ruta del crecimiento y competitividad organizacional, ignorando las señales del camino propias de la clasificación de la información, las prácticas de gestión segura de la información y el afinamiento de las tecnologías de seguridad requeridas para ello, es asegurar una constante acción reactiva y costosa de las organizaciones, que no se han detenido a pensar la importancia de ese activo real y concreto, cuya fuga o pérdida es el enemigo invisible de su crecimiento, de su posicionamiento.

Cuando la información organizacional, adquiere el status y relevancia en los niveles de decisión de las organizaciones, se abre una alianza real entre la administración de riesgos empresariales y los de seguridad de la información, que requiere de la mediación de los responsables de de la seguridad de la información para poder comprender en el contexto de cada uno de los proceso de negocio, las implicaciones de una fuga y/o pérdida de información empresarial.

Por tanto, no estemos esperando hablar directamente con la alta gerencia para comprender el valor de la información, sino que en cada una de tus acciones y actividades tanto personales como de negocio, sepas interpretar las señales y advertir los signos de la inseguridad, para así poder proceder en consecuencia y conquistar nuestros propios temores.

Referencias
FORRESTER (2010) The value of Corporate Secrets. How Compliance And Collaboration Affect Enterprise Perceptions Of Risk. March. Disponible en: http://www.rsa.com/document.aspx?id=10844 (Consultado: 18-04-2010)
NIST (2010) Guide to protecting the confidentiality of Personally Identifiable Information. April. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf (Consultado: 18-04-2010)
LINERO, A. (2007) Orando y Viviendo para pensar en la cotidianidad. Corporación Centro Carismático Minuto de DIOS.
DATALOSSDB (2010) Tipos de brechas de seguridad. Disponible en: http://datalossdb.org/statistics (Consultado: 18-04-2010)

RSA Conference 2010 - La apuesta de los fabricantes

2010-03-07T22:06:00.000-05:00

La conferencia fue una oportunidad para conocer de primera mano los avances y reflexiones que los diferentes proveedores de la industria de seguridad de la información están desarrollando y cuáles son las perspectivas futuras en las cuales se están preparando.

Los temas de computación en la nube, dispositivos móviles, ambientes virtualizados, consideraciones legales de la seguridad y el factor humano fueron temas destacados y ampliamente comentados durante las diferentes sesiones. No obstante lo anterior, los elementos de ciberseguridad y recientes ciberataques fueron igualmente presentados por las autoridades nortamericanas como son el DHS – Department of Homeland Security y el Coordinador de la estrategia de ciberseguridad, que le reporta directamente al Presidente de los Estados Unidos de América.

Cloud Computing: El reto de los proveedores
Según el CEO de RSA, Art Coviello, la computación en la nube es la madurez requerida del área de tecnología para dar cumplimiento a los exigentes y demandantes requerimientos del negocio en términos de agilidad, oportunidad y celeridad en el despliegue de las soluciones de TI. Una computación por demanda, ajustable y elástica con las necesidades de los clientes, así como una homogénea estrategia de ajuste y pago por exclusivamente aquello que se use, ofrece a las organizaciones modernas, economías de escala que amplían lo que ya se había alcanzado con las estrategias de outsourcing o tercerización.

En este contexto, desde el punto de vista del negocio de TI, ya no debería ser problema directo de TI las condiciones desgastadoras del servicio, relacionadas con aprovisionamiento de usuarios, disponibilidad de servidores y redes, configuración de equipos o puesta en marcha de lugares de trabajo, pues existe un tercero con reglas claras de servicio y alcance de su labor. Mientras más sencilla sean las condiciones de operación y disposición de las tecnologías de información, menos interpretaciones habrá y mayores beneficios se pueden obtener de la relación con el tercero.

Es claro, que esta estrategia tercerizada deberá contemplar un fino y delicado análisis de riesgos que implique no solamente la operación y administración de la infraestructura, sino un aspecto fundamental como lo son los flujos de información del negocio que utilizan dicha infraestructura. Los datos e información se convierten en la “oportunidad” para encontrar puntos de apoyo y aseguramiento de la infraestructura que permitan tanto a cliente como a proveedor estar tranquilos por “cómo se manejan estos activos” y “cómo deben funcionar la operación para darle cumplimiento a las expectativas de cliente”.

