Cultura de ciberseguridad: Un estandar de comportamiento colectivo

La era de la información, como es frecuentemente llamada nuestra sociedad actual no es otra cosa que la consecuencia natural del ser humano por conocer y descubrir su propia realidad y dejar evidencia y registro de sus observaciones, bien como forma de operacionalizar y ordenar lo observado y experimentado, o como testimonio de una visita sincrónica o asincrónica de un legado reciente que captura un momento en el tiempo.

Así las cosas los datos privados, la propiedad intelectual, la infraestructura y aún las fuerzas militares y la seguridad nacional pueden ser comprometidas por ataques deliberados, inadvertidas fallas de seguridad y vulnerabilidades inherentes de internet y sus diferentes componentes y relaciones. En este sentido, los gobiernos han venido revisando sus agendas para comprender estos nuevos fenómenos, que definitivamente alteran la gobernabilidad de las naciones y ponen en tela de juicio a las instituciones frente a sus ciudadanos.

Enfrentar esta realidad exige el conocimiento de los cambios en los hábitos y estilos de vida de los nuevos habitantes de la red, seres necesitados de interacción permanente, servicios novedosos e interacción móvil, para fortalecer el empoderamiento que la tecnología y sus componentes les brindan, y hacer de su espacio vital, una extensión misma de su vida natural, en un contexto virtual.

En consecuencia, una falta de atención a las amenazas de seguridad en un ambiente abierto e interconectado, crea un vector de ataque impredecible, que articulado con una “confianza inusual” de los jóvenes de ciudadanos digitales en los medios informáticos, establece un tejido oculto y desafiante que mimetiza a los atacantes, creando un ecosistema paralelo y dependiente donde los cautivos usuarios serán objeto de acciones indeseadas o en el peor de los casos, actos que atenten contra su integridad física.

Al tener un colectivo de visiones en un espacio prácticamente infinito como lo es internet, podemos tener grandes beneficios como alto niveles de transparencia y responsabilidad por lo que se hace o deja de hacer, pero de igual forma, una puerta para abandonar y evadir cualquier investigación que trate de llegar la verdad. Por tanto, construir una visión de ciberseguridad global o al menos local, exige la creación de un espacio de confianza psicológica y tecnológica, que motive en los participantes, la aplicación de prácticas que limiten las acciones de los terceros no autorizados.

En la búsqueda de esta condición de apertura e intimidad con los artefactos tecnológicos, se precisa mantener un balance que comprenda las expectativas de los individuos en su interacción a través de internet y las responsabilidades de las autoridades gubernamentales en esta interacción. Luego, no es posible cargar un solo lado de la balanza, pues de hacerse, los intrusos sabrán que habrá oportunidad para continuar cuestionando las iniciativas de los gobiernos y provocando a los ciudadanos, haciendo que éstos, ante su desesperación, actúen de manera errática y desordenada.

Para que esta cirugía de precisión se materialice, se hace necesario cambiar la vista de seguridad, por la vista de riesgos. Es decir, la seguridad es una propiedad emergente que se presenta fruto del diseño de la interacción de elementos como la tecnología, las personas y los procesos, mientras los riesgos son una propiedad inherente a los objetos que representan aquellas amenazas y condiciones que pueden atentar contra este (bien de manera positiva o negativa), razón por los cual deben identificarse y tratarse conforme se requiera.

Cuando encontramos en la vista de riesgos, una forma de repensar la tradición natural de la seguridad, como barreras y limitaciones que limitan un acceso, creamos una cultura creativa alrededor de la amenazas, que comprendiendo la dinámica de las relaciones, es capaz de sorprender a la atacante en su propio terreno y hacer de la condición inusual, una postura proactiva para enfrentar la condición insegura.

Hablar entonces de una postura de ciberseguridad en el contexto de los ciudadanos de la sociedad de la información y el conocimiento, es construir un estándar de comportamiento colectivo y protocolos de anticipación, reacción y contención, que encuentren en la amenazas informática del entorno, una forma de recomponer su posición frente al acceso a la información y sus servicios asociados, no como una limitación a su empoderamiento natural en la red, sino como una forma de darle sentido a sus derechos civiles y libertades individuales.

Cuando los individuos se hacen responsables de sus comunicaciones, de los contenidos de sus aportes en la red; cuando reconocen que existen formas alternas de acceder a la información y, que mientras mayor sea la exposición de sus datos en la red, mayor será la sombra digital que se puede ver; estamos asistiendo a la conformación de una conciencia de seguridad de la información colectiva, que reconoce y destruye la complejidad de la red y sus posibilidades; un sistema de lecciones aprendidas que no busca otra cosa que “desaprender” cada día para dejar al descubierto el camuflaje de la inseguridad de la información.

Ciber seguridad y ciber defensa: Dos conceptos emergentes en la gobernabilidad de una nación

Introducción

Los eventos recientes sobre fuga de información, las noticias de atacantes informáticos doblegando protocolos y tecnologías de seguridad, las fallas de seguridad que se han presentado tanto en el sector público como en el sector privado, son argumentos suficientes para evidenciar que estamos en nuevo escenario de riesgos y amenazas, donde la información se convierte en un arma estratégica y táctica, que cuestiona la gobernabilidad de una organización o la de una nación.

En este contexto, los ejercicios de riesgos y controles propios de las empresas, para establecer y analizar los activos de información críticos, han dejado de ser "algo que hacen los de seguridad" para transformarse día con día en una disciplina que adopta la organización para hacer de su gestión de la información una ventaja clave y competitiva frente a su entorno de negocio. Por tanto, la figura opcional de la seguridad de la información, comienza a desvanecerse y a tomar una relevancia estratégica, ahora en un escenario donde la información, es la "moneda fundamental" para generar, proponer y desarrollar posiciones privilegiadas de personas, empresas y naciones.

Cuando elevamos esta reflexión a nivel de estados y países, encontramos múltiples vistas para comprender los riesgos y amenazas frente a la información y sus impactos, que generan confusión y desconfianza, generalmente aprovechadas por los escépticos, para reparar en comentarios poco constructivos, que tratan de limitar la importancia de estos temas. Sin embargo, los hechos y eventos que se han presentado, mantienen la atención de gobiernos sobre estos peligros, que aunque escondidos en el tejido de las noticias cotidianas, son actores claves de las relaciones internacionales y capacidad de reacción de un estado.

Reconociendo al enemigo digital : Ciber defensa

Una primera estrategia que adoptan los estados cuando reconocen "al nuevo enemigo" en el contexto de una sociedad de la información y el conocimiento, es reconocer que cuenta con infraestructura de información crítica, requerida para mantener la operación y gobernabilidad del nación. Siguiendo la directiva presidencial No.13010 firmada por el Presidente norteamericano Clinton en 1998, se definen ocho sectores críticos cuyos servicios son vitales para el funcionamiento de la nación, cuya incapacidad de operación o destrucción tendría un impacto directo en la defensa o en la seguridad económica de los Estados Unidos. Los ocho sectores son: energía eléctrica, producción, almacenamiento y suministro de gas y petróleo, telecomunicaciones, bancos y finanzas, suministro de agua, transporte, servicios de emergencia y operaciones gubernamentales (mínimas requeridas para atender al público).

