Retando el modelo de riesgos y controles: la inseguridad de la información como paradigma sistémico de oportunidades y realidades emergentes.

Introducción

Anota Covey y Colosimo (2012): “Vivimos en un momento en el que grandes fuerzas convergen para crear un nuevo mundo. El paisaje económico está sufriendo cambios sísmicos que generan un panorama de oportunidades para cada uno de nosotros. (…)”, en consecuencia, podríamos decir que estamos ad portas de una renovación total de lo que conocemos y por tanto, los paradigmas conocidos se agrietan, dejando una sensación de muchas preguntas y pocas respuestas.

Este estado natural y cíclico de la humanidad, nos advierte que la era industrial, donde la fuerza, los tiempos y movimientos predecibles eran la constante, formalmente llega a su fin para darle paso a una sociedad de construcción colectiva y de intereses compartidos, que tiene su fundamento en el trabajador del conocimiento, ese que “es capaz de escoger el problema en el que trabajará, el que plantea los problemas a revisar  y que no reconoce límites con respecto a qué tanto puede contribuir.” (COVEY y COLOSIMO 2012, pág. 17)

En este contexto la seguridad de la información, no es la excepción y por tanto, exige tanto a analistas como a profesionales de la protección de la información, nuevas aproximaciones para entender los retos que demandan esta nueva era dominada por la nube, la tercerización, los móviles y las comunicaciones instantáneas.

En consecuencia la vista natural por alcanzar altos niveles de protección frente a las amenazas basadas en tecnología, personas y procesos, enfrenta el límite natural del lenguaje de los riesgos y controles, que se ha venido desgastando en las organizaciones, dejando poco espacio para la imaginación y propuestas innovadoras para repensar la seguridad de la información en las empresas.

Cuando el entendimiento de la seguridad de la información, se circunscribe a un ejercicio de riesgos y controles, o a la consideración de temas de cumplimiento normativo, la vista de la protección de la información se cierra a un mundo donde no se tolera la materialización de incidentes o fallas parciales o totales, en personas, procesos o tecnología, pues ello implica un impacto negativo que no estamos dispuestos a asumir.

En esta lectura actual de las organizaciones, estamos asistiendo a un mundo ajeno a la falibilidad humana y por lo tanto, negado al aprendizaje propio de la sabiduría del error. Cosa diferente podemos advertir, cuando desde el paradigma de la inseguridad de la información entendemos la forma como nos enfrentamos a las amenazas de la información, donde analizamos las relaciones propias de las personas, procesos y tecnología, no para entender lo que ocurrió, si no para ver de manera sistémica los riesgos emergentes, que están más allá del entendimiento de cada objeto particular de análisis.

Así las cosas, este documento nos presenta una breve revisión del enfoque clásico de protección de la información y sus bondades, así como las limitaciones propias del mismo, que da paso a un entendimiento más generoso y prospectivo que la inseguridad de la información ofrece, como punto fundamental que entiende en la esencia de los incidentes la forma de lograr mayor resistencia a la materialización de las amenazas, tratando éstas en su propio terreno y no en un mundo donde no existe la falla y la condición natural es la seguridad y la certidumbre.

El mundo de los riesgos y controles

La forma tradicional de entender las situaciones inesperadas o que se salen de la normalidad, están sometidas al imperio del entendimiento de las causas y efectos que éstas exhiben para establecer acciones que no permitan que estas vuelvan a ocurrir. Sin embargo, sabemos que la condición natural de la inestabilidad e incertidumbre propia de la dinámica de los procesos en las empresas, hace que de manera permanente estemos expuestos a condiciones límites que nos llevan a reaccionar frente a ellas y nuevamente actualizar los análisis de riesgos y controles.

El modelo de riesgos y controles es un modelo sistemático que estudia los diferentes elementos que componen el sistema que se estudia, buscando un conjunto base de condiciones que pueden afectar elemento y los impactos que la materialización de la misma puede generar en el sistema como un todo. En este sentido, este modelo emprende la búsqueda de respuestas frente a eventos inesperados sobre cada elemento particular de estudio, para configurar una vista básica de análisis que advierte al analista aquellos puntos críticos de análisis que debe revisar para minimizar los impactos identificados.

