La inseguridad de la información en el contexto de la densidad digital

Introducción

De acuerdo con el CIO Executive Board (2013) en su documento acerca de los retos para los líderes de TI 2013-2017 en el nuevo entorno de trabajo, dominado por la computación en la nube, las redes sociales, la computación móvil y la información (HOWARD, PLUMMER, GENOVESE, MANN, WILLIS y SMITH 2012), manifiesta que la seguridad de la información deberá dedicarse más a la comunicación de los riesgos con sus socios de negocio y a generar una cultura de comportamientos seguros, es decir, acompañar a las áreas en la anticipación de los riesgos emergentes y a formular estrategias para sensibilizar e interiorizar la distinción de la información como activo estratégico de la empresa.

 

Así las cosas, este nuevo entorno nos reta a configurar una distinción de seguridad de la información, que asuma las contradicciones propias de esta realidad: conservar lo que tenemos, pero avanzar, combinar lo que tenemos con lo nuevo, entre otras, para renovar la esencia de la seguridad de la información corporativa, más allá de un discurso gastado de “miedo, incertidumbre y dudas”, por uno donde la protección no es algo impuesto, sino un comportamiento natural para avanzar en la eficiencia del mundo interconectado y sin límites.

 

Mentalidad y densidad digital

Para entender esta nueva realidad, los académicos KÁGANER, ZAMORA y SIEBER (2013), en su artículo denominado “Cinco habilidades del líder digital”, establecen elementos básicos de la mentalidad digital requerida en este tipo de entornos y el concepto de “densidad digital” como fundamentos para reconstruir la realidad actual, que como ellos mismos anotan: “(…) está modificando las fronteras de la competencia y las fuentes de valor para el cliente. (…)” y por tanto, la distinción misma de seguridad de la información, como factor clave en la ecuación de valor que las compañías actualmente tienen.

 

Según los autores la “densidad digital” se define como: “el número total de personas, cosas y procesos con conexión persistente a internet en una unidad de actividad social, como una organización, mercado, país o planeta. (…)”, es decir se crea un nivel de conceptualización basado en la realidad digital que enriquece el entendimiento y exigencia de las personas, así como la complejidad de las nuevas opciones que de ella surgen.

 

En este contexto la densidad digital aumenta la capacidad del ser humano para captar y medir las facetas de los individuos, cosas y procesos, es decir, se desarrolla una habilidad para reconocer y construir una visión aumentada de lo que somos, la cual es tan dinámica como las conexiones que se establecen de manera persistente. En consecuencia, las tecnologías emergentes relativas a servicios móviles, analítica de datos y experiencias emergentes basadas en interrelaciones colaborativas, ponen de manifiesto la línea visible entre el mundo físico y el mundo virtual.

 

La densidad digital habilita a sus actores para, como anotan los investigadores, “ejercer su autonomía, creatividad e iniciativa”. Esto es, los lanza para que desarrollen su capacidad para influir y determinar aspectos de la realidad que comparten, destruir sus limitaciones autoimpuestas para experimentar en un campo abierto y sin fronteras como es la red, y capitalizar iniciativas, ideas o reflexiones como forma natural de manifestar su impronta en un espacio de creación y colaboración conjunta, donde la noción de control no se sujeta a jerarquías, sino a aportes y disrupciones que hacen de su entorno un lugar único y lleno de oportunidades para los que participan.

 

Así las cosas, la densidad digital es un concepto, que se encuentra por encima de las estructuras tradicionales de análisis estratégicos, que nos habla de las personas, los procesos y la tecnología, para sumergirnos en una propiedad emergente y propia de los ecosistemas tecnológicos, que antes no era evidente y que ahora hace parte de los activos claves y críticos de las empresas que realmente quieren continuar avanzando más allá de los nuevos retos tecnológicos.

 

Esto supone un cambio de mentalidad, que de acuerdo con los autores, requiere una revisión profunda de nuestra forma de pensar y razonar, es decir, someternos al ejercicio de contradicción permanente, que incomoda y nos aleja de la lógica natural, para concebir una vía alterna de pensamiento fundada en esa realidad interconectada y digital que muchas veces nos desborda.

 

Una mentalidad digital es la respuesta de los académicos para este nuevo reto empresarial, una mentalidad dominada por las contradicciones de la siguiente forma: (idem)

• Aporte una visión… pero ceda poder a los demás.
• Ceda el control … pero diseño opciones.
• Mantenga … pero sea disruptivo.
• Apóyese en los datos … pero confíe en su intuición.
• Sea escéptico … pero abierto de mente.

 

Todas estas consideraciones de la mente digital nos dicen que las personas y su densidad digital propia, son capaces de servir de puente entre lo viejo y lo nuevo, son el eslabón para crear el futuro diferente e innovador, que considera las operaciones actuales y sus conceptos de rentabilidad, pero igualmente desarrolla y funda las bases de la nueva ecuación de valor de un modelo combinado de negocio.