Así las cosas, un ataque masivo y coordinado a alguno o varios de estos sectores establece una condición importante y crítica para una nación, pues se pone en juego la estabilidad de la misma y la confianza de la ciudadanía en su gobierno para enfrentarse a estas amenazas. En este sentido, el concepto de guerra tradicional, se transforma para darle paso a una nueva función del estado que es la defensa de su soberanía en el espacio digital y la protección de los derechos de sus ciberciudadanos frente las amenazas emergentes en el escenario de una vida más digital y gobernada por la información.

En consecuencia, se acuña el término de ciber defensa como esa nueva connotación sistémica y sistemática que deben desarrollar los gobiernos para comprender ahora sus responsabilidades de Estado, en el contexto de un ciudadano y fronteras nacionales electrónicas o digitales. Un concepto estratégico de los gobiernos que requiere la comprensión de variables entre otras, la vulnerabilidades en la infraestructura crítica de una nación, las garantías y derechos de los ciudadanos en el mundo online, la renovación de la administración de justicia en el entorno digital y le evolución de la inseguridad de la información en el contexto tecnológico y operacional.

Considerando lo anterior, las reflexiones y decisiones sobre la seguridad nacional, tienen una renovada connotación, para atender ahora un enemigo móvil, cambiante y evolucionado, que se mueve tanto en las infraestructuras críticas como fuera de ella, que sabe lo reactivo que son las empresas y gobiernos, y que aún pueda ser identificado en sus ataques, se hace poco creíble probar que existió.

La defensa nacional, como noción acuñada por las fuerza militares de un país, requiere ser analizado y repensado en el contexto del "nuevo rostro de la guerra", de una confrontación que enfrenta lo mejor de los entrenados en el arte de la inseguridad de la información, con lo mejor de los entrenados para controlar y mantener la paz de una nación. Por tanto, animar una revisión de las estrategias de seguridad nacional en el contexto de posibles y factibles escenarios de confrontación tecnológica y de guerra de la información, prepara a los estados para defender su gobernabilidad y asegurar su resiliencia frente a condiciones de falla parcial o total.

A la fechas muchos estados (generalmente de países desarrollados) han tomado acciones concretas frente al reto de la ciberdefensa, encontrando en sus ciudadanos los primeros y más importantes aliados en sus estrategias de protección de la nación en el contexto digital. Dichos estados comprenden que es, desde el ciudadano y su experiencia en el uso de las tecnologías de información y comunicaciones, donde puede fortalecer el perímetro extendido de seguridad nacional digital, aunque sabiendo que es poroso y poco confiable, sabe que allí encuentra su mejor carta para hacer realidad su visión de defensa de la nación en un mundo interconectado.

Detallando las prácticas de aseguramiento: ciber seguridad

Para darle vida a esta visión de la defensa nacional digital, se requieren elementos específicos que materialicen ese querer en acciones detalladas, que aplicadas en las tecnologías de información e interiorizadas en los hábitos de los ciudadanos, puedan hacer evidente esa nueva propiedad emergente denominada seguridad nacional digital, esa que genera confianza, respeto y confiabilidad en las iniciativas del gobierno frente a la realidad de la creciente dinámica informática y de las telecomunicaciones.

Considerando lo anterior, se hace evidente que los gobiernos, no puede hacer realidad su nueva visión de la defensa, sin una estrategia concreta de prácticas de seguridad de la información, como base fundamental de su visión de seguridad nacional, donde cada uno de los individuos reconozcan en la información, ese activo fundamental que articula todas las infraestructuras críticas de la nación y que hace realidad el sueño de la una sociedad “informada”.

Así las cosas, el concepto de ciber seguridad, como realidad complementaria de la ciberdefensa, materializa el concepto de defensa nacional digital, en un conjunto de variables claves acertadamente definidas por la ITU – International Telecommunication Union, en las cuales se hacen necesarias el desarrollo de prácticas primordiales para darle sentido y real dimensión a la seguridad de una nación en el contexto de una realidad digital y de información instantánea.

La ITU, entendiendo que la problemática de la ciberseguridad requiere un esfuerzo colectivo y coordinado entre los diferentes países, establece cinco elementos fundamentales para desarrollar una estrategia de ciberseguridad acorde con la realidad de cada una de las naciones: desarrollo de un marco legal para la acción, desarrollo y aplicación de medidas técnicas y procedimentales, diseño y aplicación de estructuras organizacionales requeridas, desarrollo y aplicación de una cultura de ciberseguridad y la cooperación internacional.

Se vemos cada una de las variables establecidas por la ITU, no buscan otra cosa que comprender los riesgos propios de una sociedad de la información digital y en constante movimiento, que considere los aspectos normativos, las tecnologías de seguridad de la información, la organización de la seguridad de la información necesaria para operar, la cultura de seguridad de la información y la cooperación entre países, como fuente de la armonización de visión de la ciber seguridad en el planeta.

Reflexiones finales

En razón con lo anterior, cuando hablamos de ciber seguridad, necesariamente debemos considerar las acciones básicas que desarrolla una nación para proteger de manera coherente, sistemática y sistémica los activos de información crítica, distribuidos en toda su infraestructura y cómo ellos impactan la operación del estado.

De la mano con los conceptos de ciber defensa y ciber seguridad, se han venido desarrollando reflexiones académicas y de la industria relacionadas con ciberterrorismo y cibercrimen, dos amenazas emergentes en una sociedad digital, las cuales han comenzado a inquietar a los ciudadanos, quienes hoy por hoy se sienten expuestos frente a la materialización de las mismas y sus efectos reales sobre la confianza en el estado y sus instituciones.

Si bien la ciberdefensa como la ciberseguridad, son temas de estudio e investigación actual tanto en la industria, la academia y el gobierno, es claro que requieren atención inmediata con acciones definidas que permitan comunicar a los potenciales agresores, que estamos preparados para enfrentar el reto de un ataque informático coordinado y hacer respetar nuestra soberanía nacional digital.