Los resultados del análisis de la estrategia de tercerización deberán articular riesgos operativos, conocidos y administrados como parte de la función de tecnología de información interna de una compañía, como son entre otros: administración de la disponibilidad, control de acceso, control de cambios, administración de vulnerabilidad, administración de parches, administración de incidentes, monitoreo y seguimiento de uso, seguridad física, cumplimiento regulatorio, así como los derivados del nuevo alcance propuesto por la nube: multi-tenencia (datos de muchos clientes, en espacios físicos concurrentes), flujo de información corporativa en las redes, privacidad, transparencia y oportunidad en el aseguramiento y cumplimiento de auditorías de seguridad y control.

Esta realidad en la nube pone de precedente una nueva forma de hacer las cosas y de repensarlas de manera diferente, pues se hace necesario abrir el potencial del área de TI con el negocio, para que finalmente llegue más rápido a cumplir las expectativas de los cliente y se aseguren los flujos de información que circularán en la infraestructura del tercero. Esto sólo será posible si logramos poner en una vista holística lo que requiere el proveedor, lo que exige el cliente y cómo aseguramos un gobierno de esta relación que vincule las responsabilidades de la organización, en cuanto a definir con claridad que se espera del tercero y cómo el tercero, mantienen altos niveles de aseguramiento y control que confirme la confianza necesaria entre las partes para tener una relación exitosa.

Los móviles: El reto de un nuevo perímetro extendido
Los dispositivos móviles son, en complemento con lo anterior, el reto de mantener comunicados y conectados los negocios y las personas. Las comunicaciones móviles son la forma natural en el siglo XXI de estar en sintonía con la realidad del mercado y las personas. En este sentido, mucho se revisión en la conferencia frente al uso, aseguramiento y control de esta tendencia, que a continuación se detallan algunas de ellas

Twitter, facebook, la mensajería instantánea en general ofrece un lenguaje concreto y real para las organizaciones modernas. No se puede concebir, al menos en los Estados Unidos de América, una persona que no se encuentre conectada. Esto es, existe una nueva generación que basa su productividad en mantener “al día” “en conexión”, con información todo el tiempo. En este orden de ideas, desde la mirada de la seguridad de la información, se desvanece la figura de perímetro de seguridad como lo conocíamos y se despierta la distinción de una desperimetralización o mejor perímetros porosos y en manos de las personas.

Esta nueva realidad, les dice a los encargados de la seguridad de la información, que deberán educar y avanzar en la transformación de comportamientos de las personas, frente al manejo de la información y hacer de ella, un elemento valioso como el dinero, las joyas, el auto o su vida. Así las cosas, los comportamientos seguros, las guías de aseguramiento de dispositivos móviles y las prácticas de seguridad de la información deberán estar en la primera línea del programa de seguridad de las organizaciones, no como algo que seguridad de la información tiene que hacer, sino como aquello sin lo cual continuar la operación de negocio sería muy riesgoso en el mediano y largo plazo.

Los dispositivos móviles son el nuevo reto de la seguridad de la información frente a amenazas como la fuga de información, el código malicioso y la ingeniería social, pues la ingenuidad humana, la confianza excesiva en los dispositivos inalámbricos y una inadecuada higiene informática son aquellas cosas que implican abrir la caja negra del comportamiento humano y su relación frente a un entorno agreste e inseguro como el actual.

La virtualización: La nueva base de gestión de la infraestructura
De otra parte tenemos la virtualización, como la estrategia para “hacer rendir” los recursos computacionales de las empresas. Esta estrategia hace que la infraestructura tenga flexibilidad para recibir o configurar diferentes sistemas operacionales en máquinas virtuales distintas, en un mismo servidor. La estrategia de virtualización es exitosa cuando: (VELTE, A., VELTE, T. y ELSENPETER, R. 2010, pág.10):
• Se comparten sistemas computacionales entre múltiples usuarios
• Se aíslan usuarios de otros y de programas de control
• Se emula hardware en otras máquinas

La virtualización es la base conceptual sobre la cual se desarrolla la estrategia de computación en la nube. En este sentido, el balance entre seguridad y flexibilidad se vuelve sensible, cuando ésta (la virtualización) se hace a gran escala tanto dentro como fuera de la organización. En este mundo virtualizado la seguridad propia de los elementos que hacen posible la virtualización, como son entre otros, el Hypervisor, la máquina virtual y las guías de aseguramiento propias de estos programas, no se han detallado lo suficiente, generando incertidumbre en las bases de la estrategia misma, que podría verse comprometida con ataques sofisticados que puedan impactar la infraestructura de las empresas.

