En un mundo hiperconectado,
de economía digital, de información instantánea, de múltiples identidades y
cambios inesperados, el reto de la protección de la información es una realidad
que exige mantener un balance entre la versatilidad de las tecnologías, las exigencias
de los usuarios y el aseguramiento de la información (no tanto por su acceso,
como por su uso) (CHINN, KAPLAN y WEINBERG 2014). En este escenario, cualquier
iniciativa que se proponga para un adecuado tratamiento de la información deberá
sujetarse a tres características, que las organizaciones demandan para
aprovechar las oportunidades del entorno y sintonizar sus exigencias de
cumplimiento normativo: liviana, sencilla y efectiva – LSE.
En este sentido, sabiendo que
los mecanismos tradicionales de control serán superados, la fuga de información
sensible se va a presentar y que cada vez más el área de TI pierde control de
los dispositivos que se conectar o consumen servicios (MacDONALD 2013), tenemos
que acostumbrarnos a suponer que el atacante ha comprometido nuestras defensas.
Es decir, es necesario destruir la falsa sensación de seguridad que hemos
construido alrededor de nuestros controles y mantener una postura de monitoreo
y respuesta activa que nos permita mantener el nivel de riesgo residual que
hemos declarado.
En consecuencia, de acuerdo
con KINDERVAG y SHEY (2012) la brecha de seguridad entre los nuevos métodos de
ataque y los controles tradicionales continúa a favor de los atacantes. En
línea con lo anterior, el surgimiento de organizaciones criminales formalmente
establecidas, algunas veces patrocinadas por estados, establecen desafíos
importantes para las organizaciones y naciones, toda vez que las motivaciones y
objetivos de sus acciones, requieren no solamente utilizar herramientas
conocidas, sino el desarrollo de nuevas con diferentes alcances y matices, los
cuales alimentan la entropía de la inseguridad, superando las
reflexiones actuales de los analistas de seguridad de la información.
De otra parte, el concepto de
perímetro, heredado de las buenas prácticas de seguridad física y de la guerra
tradicional, se desvanece con la incorporación acelerada de los dispositivos
móviles. La apropiación y uso intensivo de la movilidad, representa un
motivador altamente atractivo para las empresas, como quiera que se pueden
tener acceso a aquello que se requiere o interactuar de manera oportuna con un
contacto clave, sin embargo, configura un perímetro poroso donde no fácil
distinguir quién es, qué está haciendo y desde dónde.
Así las cosas, el concepto de
detección se debilita frente al nivel de sofisticación de los ataques, a la
capacidad de los atacantes para mimetizarse entre diferentes tipos de vectores
de ataque, a los diversos recursos que se pueden usar para enumerar, analizar,
comprometer, destruir y tomar control, para retomar el concepto de defensa, que
no es otra cosa que la capacidad que debe desarrollar una organización o
infraestructura para hacerse resistente a los ataques, aprendiendo de éstos.
Lo anterior exige nuevas
disciplinas de operación en la seguridad de la información, que incorporen y
desarrollen el concepto de inteligencia, engaño, contrainteligencia, agentes
encubiertos, entre otros, muy propios de los cuerpos militares, como prácticas
extendidas de los conceptos de seguridad de la información, que ahora juegan en
un nuevo escenario de confrontación que proponen los atacantes, lo que se ha
denominado el ciber espacio.
Por tanto, las habilidades y
competencias de los oficiales de seguridad de la información, deberán ajustarse
para comprender este nuevo escenario de actuación, que no solamente les exige
conocer lo que ocurre en su propio dominio, sino reconocer la nueva realidad
extendida, persistente, avanzada y silenciosa de enemigos digitales que van a
comprometer sus defensas, engañarlos con sus propios controles y esconderse
dentro de su propio patio.
Esto significa que la
seguridad de la información debe regresar a lo fundamental, a la esencia que la
motiva y la guía, la información y las personas. En consecuencia, las
estrategias que se planteen en este “nuevo teatro de operaciones” deberán
moverse: (MacDONALD 2013)
DE UN:
|
A UNO:
|
Modelo de seguridad centrado
en la tecnología
|
Centrado en la información
|
Modelo de control
centralizado
|
Centrado en la persona
|
Modelo centrado en los
procesos
|
Centrado en el monitoreo y
respuesta activa
|
Modelo de correlación de
eventos
|
Centrado en inteligencia y
defensa activa
|
Tabla No.1 Cambios en la práctica de la seguridad de
la información
Habida cuenta de lo anterior,
el moverse tan rápido como los cambios tecnológicos y las asimetrías de la
dinámica de los negocios, demanda del ejecutivo de seguridad de la información,
comprender lo importante de aquello que requiere proteger la empresa y motivar
una propuesta de seguridad y control, liviana en su ejecución, sencilla en su
operación y efectiva en su aplicación.