Referencias

ITU (2010) Global cybersecurity agenda. Disponible en: http://www.itu.int/osg/csd/cybersecurity/gca/new-gca-brochure.pdf

US CONGRESS (1998) PRESIDENTIAL DECISION DIRECTIVE/NSC-63. Disponible en: http://www.fas.org/irp/offdocs/pdd/pdd-63.htm

CANO, J. (2008) Cibercrimen y ciberterrorismo. Dos amenazas emergentes. ISACA Information Control and Audit Journal. Vol 6. Disponible en: http://www.isaca.org/Journal/Past-Issues/2008/Volume-6/Pages/JOnline-Cibercrimen-y-Ciberterrorismo-Dos-Amenazas-Emergentes.aspx

CANO, J. (2008) La guerra fría electrónica y la inseguridad de la información. Publicación en Blog. Disponible en: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012245&random=4197

McAFEE (2009) Virtual Criminology Report 2009. Virtually Here: The age of cyber warfare. Disponible en: http://www.mcafee.com/us/resources/reports/rp-virtual-criminology-report-2009.pdf

Predicciones en Seguridad de la Información 2011

Cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y asimétrico, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

Considerando lo anterior y con la alta probabilidad de andar por caminos insospechados, trataremos de hacer una visión propositiva sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales reportadas hasta el momento y que prometen seguir o variar en el 2011.

A continuación cinco predicciones de lo que puede pasar durante 2011 en temas de inseguridad de la información.

1. Bienvenida la era Post PC

Comenta el analista de Forrester Research, Andrew Jacquit, que cada vez más estamos pasando de la era del computador de escritorio a una computación móvil, ágil y sin fronteras. Definir la era Post PC es considerar dispositivos inteligentes pequeños, con sistemas operativos propios, con aplicaciones prácticas para tener acceso a la información en tiempo real y una lucha entre los diferentes proveedores de dispositivos móviles, que siempre buscan una mejor experiencia para el usuario, aún a costa de la seguridad de la información que se encuentra almacenada en el dispositivo o transita en medio de las redes a las cuales tiene acceso. En este contexto, de acuerdo con diferentes informes de seguridad se verá un incremento de la inseguridad en los dispositivos móviles, como un reflejo del impulso de las transacciones por este medio y el privilegiar una interacción en línea, virtual y sin intermediarios.

2. Repensando los modelos de confianza: Identidad centrada en los datos

El interés creciente en los retos de la nube y el acceso a la información disponible, así como el desafío de alcanzar una trazabilidad más certera y verificable sobre la información y sus transacciones asociadas, será un requerimiento cada vez más evidente. La necesidad de atender con claridad los requisitos de cumplimiento, obligará a las organizaciones a repensar sus modelos de confianza, ahora basados en el control de acceso efectivo y real sobre sus datos, lo que hará que las organizaciones reaccionen y comiencen a buscar formas integrales para darle mayor confianza a los ejecutivos sobre quién ingresa a sus locaciones físicas, qué se hace sobre sus sistemas de información y quién hace uso de los beneficios de la empresa. Para lograr este nuevo salto, las corporaciones deberán pasar por no tener una clara perspectiva de quién hace qué y ni cómo, momento donde los atacantes, conocedores de esta realidad, pondrán a prueba la forma como se reconstruyen las transacciones y retarán los mejores equipos de atención de incidentes e investigadores forenses en informática.

3. La ciberseguridad como estrategia gubernamental

Los recientes hechos internacionales donde se pone a prueba la respuesta técnica, diplomática y administrativa de las naciones, frente a ataques informáticos que afectan organizaciones y revelan información restringida de éstas, así como, la exposición de secretos industriales y ataques contra la propiedad intelectual de los países y sus nacionales, son eventos que no han pasado inadvertidos por los estados, razón por la cual se vienen tomando medidas que permitan una acción más controlada y confiable frente a estos retos que muestra cada vez más el mundo interconectado. Todo esto necesariamente conlleva a una renovación de las tácticas y acciones de la seguridad nacional, que ahora concibe un estado extendido en las redes informáticas y unos ciudadanos digitales y móviles, que requiere atención por parte del estado y la generación de una paz digital frecuentemente amenazada por actores que quieren tomar ventaja o inclinar la balanza para su conveniencia. Así las cosas, 2011 será un año de revisión y consolidación de la ciberseguridad como parte de la gobernabilidad de una nación.

4. Explosión de la información: una realidad innegable

En un mundo donde la información se ha convertido en la moneda para tener acceso a múltiples escenarios y posibilidades, se advierte un riesgo inminente como es el de la pérdida de la privacidad. Mientras más se intercambia, registra y comparte información mayor es la huella digital que dejamos en la red, donde algunos inescrupulosos hacen mal uso de la misma. Tener huella digital en internet no es malo en sí mismo, es una forma de advertir una presencia en la red, que muestra tu grado de interacción y visibilidad que es posible alcanzar con un adecuado uso de los recursos disponibles. Sin embargo, desafiar el poder multiplicador y propagador de internet y sus sistemas conexos, cuando de compartir información se trata, sin medir las consecuencias de este acto, es despertar la furia del “Poseidon Informático” que se esconde en el mar de registros disponibles en internet, con lo cual tu vida, tus acciones y obras, serán objeto de revisiones, interpretaciones y actualizaciones algunas autorizadas y otras no, que dejarán entredicho si lo que haces corresponde o no con la realidad. Durante el año siguiente, las olas de información y los servicios implementados agitarán el mar de internet para generar nuevas mareas de pérdidas de privacidad y desequilibrios en el manejo y clasificación de la información.

5. De los logs a la ciberinteligencia

Si bien la información ha tenido una connotación importante para las organizaciones en más de una década, la pregunta es ¿qué están haciendo con ella? Para algunos la respuesta está en los modelos y avances en la generación de valor para los negocios con estrategias desequilibrantes y para otros, una manera de mantener los registros de las actividades de las empresas. Algunos investigadores hablan de inteligencia de negocios, como esa manera de explorar en los datos patrones y tendencias que te permitan ver comportamientos y acciones para responder de manera temprana a los mercados y otros, ven en los registros de información modelos históricos de eventos que hablan del pasado y de las lecciones aprendidas en el campo de batalla.

Así las cosas, el encontrar en la información una manera de anticiparse a los riesgos, una estrategia de validar y revisar tendencias, un forma de evidenciar las huellas del pasado y la generación de escenarios para predecir el futuro, es abrir la puerta a una nueva disciplina, que heredera de las tradicionales técnicas de inteligencia, es capaz de navegar en las aguas inestables de internet, para recabar propuestas innovadoras y anticipatorias que permitan estar un paso delante de los eventos, mostrar caminos alternativos para enfrentar a los mismos ciberdelicuentes y mantener una posición vigilante y privilegiada frente a los retos de los atacantes. Aunque este nuevo ejercicio de seguridad nacional e informática, aún está en sus inicios es bueno mantener la humildad y la distancia, pues sabemos que la inseguridad cuando menos lo esperemos nuevamente podrá sorprendernos.

Reflexiones finales

La seguridad de la información es un proceso exigente y dinámico que requiere la habilidad de sus responsables para mantener en movimiento su ojo crítico frente la dinámica de la inseguridad, no sólo para crear la sensación de confiabilidad requerida por los usuarios de las tecnologías, sino para que vinculando, a estos últimos en la conquista de la asimetría de la inseguridad, se construya de manera conjunta una distinción concreta y evidente de un ambiente controlado y confiable, mas no seguro.