La diligencia en seguridad de la información: Una cuestión de riesgos
De otro lado, escuchar hablar a los abogados sobre seguridad de la información y el uso de los estándares de seguridad a la fecha y demás regulaciones emergentes que exigen aseguramiento de la información, se puede entender claramente que una es la responsabilidad legal propia de las funciones de negocio de una empresa y otra la aplicación de la buena práctica en seguridad de la información.

Es posible tener una buena práctica de seguridad de la información y no cumplir con la responsabilidad legal exigida por la organización. La idea para mantener alineada estas dos distinciones es reconocer claramente los riesgos propios de los flujos de información del negocio, donde se advierte claramente las posibles brechas e impactos en la seguridad de la información y las prácticas requeridas para mitigar tales riesgos. En este sentido, es posible que no se necesite la certificación de un estándar de seguridad, sino el aseguramiento sistemático de prácticas, alineadas con la buena práctica que permitan conjurar los niveles de exposición de los riesgos de la información en rangos aceptables por los dueños de los procesos.

En este contexto, la debida diligencia (due care) en seguridad de la información, es claramente un balance de los riesgos identificados por la organización en sus flujos de negocio, cómo las áreas mitigan esos riesgos y cómo el área de seguridad asegura el cumplimiento de las prácticas de seguridad y control diseñadas para tan fin. Estos resultados revelan finalmente, que si bien lo que legalmente es suficiente para probar una debida diligencia, no es necesariamente equivalente a lo que exigen las buenas prácticas internacionales.

El factor humano: el reto de una seguridad usable
No podemos concluir este reporte sin reconocer con claridad la necesidad imperiosa de trabajar con el elemento más importante de la seguridad, la persona humana. Ella es la fuente de las diferentes manifestaciones de la inseguridad, luego de las fallas propias de la tecnología o el software diseñado para protección de la información. Los ponentes establecen la necesidad de estudiar la psicología de la seguridad, cómo un elemento clave para el diseño y uso de la seguridad misma. Esto es, no es posible usar o entender la seguridad, sin comprender el lenguaje, percepción y entendimiento de la seguridad en los individuos.

Anotan los investigadores, que muchas veces los controles se superan (se sobrepasan) pues no están diseñados para ser usados y entendidos por las personas, sino para ser confrontados y cuestionados, dado que no son instalados en el contexto de su realidad y percepción. Sin embargo, es importante anotar que los panelistas reconocen que puede existir resistencia inicial sobre el tema, pero se puede suavizar en la medida que los participantes comprendan y reconozcan los riesgos y sus implicaciones en el contexto de sus negocios.

Ciberdefensa: un reto de país
Finalmente y no menos importante, se hizo énfasis en la necesidad de una estrategia conjunta entre el gobierno y el sector privado para construir una estrategia de ciberdefensa nacional que implica, aseguramiento y protección de la infraestructura crítica del país, así como una gran ofensiva y despliegue de buenas práctica de seguridad y control en los ciudadanos de la nación, pues reconocen que sin estas dos aproximaciones, habrá mayor espacio para materializar ataques mayores y con peores efectos, a los ya mundialmente conocidos adelantados en contra de Google y de 196 países, donde se encontraba involucrada una gran Botnet internacional.

Referencia:
VELTE, A., VELTE, T. y ELSENPETER, R. (2010) Cloud computing. A practical approach. McGraw Hill.

Inseguridad Informática: Lecciones aprendidas y Exploración del futuro

2010-02-07T18:16:00.000-05:00

Revisar la historia reciente (últimos 10 años) de la seguridad de la información es enfrentarse a un mundo interesante de inesperados cambios y giros no previstos, materializados en la inevitabilidad de la falla, en actuaciones temerarias y situaciones límite de los usuarios.

La creatividad de los atacantes, las singularidades de los usuarios y la materialización de malas prácticas, establecen un caldo de cultivo lo suficientemente atractivo para que la semilla de los incidentes germine rápidamente y con frutos inesperados. Durante los últimos 10 años, las fallas propias relacionadas con las aplicaciones, el estudio detallado de funciones de los lenguajes de programación, los casos de mal uso y abuso del software, así como el creciente uso de las comunicaciones han marcado la historia de la seguridad de la información.

Desde el año 2000 en adelante los ataques de denegación de servicio han sido uno de los retos más importantes para los investigadores e infraestructuras de las organizaciones, así como las frecuentes fallas o vulnerabilidades propias de las aplicaciones en el web y la mutación permanente del código malicioso disponible en muchos sitios web y redes sociales.