 

Imaginar el futuro, es una apuesta que cada persona, en el contexto de su densidad digital elabora. Un ejercicio de ensayo y error, un escenario de pruebas controladas y no controladas, que combinan lo mejor de la analítica de los datos, con la intuición personal, para ser escéptico ante los inamovibles y con mente abierta para incorporar modelos poco ortodoxos, que generen incomodidad y rebeldía conceptual dentro de las “verdades” propias de los negocios actuales.

 

Así las cosas, la realidad digital actual y futura, es una invitación para cambiar el paradigma actual de las organizaciones, quienes poco a poco deberán fusionar sus viejas prácticas de conocimiento, estrategia, seguridad y control, para migrar a la realidad de la densidad digital donde ahora el referente real, está incorporado dentro de un colectivo con vida propia y propuestas emergentes, que van más allá de la creación de una cultura o submundo, para constituir una nueva capa de análisis empresarial, donde las iniciativas digitales, vulnerables por naturaleza, deben ser protegidas y capitalizadas, para crear el nuevo entorno de contradicción estratégica requerida para avanzar en el mundo de hoy

 

 

La inseguridad de la información renovada

Ahora bien, la inevitabilidad de la falla, como quiera que es una propiedad inherente a cualquier condición y elemento humano, social o tecnológico, no es ajeno a esta nueva realidad motivada por la densidad digital. (CANO 2013)

 

Una falla en el contexto de la densidad digital, podrá tener efectos inesperados, algunos positivos y otros negativos. Por un lado, las personas estarán expuestas a la erosión progresiva de su privacidad, un fenómeno que entre los nativos digitales pareciera normal, pero que en los “convertidos digitales – léase los nacidos luego de los 70’s”, es un derecho que debe ser salvaguardado y asegurado, como bien propio y personal, una expresión de custodia de información, que si bien procura compartir, también restringir lo que sea necesario.

 

La densidad digital supone un conocer y compartir información de manera permanente para generar nuevas experiencias que superen la realidad física y aumente el valor percibido por la persona. En este sentido, los datos son al mismo tiempo un activo valioso, que al ser sometido a la realidad de la analítica y los patrones, es capaz de descubrir e impulsar la transformación digital de una empresa, y una materia prima para cultivar las paradojas de la mentalidad digital que motive en los directivos y clientes el descubrimiento de productos nunca antes pensados.

 

Habida cuenta de lo anterior, la inseguridad de la información se renueva y se acentúa toda vez que ahora, ella no sólo habita en las relaciones propias de la tecnología, las personas y los procesos, sino en una capa intangible de valor empresarial, cuyas relaciones no son claramente conocidas ni estudiadas, las cuales pueden afectar la realidad empresarial de manera sensible, pues está de por medio la tradición del mundo físico y la nueva faceta de la organización en el mundo digital.

 

Esto es, los negocios fundados en el mundo físico, no van a cambiar en su esencia. Es decir, el taxi te llevará de un lugar a otro, deberás ir a la tienda para probarte un par de zapatos, entre otros, pero lo que hará la diferencia, estará en la capa digital emergente construida desde el colectivo al que perteneces o con el cual interactúas, el cual te dará una vista aumentada de las posibilidades que puedes tener y es allí, donde al enfrentar el mundo físico con el digital, habrá nuevas oportunidades para inseguridad de la información para ofrecernos una nueva lección sobre la sabiduría del error, que aún no podemos advertir con claridad.

 

Detalla ROWSELL-JONES (2013) que “las capacidades digitales surgen al combinar de manera innovadora (…)” el mundo físico y el digital: “(…) extraemos información de los recursos físicos y la integramos con los digitales (…)”. Esto supone, que habrá interacciones conocidas y otras agregadas, que poco a poco deslindan el mundo físico del digital, para que prevalezca al final este último.

 

Si esto es así, la inseguridad de la información y los impactos que se tendrán de una falla materializada sobre una capacidad digital, irán más allá de una vulnerabilidad sobre un producto o servicio, sino que afectará la percepción y la forma de crear experiencias que potencien el modelo de negocio de la empresa. Esto es, la inseguridad de la información será la responsable de la forma como la organización capitaliza o no las relaciones emergentes que la capa digital le puede ofrecer.

 

En este sentido, se hace necesario estudiar con mayor detalle, esta nueva capa digital emergente, fruto de la densidad digital previamente revisada, para encontrar nuevos focos de realidades asimétricas de la inseguridad de la información, como quiera que los modelos de negocios digitales, serán parte de los “nuevos normales” de las empresas en los próximos años.