Sólo nos queda observar el desarrollo del 2011, para ver cómo la inseguridad de la información nos sorprende y nos hace meditar nuevamente y así, pensar de manera distinta para abrirle la puerta a las posibilidades, esas que no son otra cosa que el insumo de la inevitabilidad de la falla, contexto que debe alimentar permanentemente el instinto y la mente del responsable de la seguridad de la información.

Referencias

PRICEWATERHOUSECOOPERS (2010) Revolution or Evolution? Information Security 2020. Disponible en: http://www.pwc.co.uk/eng/publications/revolution_or_evolution_information_security_2020.html (Consultado: 14-12-2010)

DELOITTE & TOUCHE (2010) Cybercrime: A clear and present danger. Disponible en: http://www.deloitte.com/assets/Dcom-UnitedStates/Local%20Assets/Documents/AERS/us_aers_Deloitte%20Cyber%20Crime%20POV%20Jan252010.pdf (Consultado: 14-12-2010)

JACQUIT, A. (2010) Security in the Post-PC Era. Forrester Research. Revisión del autor en: http://blogs.forrester.com/andrew_jaquith/10-10-15-whats_next_for_it_security_post_pc_devices (Consultado: 14-12-2010)

CANO, J. (2010) Fuga de la información. Revelando la inseguridad de la información en el factor humano. Disponible en: http://insecurityit.blogspot.com/ (Consultado: 14-12-2010)

KARK, K. (2010) The new threat landscape: Proceed with caution. Forrester Research. Disponible en: http://www.federalnewsradio.com/docs/The_New_Threat_Landscape.pdf (Consultado: 14-12-2010)

Fuga de la información: Revelando la inseguridad de la información en el factor humano

Revisando la etimología de la palabra fuga, encontramos que viene de la palabra fugare (en latín espantar, hacer huir), deriva de fugere (huir), por esta razón en latín fuga significa las dos cosas: persecución y huída. (Tomado de: http://etimologias.dechile.net/?fugar)

Considerando el origen de la palabra en español y su origen latino, la fuga es un acto en el cual se da una huída y a la vez una persecución. Podría decirse que no existe la huída sin una persecución. Necesariamente el acto de huir, exige una causa que anima a una de las partes a desaparecer del escenario y tratar de evitar ser visto o identificado para hacer más exigente la persecución por la otra parte interesada.

Con los recientes acontecimientos relacionados con la fuga de información (en inglés infomation leakage) se revelan muchos de los secretos mejor guardados de las naciones y la agenda paralela que se mantienen entre los gobiernos para mantener los lazos diplomáticos y acuerdos estratégicos. Si revisamos con cuidado, lo que ha ocurrido, podemos tener diferentes lecturas y motivaciones para calificar los hechos, bien como la mayor brecha de seguridad que se haya realizado o un acto de real libertad de información.

En cualquiera de los dos casos tenemos una fuga de información, que necesariamente genera una persecución, bien por haber expuesto información clasificada como secreta o altamente secreta, o bien por publicar y mancillar la privacidad natural y propia de tanto de las personas naturales como jurídicas. En este contexto, todos tenemos cosas que sabemos son restringidas y propias de nuestra intimidad, que estamos dispuestos a preservar de la mirada de otros, no porque sean ilegales o prohibidas, sino porque hacen parte de nuestra realidad y personalidad muy propia. Por tanto, todas las acciones que emprendamos para defendernos ante esta situación estará justificada frente a la magnitud de los hechos, sabiendo que las consecuencias de estas acciones tendrán efectos a corto, mediano y largo plazo e impactos en la reputación y buen nombre de los involucrados.

Si nos remontamos a otras épocas (la famosa guerra fría) donde la inteligencia y el espionaje era la norma natural a través de la cual las naciones generaban su posición Info-estratégica, encontramos que todas las personas involucradas en estas actividades reconocían en la información una de las formas a través de la cual era posible anticiparse o tener una perspectiva ventajosa frente a situaciones inesperadas en el corto o mediano plazo. Estos ejercicios realizados en el contexto de la seguridad nacional daban mayores márgenes de maniobra o negociación ante situaciones críticas, mientras que en el escenario de la industria privada fue la manera de anticiparse a la crisis de los mercados, reconociendo el valor de los ejercicios prospectivos y de inteligencia competitiva como apalancadores de la visión y la administración de los riesgos de los negocios.

Cuando somos testigos de uno de los hechos más representativos de fuga de información de la última década, son múltiples las visiones y afirmaciones que se advierten, frente a un hecho que naturalmente ocurre, como bien dice una señora casada: “de las puertas hacia adentro, yo si sé como son las cosas”. Dicho de otra manera, de las puertas hacia adentro, cada nación, empresa y persona, tiene detalles de los asuntos y acciones que han emprendido para mejorar y tener una posición práctica y relevante frente a eventuales vulnerabilidades propias de sus procesos de negocio y su estatus frente a su competencia en el entorno.

Por mucho que las naciones, organizaciones y personas se esfuercen para evitar una fuga de información, se hace necesario contar con la esfera inabarcable de los seres humanos, que quieran o no, están expuestos constantemente a guardar o revelar secretos como parte natural de su relacionamiento con otros. Si el secreto que se guarda le implica sanciones o efectos negativos posteriores, la persona estará persuadida de no hacerlo, aunque muchos podemos ser lo suficientemente osados para desafiar lo que haya por venir. Así las cosas, nadie puede vivir sin relacionarse con otros, por tanto la revelación de la información propia de nuestras relaciones estará enmarcada en la confianza y protección que al menos dos puedan hacer de ella, siempre y cuando no exista la intimidación o presión que se pueda tener por ésta.

Con los avances tecnológicos y una alta interactividad de los usuarios finales a través de medios inalámbricos, la información fluye tan rápido como ella se produce. Es así que tenemos ahora ciudadanos digitales empoderados y exigentes, que demandan estar “informados”, para tener una posición al respecto y por qué no incidir en la toma de decisiones que implica la situación. En este contexto, al compartir cada vez más información a través de las redes, perdemos espacio en nuestra privacidad, ese principio fundamental propio de la esfera personalísima que nos define y realiza, más allá de nuestras acciones y labores diarias, pues allí está la esencia misma de nuestra personalidad y razón de ser.

En razón con lo anterior, cada vez más tenemos escenarios para materializar una fuga de información, más allá de un acceso físico a documentos, o generación de grabaciones analógicas o digitales de conversaciones, ahora en un mundo interconectado y con múltiples plagas informáticas, vulnerabilidades y fallas de seguridad, los cuales no avizoran un mejor escenario para las naciones, organizaciones y personas. En consecuencia, las acciones que se emprendan para mitigar la fuga, deberán articular los aspectos tecnológicos, jurídicos, procedimentales y culturales para establecer una red de estrategias, que reten las motivaciones propias de aquellos que “buscan revelar” lo que está oculto y generar los impactos que satisfagan sus “intenciones” primarias.