Las enseñanzas de la inseguridad de los últimos 10 años podríamos resumirlas en una exigente necesidad de interconexión permanente, acceso a la información de forma ágil e instantánea y sobremanera, interacción permanente y sin restricciones. En este contexto, la vida en internet se ha volcado en un continuo compartir de unos con otros, en una apertura total y completa por encontrarse en un espacio común y descubrir nuevas posibilidades para construir negocios y relaciones de corto y largo plazo.

Así las cosas, nosotros los navegantes en internet hemos privilegiado las funcionalidades y posibilidades de la red, ignorando los riesgos y advertencias sobre el manejo, uso y transmisión tanto de nuestros datos como de la información. Hemos vivido un espejismo de confianza creado por la interacción y facilidad de las conexiones, olvidando la recomendación básica de mamá como es “no hables con extraños”.

Durante estos primeros diez años del nuevo milenio, las lecciones aprendidas en la protección de la información nos dicen, que si bien no hemos ganado la guerra, si hemos librado batallas que nos enseñan cómo se mueve nuestro enemigo, de qué se aprovecha con frecuencia y cómo se mimetiza en los procesos empresariales. Conocer la inseguridad de la información, debe ser una forma para avanzar en el aseguramiento de las soluciones de información, una forma de cuestionar nuestros diseños y una exigencia para definir estrategias de sensibilización e interiorización ajustadas a la realidad empresarial.

En este sentido y considerando lo anterior, la pregunta natural es ¿qué pasará en los próximos 10 años? ¿a qué nos enfrentaremos? ¿Qué nuevas variantes y sorpresas nos traerá la inseguridad? Para tratar de responder estas inquietudes muchos estudios han delineado horizontes de temas específicos que podrían generar importantes efectos en la dinámica de los negocios en el futuro. Dentro de las tendencias identificadas tenemos las siguientes:

1. Computación en la nube
2. Computación ubicua y móvil
3. Computación verde
4. Seguridad de 360 grados
5. Redes sociales y second life
6. Tercerización de la infraestructura
7. Monitoreo activo de la seguridad
8. Perímetros porosos y extendidos
9. Desobediencia del factor humano
10. Ciberguerra

Esta lista de temas nos debe poner a pensar en las diversas manifestaciones que están por venir, frente a la protección de la información en un escenario como el precedente; donde nada parece ser lo que es, las personas estarán aún con mayores posibilidades de acción y reacción, los terceros tendrán mayores responsabilidades frente a la información y la seguridad querrá estar en todas partes y en cada momento, lo que en últimas plantea el reto de la privacidad frente a la necesidad de aseguramiento.

Los recientes aires de guerra en internet, ciberataques confirmados por naciones y una creciente de demanda de servicios de almacenamiento de contenidos como videos, audio y datos, nos hacen pensar que una nueva ola de inseguridad está por venir, que si bien no es una llamado a un estado de paranoia en la red, si es una llamado a la vigilancia y aseguramiento de nuestra información: un mínimo de paranoia bien administrada.

Muchos piensan que Google es el “gran hermano”, que nuestros movimientos están siendo monitoreados y registrados, que nuestra vida se traducen en accesos e información disponible en la red y puede que eso sea verdad en algún momento, pero lo que no podemos dejar de advertir, es cómo elevar nuestro espíritu creativo para hacer de nuestras prácticas de seguridad, la mejor línea de defensa frente a los desafíos de la inseguridad.

Referencias consultadas:
2010 IT Skills Hot list – http://www.footepartners.com/2010%20Predictions_FootePartners_121009.pdf
IT spending on services 2010 - http://www.cioupdate.com/budgets/article.php/3848481/IT-Spending-for-Services-a-Mixed-Bag-in-2010.htm
2010 State of the CIO Survey - http://www.cio.com/article/511240/2010_State_of_the_CIO_Today_s_Focus_for_IT_Departments_Business_Opportunities_
IDC Predictions 2010: Recovery and transformation – http://cdn.idc.com/research/predictions10/downloads/Top10Predictions.pdf
Top 10 Strategic Technologies for 2010 - http://www.pcworld.com/businesscenter/article/182801/top_10_strategic_technologies_for_2010.html
Top 10 Hot Technology Trends for 2010 - http://vartips.com/carriers/verizon-business/top-10-hot-technology-trends-for-2010-760.html