Para lograr lo anterior, el
cambio sugerido previamente requiere un desarrollo en profundidad de una
transformación de la cultura organizacional de seguridad de la información, que
no solamente pregunte: “dígame que tengo que hacer” y sino “hagámolo de manera
confiable”. Mientras la primera aseveración se entiende como una imposición,
algo que se exige desde fuera, la segunda es una afirmación y convencimiento
propio que ha conectado lo que la persona cree, hace y ve.
En este entendido, las
personas se convierten en cuerpos de defensa digital entrenados para resistir
diferentes escenarios, con la claridad que en algún momento, el incidente o la
brecha se va a presentar. Esto es, la construcción de una inteligencia
colectiva, basada en una doctrina de protección, que de manera conjunta y
coordinada es capaz de responder y notificar patrones anormales de acciones
tanto informáticas como físicas.
Lo anterior significa que
debemos desarrollar un enfoque de gestión de riesgos enriquecido, que incluya
la disuasión y la defensa, los servicios críticos y los costos de protección,
que permitan no solamente tratar los riesgos conocidos, sino que dicho
ejercicio se enriquezca con los riesgos latentes, los focalizados (de su
industria) y los emergentes. (HATHAWAY, 2014, CANO 2013)
Por tanto, el llamado
permanente de la prevención, que ha sido el enfoque tradicional de las
auditorías, se debe revisar ante las amenazas elaboradas y sofisticadas de las
cuales son víctimas las organizaciones hoy. No es suficiente mantener
concientizadas las personas sobre el tratamiento de la información, se hace
necesario efectuar acciones informadas, que respondan a una estrategia
coordinada para tomar control de la situación, con la claridad de los roles que
intervienen y el alcance de los mismos.
Si bien en este escenario
agreste y espinoso que tenemos hoy, no existe espacio para la comodidad o
pasividad, si debemos habituarnos a nuevas prácticas de seguridad y control que
busquen una postura de falla segura, una capacidad de respuesta ante fallas,
simulacros permanentes de fallas totales o parciales, operaciones informáticas
encubiertas, que mantengan nuestra atención y afinen nuestro olfato para cerrar
la brecha de nuestra respuesta frente a eventos inesperados.
En síntesis, podemos anotar
que estamos cruzando el umbral de una práctica de seguridad de la información
basada en probabilidades y ciclos conocidos, a una basada en posibilidades y
pronósticos de realidades inciertas, que busca complementar los referentes y
estándares actuales.
Como quiera que, las
fronteras del tratamiento de la información se expanden dentro y fuera de las
empresas, se hace necesario cambiar la mentalidad táctica-operativa del responsable
de seguridad, a una de pensamiento estratégico-defensivo, donde todo lo que ha
aprendido, se convierta en insumo para anticiparse al siguiente escenario de
riesgos y amenazas emergentes.
Si esto es así, el ejecutivo
de seguridad de la información deberá esforzarse para pensar no solamente en
aquello que puede ver y observar en el ejercicio de su gestión sobre los
activos críticos de una organización, sino advertir aquello que no se ve y que
duerme en medio de los linderos conocidos, esperando no ser notado, para actuar
cuando menos se espere.
Es decir, ser un estudiante y
analista permanente de la inseguridad de la información, debe entrenar al
encargado de su protección, para crear dudas en su adversario y desequilibrar a
su favor las condiciones del juego de defensa y ataque.
Esta postura (por demás temeraria
y disruptiva) demanda entender la seguridad de la información más allá de un formalismo
de cumplimiento basado en controles, como una doctrina de combate estratégico
donde, el oficial de seguridad de la información, esté dispuesto a violar sus propias
contramedidas para hacer visible en la realidad de la operación, aquello que es
invisible a la cotidianidad de la acción.
Referencias
MacDONALD, N. (2013) Prevention Is Futile in 2020: Protect Information Via
Pervasive Monitoring and Collective Intelligence. Gartner Research.
KINDERVAG, J. y SHEY, H. (2012) Defend your business from the mutating
threat landscape. Forrester Research.
HATHAWAY, M. (2014) Advanced Research Workshop Findings. Publicado en HATHAWAY, M.(Ed.) (2014) Best Practices in Computer Network Defense:
Incident Detection and Response. IOS Press.
CHINN, D., KAPLAN, J. y WEINBERG, A. (2014) Risk and responsibility in a
hyperconnected world: Implications for enterprises. Mckinsey Report. January. Disponible
en: http://www.mckinsey.com/insights/business_technology/risk_and_responsibility_in_a_hyperconnected_world_implications_for_enterprises (Consultado: 7-03-2014)
CANO, J. (2013) La ventana de
AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Publicación en Blog. Disponible en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html
(Consultado: 7-03-2014)
No hay comentarios:
Publicar un comentario