Establecer estrategias en este sentido, es reconocer al ser humano como el eslabón más débil de la cadena y el elemento táctico más efectivo para enfrentar al mismo hombre. Dicho de otra forma, nosotros somos la causa y el control de la fuga de la información, razón por la cual los teóricos y practicantes de la seguridad se encuentran en una encrucijada, para poder enfrentar con efectividad este riesgo. Cuando la protección de la información corporativa se hace como parte extensiva de la custodia misma de la información personal y sus impactos, se confronta el entendimiento colectivo de la cultura y se hace evidente que nuestros comportamientos deberán ser los esperados por la empresa, así como nosotros los esperamos con nuestros datos.

Es claro que, como reza la realidad de los hackers o “aquellos que van más allá del manual” (no hablo de aquellos que han usado lo que saben para afectar o dañar a otros), la información es la materia prima para hacer que las cosas avancen: un mundo informado es un mundo que tiene una posición crítica y acciones concretas frente a la situación, pero de igual forma hay registros que no deben estar a la luz pública, so pena de generar inestabilidades sociales o malos entendidos que no ayudan a la construcción de un mundo mejor y con oportunidades para todos.

Cualquiera sea su posición frente a los hechos revelados recientemente, es importante que se cuestione sobre “su derecho a estar informado”, al “derecho que tiene a cada persona a su privacidad”, a la revisión de los impactos propios de este tipo de hechos y sobre manera a la protección de su información, como elementos básicos para tomar una posición balanceada, firme y concreta frente a ese activo que representa o tiene un valor para alguien, quien generalmente conoce y sabe lo importante que es para esa persona u grupo de individuos: la información.

Finalmente y sabiendo que toda fuga lleva consigo una persecución, evalúe con cuidado de qué lado quiere estar: ser un “fugitivo o perseguido” con causa o sin causa, o ser el “fiscal acusador y perseguidor” que hará defender sus derechos bien por una causa o razón para salvaguardar una reputación, o por conveniencia, cuándo él mismo se encuentra involucrado. A final la decisión no admitirá puntos medios, sino la realidad propia de los intereses de las partes comprometidas.

Referencias

GORDON, P. Data leakage. Threats and mitigation (2007) GSEC Gold Certification. Disponible en: http://www.sans.org/reading_room/whitepapers/awareness/data-leakage-threats-mitigation_1931

BORTNIK, S. (2010) ¿Qué es la fuga de información? Parte II. Disponible en: http://blogs.eset-la.com/laboratorio/2010/04/22/%C2%BFque-es-la-fuga-de-informacion-parte-ii/. Blog - ESET.

Inseguridad de la información. Fuente de la innovación en seguridad de la información

Introducción

Parafraseando al Jesuíta González Vallés en su libro “El secreto de oriente. Respirar”, “(…) bastó un soplo para que el hombre tuviese vida. Un delicada y suave expiración de DIOS, para que fluyese la semejanza del Eterno en nuestra esencia”. Una frase que verifica con una decisión la transformación de la creación, la puesta en escena de una nueva criatura, un nuevo orden que somete bajo el mandato del hombre, todas las cosas como administrador de la tierra.

Esta misma condición y mandato natural, se quiebra por la desobediencia del hombre, lo cual trae como consecuencia todas las vicisitudes y limitaciones que experimentamos a diario. De igual forma en la seguridad de la información la desobediencia y la arrogancia de nosotros es causal de la innovación permanente de la inseguridad de la información. Al no tener claridad sobre el ejercicio de protección de la información, cualquier escenario que se plantee será válido y las respuestas ante los incidentes serán inesperadas, sin planeación y posiblemente erráticas.

En este escenario ahora natural y normal, no resulta muy sofisticado tratar de inferir las tendencias en la inseguridad de la información el próximo año o 10 años, pues de lo que se trata es de identificar “los nuevos juguetes tecnológicos” que están disponibles, su popularidad en el uso, advertir los nuevos desarrollos tecnológicos y malas prácticas aplicadas, que generan el escenario ideal para que la creatividad, esa ausencia de autorestricciones, fluya con sencillez entre las rendijas desatendidas de las relaciones entre la tecnología, las personas y los procesos.

Revelando las fuentes de la innovación

Trata de comprender la inseguridad de la información y un escenario plausible para su evolución, es tratar de comprender algunas variables generalmente aceptadas para comprender la innovación. De acuerdo con Peter Drucker, las fuentes básicas de la innovación se encuentran en: las ocurrencias inesperadas, las incongruencias, las necesidades de los procesos, la industria y cambios en los mercados, en los cambios demográficos, en los cambios de percepción y en el nuevo conocimiento.

Cada una de estas variables representa todo un reto de análisis y revisión que con el paso del tiempo, es posible ver un marcado liderazgo de una u otra. Las dos primeras están más relacionadas con el factor sorpresa, ese momento o reflexión que surge sin estar previsto, que desequilibra la comprensión actual y compromete el statu quo de lo que se conoce y sabe. Esta incertidumbre, se convierte en el insumo fundamental para que un nuevo paradigma surja y nuevas propuestas para aproximarse a la situación problemáticas se hagan presentes.

Las dos siguientes variables, las necesidades de los procesos, así como la industria y sus cambios en los mercados, están relacionadas con la manera como la empresa entiende lo que hace y en qué contexto lo materializa. El estar avocada a la constante renovación de los mercados y las reiterativas necesidades del negocio para obtener mejores resultados, genera una ambiente de alta presión, mucha responsabilidad y decisiones oportunas. En este contexto, la inestabilidad de la situación nos revela nuevamente la incertidumbre, como ese factor común que lanza al tomador de decisiones a advertir sus riesgos y evaluar su posición frente al reto que se le sugiere.

Cuando de cambios demográficos y cambios de percepción se trata, el ser humano es el protagonista principal. Los cambios en la composición de la sociedad, edades, perfiles de las personas, variaciones de sus percepciones, propensión al riesgo, nuevas necesidades y exigencias, hacen de estas variables elementos desafiantes, pues comprender este tipo de desviaciones, exige una permanente valoración de la comprensión del riesgo de las personas, sus gustos y tendencias de los mercados, permitiendo el surgimiento de nuevos entendimientos de la realidad o retos novedosos para la industria o su entorno de negocio.

Finalmente la creación de nuevo conocimiento, necesariamente pasa por la ruta de la incertidumbre y contradicción, pues sólo en este entorno se abre la posibilidad de correr el velo de la rutina y se cae el telón del “eso ya lo hemos probado”, para que los nuevos lentes tallados desde la mente individual y colectiva, muestren a la sociedad una sorpresa que mueva elementos dormidos o aún desconocidos para sus participantes.