Los métodos propios de la administración de riesgos conllevan la elaboración análisis detallados que generan recomendaciones puntuales que permiten a los interesados entender los posibles puntos de falla que son pertinentes para el negocio o situación que se estudia, dejando claridad de las valoraciones frente a los diferentes tipos de riesgo como son riesgo inherente, riesgo de exposición y riesgo residual.

Estas calificaciones y aplicaciones, que de manera general se establecen en el estándar de administración de riesgos AS/NZ 3260 (Disponible en: http://www.imfperu.com/facipub/download/contenido/dnl/fp_cont/902/dlfnc/file/standard__adm_risk_as_nzs_4360_1999.pdf ), han generado un lenguaje propio de prevención y aseguramiento corporativos que ha permitido permear las empresas desde el nivel directivo hasta la base de sus operaciones, desarrollando una cultura de riesgos que entiende en la prevención la forma más adecuada de hacer las cosas, que actualiza sus prácticas frente a la gestión de fallas identificadas y que visualiza en su entorno condiciones más confiables para sus operaciones.

Elementos principales del proceso de administración de riesgos. Estándar AS/NZ 4360.

Si bien este modelo ha permitido a muchas organizaciones prevenir y advertir situaciones críticas que, de haberse materializado, hubiesen sido afectadas de manera importante, hoy se requiere repensar el mismo para evolucionar hacia una vista más sistémica y relacional, que permita no solamente seguir unos pasos definidos, sino plantear escenarios más elaborados desde la incertidumbre y no desde la vista de la mitigación del riesgo. Esto es, no tener como objetivo disminuir el riesgo identificado, sino que analizando las condiciones y relaciones de los objetos propios de la situación, conocer la amenaza y como fruto de ello, aprender las dichas interacciones y así plantear nuevas relaciones que muestren el comportamiento que deseamos.

El mundo de la inseguridad de la información

Concebir o entender un objeto de estudio desde la inseguridad de la información, significa comprender que reconocemos la inevitabilidad de la falla como la condición base para explicar los resultados de un incidente que se presente. Esto es, como se advierte en CANO (2007), reconocer las características básicas de la inseguridad como son:

• Es objetiva, es decir es propia de los objetos.
• Es tangible
• Es una propiedad inherente a los objetos
• Es posible establecerle cota superior
• No requiere modelarse para que se presente.

Así las cosas, creer que es posible agotar la comprensión de las condiciones de falla parcial o total con un análisis de los componentes del objeto estudiado nos confina a un escenario limitado y poco confiable de posibilidades, por tanto se hace necesario entenderlas en el contexto relacional en que ellas operan, para lo cual retomamos el modelo de administración de la inseguridad informática documentado por CANO (2007) como fuente base de la propuesta que extienda los alcances actuales de la gestión de los riesgos.

 Modelo de Administración de la Inseguridad Informática (Adaptado de CANO 2007)

El modelo mencionado establece un concepto de recursión o desdoblamiento de complejidad, que reconoce las relaciones propias de los niveles estratégico, táctico y operativo de las empresas. Esto es, el nivel estratégico compuesto por las expectativas empresariales, los objetivos de negocio y la tecnología, establecen relaciones guidas por la confianza requerida por la empresas para mantener sus relaciones con sus grupos de interés y asegurar la transparencia de sus operaciones.

Para lograr lo anterior, debe funcionar en el nivel táctico elementos conexos como son la cultura de seguridad de la información, los estándares y buenas prácticas y la arquitectura de seguridad, para asegurar que la organización se ajusta con los temas de regulación y cumplimiento frente a referentes internacionales y nacionales, mostrando que es capaz de mantener una vista homogénea de la gestión de la protección de la información.

Finalmente y no menos importante, para que el objetivo planteado en el nivel táctico se materialice, se hace necesario desarrollar relaciones entre los procedimientos de operación, las prácticas de seguridad de la información y, las exigencias de configuración y adecuación de la tecnología se ajusten a las necesidades de la empresa y sus retos, para asegurar una operación confiable, repetible y verificable.