La innovación y la inseguridad de la información

Revisando cada uno de estos elementos de la innovación, encontramos en la inseguridad toda una maestra que revela en cada variable analizada una lección propia que debemos reconocer e incorporar en nuestra práctica de seguridad como estrategia para anticiparnos a los posibles riesgos que son propios en cada una de ellas.

Cuando de hablamos de ocurrencias inesperadas, la inseguridad de la información se revela en la inevitabilidad de la falla, esa que está esperando el momento y la ocasión para materializarse. Cada trozo de código en cualquier programa cuenta con situaciones inesperadas que han quedado incluidas en su estructura y sólo esperan una combinación particular de la interacción con el usuario o proceso para revelarse. Una condición que denominamos inesperada es la que termina por descubrir la combinación exacta para materializar la falla de seguridad, falla que ha estado dormida en la ejecución del código y aguardando su turno para manifestarse.

Las presiones de los mercados y la exigencia de resultados exponen nuevamente a la seguridad a rendir concesiones, a generar excepciones que plantean escenarios para que la inseguridad de la información haga su aparición. Cada excepción es la respuesta a una condición de exigencia de negocio que requiere espacio para avanzar en la realización de valor de la firma o el cumplimiento de una exigencia directiva. Cuando la seguridad de la información no colabora, es estigmatizada frente al resultado, pero cuando se hace parte de la solución, es la respuesta que se espera de ella y sus responsables. La seguridad no debe ser parte del problema, sino facilitadora de la contestación al mismo.

Con el paso del tiempo se advierten cambios en la manera como percibimos el riesgo, como entendemos nuestras relaciones con los demás y sobremanera como nos aproximamos al mundo que nos rodea. No es equivalente comprender a los nacidos entre 1980 y 1990, que a los nacidos en 1970 y 1979. Cada uno de ellos tiene una manera de comprender su entorno y una realidad diferente. Mientras los nacidos en los 70’s encontraron un mundo con guerras y nacientes desarrollos tecnológicos, los cuales fueron apalancadores de grandes cambios y revoluciones, los nacidos en los 90’s son herederos de la tecnologías, del mundo de lo instantáneo y de soluciones automáticas.

Así las cosas, la distinción de la seguridad de la información para los herederos de los 70’s es una condición base para actuar, mientras para los nacidos en los 90’s es un reto para superar, una condición contradictoria frente al flujo natural de la información, pues consideran que ésta (la información) es parte natural de su entorno y realidad.

Todos estos elementos revisados previamente generan múltiples vistas de la realidad, diversos entendimientos y posiciones que terminan en explicaciones de los fenómenos estudiados, no para cuestionar el ambiente actual, sino para revelar una comprensión aún no estudiada, una vista complementaria de lo que ocurre, que nos permite construir nuevos “cómos” y desarrollar reglas novedosas para sorprendernos de lo que podemos hacer y renovar para evitar la zona de confort.

Reflexiones finales

La inseguridad de la información reconoce en la sabiduría del error, de la sorpresa, de lo inesperado, la fuente misma de conocimiento y renovación de su propia esencia. No es posible avanzar en el fortalecimiento de las tecnologías de seguridad sin la manifestación propia de la inseguridad. Es decir, que mientras más nos sumerjamos en la fuente misma de la inseguridad de la información mayor información tendremos para anticiparnos.

Cuando advertimos la aplicación de malas prácticas en la protección de la información; cuando somos capaces de destruir nuestras propias restricciones frente a las posibilidades de la interacción entre tecnología, personas y procesos, es posible generar escenarios prospectivos que nos permitan anticiparnos a ver posibilidades, antes que la inseguridad los haga reales.

Como sabemos que el riesgo cero no existe, esta reflexión busca manifestar una posibilidad para avanzar en la conquista de nuestras propias limitaciones, de nuestros inesperados comportamientos frente a las fallas, para encontrar en las condiciones base de la innovación, nuevos insumos para rastrear a la inseguridad de la información como una táctica más para continuar comprendiendo la “inevitabilidad de la falla”.

Reconocer en la inseguridad de la información una estrategia para validar las manifestaciones de la innovación sugeridas por Drucker, es caminar en un nuevo tejido de relaciones y propuestas para incorporar una función de inteligencia competitiva que nos permita una función de seguridad de la información proactiva, preventiva y retadora de la realidad: una búsqueda permanente con focos claros, esfuerzos dirigidos y trabajo dedicado.

Referencias

DRUCKER, P. (2002) The discipline of Innovation. The innovative enterprise. Harvard Business Review. August. Disponible en: http://www.engr.pitt.edu/mac/images-t/articles%20and%20docs/DisciplineofInnovation.pdf (Consultado: 6-12-2010)

GONZÁLEZ VALLÉS, C. (2006) El secreto de oriente. Respirar. Sal terrae.

Facilitando la madurez de la función de seguridad: Algunos arquetipos propuestos

Según un informe reciente de Forrester Research denominado “Use Organizational and Professional Archetypes to accelerate security organization maturity”, son las expectativas del negocio sobre la organización de la seguridad la que define el proceso de madurez de la función de seguridad de la información de una organización. Esto es, identificar el foco o interés particular de la alta gerencia sobre la protección de los activos de información y detallar las preocupaciones que estos altos ejecutivos tienen frente a sus grupos de interés.

En este sentido, el artículo establece cuatro arquetipos (modelos de referencia base) que permiten comprender focos de acción que los responsables de la seguridad de la información pueden tener, según los casos estudiados por la firma consultora. Los cuatro arquetipos de profesionales de la seguridad identificados son: security practitioner, security architect, security strategist y business partner. Los dos primeros hacen referencia a una vista eminentemente operacional y de cumplimiento, el siguiente se mueve por una vista de riesgos y el último como un facilitador del negocio.

Cuando se revisa el security practitioner, tenemos el especialista técnico de la seguridad, el cual se encuentra concentrado en las amenazas de seguridad y operación de controles tecnológicos, quien constantemente tiene como foco la realización de los análisis de vulnerabilidades, monitoreo de la infraestructura tecnológica de seguridad y el mantenimiento de su nivel de parches. Cuando encontramos este arquetipo en las organizaciones podemos advertir que la alta gerencia ve la función de seguridad como un componente técnico propio de la infraestructura y como guardián de la información en el nivel operacional de la misma.

De otra parte, cuando las regulaciones internacionales comienzan a ejercer presión sobre los objetivos de negocio, la reputación y el mantenimiento de un estatus en un entorno global, aparece el arquetipo del security architect, quien si dejar de mantener una vista operacional, traduce los requerimientos de seguridad en controles técnicos operativos, los cuales se incorporan de manera inmediata y algunas veces, sin mayores condiciones o estrategia de gestión del cambio, en la operación de la empresa. Esta distinción de la seguridad, que pasa de una vista de amenazas de seguridad a una de cumplimiento regulatorio, permite al responsable de la seguridad pensar un poco más allá del hacer y actuar en seguridad, para lanzarlo a comprender el verificar, como una función más de aseguramiento que de operación.

Muchas organizaciones se mantienen en estos dos arquetipos sin mayores cambios, dado que cumplen con las expectativas de la gerencia frente a sus preocupaciones con los activos de información. Sin embargo, cuando la función de seguridad de la información, sabe que hace parte del sistema de administración de riesgos de la empresa y que sus acciones están encaminadas a comprender y tratar los riesgos propios de la tecnología, hace su aparición el arquetipo denominado security strategist. Este modelo o desarrollo de la función de seguridad, es un momento en el que el responsable de la seguridad de la información comprende que su misión real, más allá de un hacer y un actuar en la infraestructura, es el planear y verificar que le permita conocer con mayor detalle las funciones de negocio y cómo a través de los flujos de información es capaz de ver su aporte a la ecuación de utilidad de la firma.

La distinción de riesgos sobre los activos de información es una forma concreta y real de advertir en el lenguaje de los ejecutivos de la firma, los niveles de exposición de la información y los impactos que se pueden tener por un inadecuado tratamiento de los mismos. El security strategist, sabe y comprende mejor su responsabilidad como asesor táctico del negocio, como función clave dentro de la manera como la empresa apalanca función generadora de valor en mediano y largo plazo.

Es frecuente escuchar en las juntas directivas y comités de alto nivel que la seguridad no habla el lenguaje de los negocios y que los negocios hablan un lenguaje de seguridad, cifrado en las expectativas de valor y generación de confianza con sus grupos de interés. Cuando la función de seguridad puede quebrar el criptosistema que recubre las peticiones de los presidentes de las empresas o mejor aún, el responsable de seguridad es capaz de proponer elementos de negocio basados en una estrategia de protección de la información que maduren y desarrollen las perspectivas de la gerencia, visibles en el pérdidas y ganancias tangible o intangible de empresa estamos hablando del arquetipo del Business Partner.

Este arquetipo comprende el riesgo empresarial y sus impactos en cada proceso de negocio, lo que le posibilita un lenguaje de riesgo articulado en las impresiones de la gerencia, que sabiendo los desbalances de los mercados y las afectaciones de sus portafolios de inversiones, son capaces de incorporar en estas reflexiones los impactos de las estrategias de seguridad, medibles y visibles en términos de percepciones de aseguramiento de operaciones y manejo de información. Un business partner, exige un proceso de madurez organizacional y propia de la función de seguridad que ha sabido crecer con las corrientes y expectativas del negocio, aprovechando cada momento para apalancar la generación de valor con las acciones e impactos de las medidas de seguridad en los flujos de información de la empresa.

El informe concluye diciendo que en la medida que se evoluciona desde una seguridad basada en la tecnología, a una basada en la administración de riesgos de flujos de información hacia una propuesta colaborativa de apalancamiento del negocio, en términos tangibles o intangibles, deberán agotarse diferentes instancias y reflexiones al interior de la empresa. En este camino el Chief Information Security Officer – CISO, deberá desarrollar una gran capacidad de persistencia basada en resultados y logros que lo catapulten al siguiente nivel. Este implica que cada logro, debe asegurar la sostenibilidad del mismo, con el fin de que sea posible continuar abriendo camino en la evolución de la distinción de seguridad de la información.

Por otro lado, sabiendo que deberá llegar a ser parte de la agenda de los ejecutivos de la empresa en el contexto mismos de los planes de negocio, deberá mantener y asegurar el ambiente de control y eficiencia táctica y operacional que soporte un funcionamiento confiable de la infraestructura, como parte natural del gobierno de la seguridad de la información que debe ejercer frente las necesidades diarias de la corporación, donde los arquetipos security practitioner y security architect podrán ser útiles.

Finalmente y no menos importante, este informe si bien muestra la curva de madurez que debe seguir la función de seguridad de la información en una organización, nos debe recordar que todo este ejercicio deberá estar mediado por el factor impredecible y retador de la seguridad como lo son los individuos. Esto es, desarrollar de manera paralela en este proceso la construcción de una cultura de seguridad enraizada en los mismos objetivos de negocio y cómo la información es un activo estratégico y táctico de la empresa, que hace la diferencia al efectuar los balances y los análisis económicos, al sopesar las estrategias de continuidad de operaciones y al mirar las nuevas oportunidades para generar valor en la empresa y sus grupos de interés.

Referencias
KARK, K. (2010) Use organizational and professional archetypes to accelerate security organization maturity. Forrester Research

El debido cuidado en seguridad de la información. Un ejercicio de virtudes para la función de seguridad de la información

Siguiendo los elementos conceptuales y formales establecidos en la tesis de maestría en Derecho de ETSEBETH (2009) detallar un estándar de debido cuidado para el gobierno de la seguridad de la información en una organización debe pasar al menos por los siguientes elementos:

* La obligación legal de las organizaciones de proteger la información

* Las responsabilidades frente a la materialización de las fallas de seguridad de la información

* El desarrollo efectivo de un programa de seguridad de la información

* Un modelo de seguimiento y control de la efectividad del gobierno de la seguridad de la información

Obligación legal de proteger a la información

La obligación legal de las organizaciones de proteger la información no solamente se encuentra articulada por las normatividades nacionales e internacionales que obligan a las empresas para establecer medidas de salvaguarda de la misma, sino en el entendimiento y aseguramiento de: (ETSEBETH 2009, Sección Resumen Ejecutivo)

* La forma en la cual la información es creada, procesada, almacenada, transmitida, usada y comunicada.

* ¿Quién tiene acceso a la información?

* ¿Qué pueden hacer las personas con la información?

* ¿Cuánto tiempo éstas tendrán acceso?

* ¿Quién tiene la autoridad para cambiar el acceso y cómo?

Responsabilidades frente a las fallas de seguridad de la información

Teniendo claras las respuestas y acciones requeridas para enfrentar la obligación legal, se hace necesario revisar y comprender las responsabilidades que se tienen cuando la inseguridad de la información se materializa en el contexto organizacional. Las responsabilidades se articulan a nivel corporativo en diferentes niveles frente a los diferentes grupos de interés.

En este sentido, el primer responsable frente a la materialización de una falla de seguridad es la alta gerencia, quien al declarar a la información como un activo a proteger es el primer patrocinador del aseguramiento de la misma en los diferentes frentes de la organización. Si bien dicha responsabilidad, se materializa en el responsable corporativo de la seguridad de la información, es deber de los cuerpos de gobierno corporativo, establecer las respuestas concretas y efectivas para los interesados (mayoritarios y moniritarios) sobre lo ocurrido, sus impactos y las posibles disminuciones de valor que han tenido sus intereses en la empresa.