Como podemos ver, cada nivel es interdependiente del otro, con lo que desde ya se marca una diferencia sustancial frente al análisis de riesgos tradicional. En línea con lo anterior, el modelo sugiere que cuando se pasa de un nivel a otro, se utilice un método de análisis (que puede ser el análisis de riesgos tradicional), el cual debe asistir al analista para descubrir la inseguridad de la información, tanto en cada uno de sus componentes como en las relaciones que cada nivel privilegia:

• Estratégico – Relaciones para generar confianza y transparencia
• Táctico – Relaciones de regulación y cumplimiento
• Operacional – Relaciones de confiabilidad y aseguramiento

(Nota: La relación de construcción colectiva de relaciones establece, que las relaciones de confiabilidad y aseguramiento, son fundamento de las de regulación y cumplimiento, y éstas últimas, son determinantes para la generación de confianza y transparencia de la gestión empresarial. Por tanto, para poder entender la inseguridad de la información en una organización, no es suficiente entender cada nivel por separado sino en una vista integral y sistémica que comprenda las implicaciones del diagnóstico por nivel de las mismas.)

Como resultado de esta aplicación y descubrimiento, tenemos la base conceptual de las amenazas, riesgos y condiciones que pueden comprometer el cumplimiento de las metas corporativas. Acto seguido, el modelo establece que, basado en el resultado de los análisis realizados, se adelante el diagnóstico de cada nivel analizado. Esto es, estudie en profundidad los resultados entregados, sobre la relación que se privilegia en cada nivel para conocer los impactos en el nivel estudiado y cómo este afecta al nivel superior, lo que en la gráfica se anuncia como el diagnóstico.

Para adelantar un diagnóstico, las herramientas de análisis de riesgos se quedan cortas, por lo que se hace necesario acudir a otros métodos que nos permitan construir de manera consistente este tipo de resultado, claramente complementario al de un análisis de riesgos. En el diagnóstico no se examina qué ha ocurrido, sino por qué ha ocurrido, es decir, comprender la variedad propia de las relaciones estudiadas para, desde una vista estructural, reconstruir las relaciones privilegiadas en cada nivel asegurando la viabilidad del sistema estudiado y la coordinación requerida de los componentes para lograr el resultado esperado en dicho nivel, que impacte de manera positiva su relación superior.

Retando la inevitabilidad de la falla

Cuando utilizamos un método diferente para comprender la inseguridad de la información, fuera del contexto de la mitigación de los riesgos, donde de manera tácita se quieren mayores certezas y claridades, estamos recorriendo los hilos invisibles de la inseguridad que se esconden en las relaciones de los objetos estudiados.

Un ejemplo sencillo para explicar esta mirada alterna para construir un referente de seguridad de la información, es tomar la relación primaria del nivel estratégico y analizarla desde las expectativas de la alta gerencia, esto es verificar en su lectura política y práctica las inquietudes que tienen frente al aseguramiento de la información. Para ello, las técnicas de análisis de riesgos plantean contextos que les permiten a los miembros ejecutivos de las empresas establecer condiciones generales de exposición como son las sanciones, los errores u omisiones, multas entre otros, que son elementos que por lo general preocupan de manera particular a los gerentes y miembros de junta cuyos impactos se reflejan en la reputación e imagen de la empresa.

Si bien este ejercicio, es base para observar las expectativas de los altos gerentes, la relación de confianza que se privilegia en ese nivel, no se aborda con la suficiencia requerida, toda vez que la vista diagnóstica que se alimenta del ejercicio realizado a nivel táctico, enriquece los escenarios que confrontan las relaciones propias entre los objetivos de negocio, la tecnología y las expectativas empresariales. Esto es, si el nivel táctico no está fortalecido en su relación de regulación y cumplimiento, su impacto en la lectura de los grupos de interés y en las expectativas empresariales, generará inestabilidad empresarial que puede distraer a la empresa para avanzar en relaciones con socios de negocio claves que potencien las estrategias corporativas.

Más aún, esta conclusión, estará articulada en el hecho de que la confiabilidad de las operaciones, tienen fallas estructurales que deben ser advertidas y revisadas, para repensar la relación del nivel operacional en función de comportamientos, coordinaciones y adaptaciones requeridas, para que se materialice el resultado esperado, que impacte de manera positiva el nivel táctico.

Como quiera que esta forma de comprender la inseguridad de la información, en el mundo de las relaciones estructurales, exige mantener una vista tanto de diagnóstico sobre el nivel superior que lo contiene, así como del nivel inferior que se analiza, las organizaciones y los analistas de seguridad, deben saber que dicho ejercicio, redundará en mejoras sustanciales de sus análisis, que no sólo advierten condiciones de peligro de los elementos analizados, sino de escenarios probables que están íntimamente relacionados con los diagnósticos de los niveles analizados.

Reflexiones finales

Para aquellos que se han tomado el tiempo de llegar hasta este punto de la reflexión, puede haber un cierto nivel de inquietud, pues necesariamente las acciones detalladas, demandan una forma de pensar estructural y recursiva, que contrasta con nuestra aproximación lineal propia de las causas y efectos.

La vista estructural de análisis y diagnóstico, rompe con la estabilidad de modelo de riesgos y controles, pues reconoce a la inseguridad como una dualidad que “comprende las propiedades emergentes de los sistemas (analizados) bajo condiciones y realidades extremas, las cuales no son viables en una estrategia de protección causal (dualismo) sugerida por la seguridad de la información”.(CANO 2004)  En este sentido, la vista extendida que se propone en este documento, nos permita ver con mayor profundidad como las relaciones privilegiadas en cada nivel planteado, se enriquecen frente a las propiedades y escenarios emergentes resultado del análisis de las relaciones.

En este contexto, un analista de seguridad de la información, encuentra en la vista de la inseguridad de la información, la visa de acceso a realidades no documentadas en el modelo general de riesgos, para comprender los impactos de las relaciones y las condiciones de excepción que se pueden presentar más allá de un análisis tradicional. El ejemplo planteado en este documento, ilustra una visión claramente estratégica del entendimiento de la seguridad de la información, que interconecta las realidades de lo táctico y operacional, como fundamento de los escenarios y los impactos que se pueden gestar dentro de la vista empresarial de la estrategia y cómo la protección de la información hace la diferencia en su diagnóstico.

Comprender las relaciones claves de cada nivel nos pone de manifiesto sus posibles realidades emergentes, lo que nos revela la necesidad de su diagnóstico. Así las cosas, el nivel táctico es influenciado claramente por el operativo, en la medida que los comportamientos y valores respectos de la información se hagan realidad en las prácticas de seguridad y en los procedimientos de operación. De igual forma el nivel táctico afecta el nivel estratégico, en el escenario donde la relación de cumplimiento y regulación no permite una vista homogénea de la cultura, la arquitectura y el aseguramiento de estándares y buenas prácticas.

Finalmente, si estamos en un mundo dominado por la incertidumbre y la inestabilidad, que se contrae y moviliza de manera asimétrica, no podemos mantener una posición estática ni centrada de la realidad basada una vista exclusivamente de causas y efectos, sino saltar al escenario y vibrar con la inestabilidad y sísmica de sus movimientos, para que en el terreno de la inseguridad de la información, podamos comprender sus relaciones y propiedades emergentes, y así ser asistentes privilegiados del curso avanzando y siempre innovador que ofrece la inevitabilidad de la falla.

Referencias

CANO, J. (2004) Inseguridad Informática. Un concepto Dual en Seguridad Informática. Revista de Ingeniería. Universidad de los Andes. Facultad de Ingeniería. Mayo ISSN: 0121-4993

CANO, J. (2007) Administración de la inseguridad informática. Repensando el concepto de gestión de la seguridad informática. Revista Hakin9. No.23 Hard Core IT Security Magazine. Polonia

COVEY, S. y COLOSIMO, J. (2012) Cómo construir la carrera de su vida. Grijalbo.

AS/NZ 4360 – Estándar de Administración de Riesgos.