En un segundo nivel, se encuentra el director o responsable empresarial de la seguridad de la información o en inglés Chief Information Security Officer, quien deberá rendir cuentas de la efectividad del programa de seguridad de la información, la administración de los riesgos de seguridad y la efectividad de las medidas de seguridad tecnológicas que se tienen implantadas. Este reporte, deberá estar articulado con las promesas de valor que la organización tiene para sus grupos de interés de tal manera que se haga evidente como la inversión en la protección de los activos de información, se hace concreta en el nivel de confianza esperado por la organización y el nivel de riesgo aceptado por ésta frente a las amenazas identificados.

En un tercer nivel, se encuentran los analistas de seguridad de la información, especialistas en riesgos y controles de seguridad, así como los profesionales de seguridad informática que aseguran la infraestructura tecnológica: administradores de red, de servidores, de firewalls, antivirus, entre otros, que deberán rendir cuentas sobre las medidas de mitigación y control frente a las amenazas identificadas, así como el conocimiento del nivel de riesgo propio de cada uno de los mecanismo de protección. Este reporte, debe mostrar el seguimiento y alineación de acciones frente al programa de seguridad que tiene la empresa y cómo las fallas de seguridad deben ser atendidas en el modelo de atención de incidentes, con el fin de comprender mejor a la efectividad de las medidas tecnológicas implementadas y su permanente actualización frente a la dinámica del entorno empresarial y de la inseguridad de la información.

Diseño y desarrollo el programa de seguridad de la información

Como se puede ver, las responsabilidades frente a las falla de seguridad, exigen del responsable de la seguridad de la información, el diseño y desarrollo de un programa de seguridad de la información efectivo, entendiendo este como un conjunto de estrategias y actividades que articulen los mecanismos de integración organizacional, las estructuras de coordinación y las competencias técnicas requeridas que muestren claramente la integración de la seguridad con la estrategia empresarial (CANO 2010).

En este contexto, la implementación del programa de seguridad debe informar y comunicar a la alta gerencia sus alcances, retos y riesgos, con el fin de advertir con claridad y precisión qué hace parte de las acciones para mitigar las posibles fallas de seguridad y cuáles los riesgos residuales que acepta la empresa frente a las amenazas identificadas en los flujos de información en sus procesos de negocio.

Seguidamente, incorporar dentro del hacer natural de las actividades de negocio, el análisis de los riesgos de seguridad de la información, como parte inherente del actuar de las personas en sus actividades diarias. Esto es, reconocer que la información no es algo que está en los procesos, sino que es parte del negocio, pues basado en las prácticas de aseguramiento y protección, es que podemos comprender la efectividad y valor de la misma cuando el negocio mismo genera valor para los grupos de interés.

Roles y responsabilidades frente al tratamiento de la información

Fruto de lo anterior, se presenta de manera natural los roles y responsabilidades que los participantes de los procesos tienen frente a la información. Los dueños o propietarios de la información, como aquellos que crean la información y establecen las condiciones de uso y custodia del mismo, dado que reconocen y entienden sus riesgos, en el contexto de los flujos de información del proceso en el que participan.

Seguidamente, se establecen los usuarios, quienes atendiendo las condiciones y característica de uso establecidas por sus propietarios, sacan el mejor provecho de la misma en un ambiente controlado, sabiendo que cualquier uso no autorizado, promueve la materialización de un incidente de seguridad de la información con impacto corporativo importante.

Finalmente, se tienen los custodios, quienes observando las características establecidas por los propietarios y las necesidades de uso de los usuarios, definen los medios y mecanismos para mantener la disponibilidad de la información y la trazabilidad de los accesos requeridos, asegurando en tiempo, medio y formato que la organización minimizará los riesgo asociados con obsolescencia tecnológica, compatibilidad de formatos de datos e integridad de los medios de almacenamiento.

Seguimiento y control del gobierno de la seguridad de la información

Necesariamente lo anterior, debe responder no solamente a una apropiación de recursos técnicos, financieros y talentos humanos, sino toda una estrategia de concientización e interiorización de la distinción de seguridad, que apalancada desde la distinción de riesgos, es capaz de cuestionar el colectivo organizacional de supuestos frente a la protección de la información, para construir una nueva forma de comprender y valorar la información desde la esfera personal, hacia la realidad corporativa.

Como toda iniciativa, el programa de seguridad de la información, deberá mantener un seguimiento y mantenimiento por parte de la función de seguridad y su cuerpo directivo, de tal manera que asegure que el nivel de riesgo aceptado se mantiene o disminuye. Esto significa, que el reporte de avance del programa no se medirá exclusivamente en la materialización o no de incidentes de seguridad de la información, que se tengan en la organización, sino en los niveles de prevención y ahorro que situaciones infortunadas que se pudieron materializar y no se dieron.

Medir la efectividad de la seguridad la información es un reto permanente de los ejecutivos de la seguridad de la información, que lo que busca en últimas es “contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas (…)” (CANO 2010b)

Reflexiones finales
En consecuencia, para hacer realidad la propuesta planteada para materializar el debido cuidado en seguridad de la información se hace necesaria una evolución acelerada de la función de seguridad hacia los temas de gobierno, riesgo y cumplimiento, que le permita estar en la agenda los miembros de la junta directiva a través de un comité ejecutivo de primer nivel, donde se rindan cuentas de la evolución del programa de seguridad, apalancado en los riesgos estratégicos de negocio y las regulaciones y acciones legales que implican la materialización de una falla de seguridad. (ETSEBETH 2009, capítulo 8)

Por tanto, la próxima vez que sea interrogado sobre el debido cuidado en seguridad de la información, recuerde éste es un ejercicio equivalente al desarrollo de virtudes humanas, donde cada persona da lo mejor de sí para alcanzar el justo medio, aún cuando en el camino sea tentado y sorprendido por situaciones inesperadas que ponen a prueba su propio entrenamiento y experiencia frente al siempre nuevo y dinámico arte de la inseguridad de la información.

Referencias

ETSEBETH, V. (2009) Legal implications of information security governance. Master of Law Thesis. Unpublished Document. Law Faculty. University of Johannesburg. Disponible en: http://ujdigispace.uj.ac.za:8080/dspace/handle/10210/1837. (Consultado: 3-10-2010)

CANO, J. (2010) Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad. Disponible en: http://insecurityit.blogspot.com/2010/09/integrando-la-seguridad-de-la.html (Consultado: 3-10-2010)

CANO, J. (2010b) Métricas en seguridad de la información. Un reto permanente. Disponible en: http://insecurityit.blogspot.com/2010/07/metricas-en-seguridad-de-la-informacion.html (Consultado: 3-10-2010)