 

 

Reflexiones finales

La seguridad de la información en esta realidad digital, donde las conexiones definen el nuevo mandante del tratamiento de la información, mantiene sus principios fundamentales de confidencialidad, integridad y disponibilidad, como fundamento de la interacción, no obstante, se deben renovar ahora en un ambiente dinámico y cambiante, que permita una vista de afuera hacia adentro, que reconozca un mundo exterior de variables y amenazas emergentes, para identificar realidades internas que permitan encontrar puntos de mejora, que reten a la inseguridad misma.

 

De otra parte, las interacciones que se definan o surjan de la nueva capa digital, deberán atender los principios de diseño confiables, es decir, deberán ser sencillas, naturales, livianas y efectivas, para que no se contaminen del caldo de cultivo de la inseguridad que es la complejidad, que leído en clave cibernética, se traduce es carecer del requisito de variedad para entender la realidad y alcance de la relación.

 

Las capacidades digitales de las empresas cada vez son mayores, algunas con potencialidades definidas y otras sin objetivos concretos. En este sentido, el estudio de la inseguridad de la información en este contexto, deberá superar el enfoque y mentalidad actual de las organizaciones, para preparar el terreno y fundar un nuevo entendimiento de la inevitabilidad de la falla con una mentalidad digital, es decir, en una contradicción permanente que descubre en la densidad digital, una forma de asegurar la ventaja competitiva de las organizaciones del siglo XXI.

 

Referencias

KÁGANER, E., ZAMORA, J. y SIEBER, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre.

ROWSELL-JONES, A. (2013) Su empresa también tiene ventaja digital. IESE Insight. No.18. Tercer trimestre.

CEO EXECUTIVE BOARD (2013) The future of IT, 2013-2017. Resumen disponible en: http://www.executiveboard.com/exbd/information-technology/future-of-it/impact/index.page?#tab2 (Consultado: 6-10-2013)

HOWARD, C., PLUMMER, D., GENOVESE, Y., MANN, J., WILLIS, D. y SMITH, D. (2012) The nexus of forces: Social, mobile, cloud  and information. Gartner Research.  Disponible en: http://www.gartner.com/DisplayDocument?doc_cd=234840

CANO, J. (2013) Inseguridad de la información. Una visión estratégica. Alfaomega.

Reflexiones sobre la norma ISO/IEC 27037:2012. Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital.

Introducción

En el desarrollo de un análisis forense digital tradicional con medios magnéticos y ópticos, generalmente los analistas forenses acuden a la buena práctica internacional para soportar los pasos que se adelantan con el fin de asegurar la evidencia digital identificada en los diferentes componentes informáticos y tecnológicos presentes en la escena del crimen.

Estas prácticas permiten establecer un conjunto base de validación para la contraparte y el juzgador, con el fin de probar la idoneidad del proceso ejecutado y la confiabilidad de los resultados, luego de las técnicas aplicadas para obtener la evidencia digital clave para efectos de soportar las afirmaciones o declaraciones sobre una temática particular que se tenga en una diligencia civil, penal o de cualquier índole.

Así las cosas, prácticas como la HB171-2003 Guidelines for the Management of IT Evidence, creada en Australia por la academia, industria, administración de justicia, gobierno y entes policiales, permite una vista homogénea frente al reto de la evidencia digital como elemento de prueba real con todos sus elementos, permitiendo una valoración y análisis que motive y concrete los juicios bien fundados sobre las evidencias que se aporten en el desarrollo de una diligencia probatoria.

De igual forma, las guías del NIST sobre estos temas particularmente en dispositivos móviles, web services, entre otros, así como las indicaciones del Departamento de Justicia de los Estados Unidos en los documentos como Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition, son generalmente instrumentos utilizados por los analistas forenses digitales con el fin de establecer un marco de actuación formal y verificable que permita a los terceros validar las acciones que adelanten sobre la evidencia digital disponible en los medios informáticos.

En este sentido, el peritaje forense informático y tecnológico, siguiendo lo indicado por LOPEZ RIVERA (2012, pág.48) como la “obtención de información y evidencias de los bits que se encuentran en los dispositivos físicos de almacenamiento o virtuales en las redes que intervienen en la interacción de las personas con los sistemas”, requiere un contexto general de actuación que permita a todos los involucrados contar con referentes verificables y de alcance global que exhiban formas de asegurar que los procedimientos aplicados en la pericia son confiables y con arreglo a ley.

Como quiera que a la fecha no se reconoce buena práctica de alcance global, se introduce en este documento la norma ISO/IEC 27037:2012 donde se establecen directrices para la identificación, recolección, adquisición y preservación de la evidencia digital, como un primer documento reconocido por la comunidad internacional y de alcance global para efectos de adelantar pericias forenses informáticas, el cual de ahora en adelante será un referente base para todos los informáticos forenses respecto de sus prácticas y procedimientos actuales.

Principios que gobiernan la evidencia digital

De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia. Estos tres elementos definen la formalidad de cualquier investigación basada en evidencia digital, bien ésta sea utilizada para que sea admisible en corte o no.

La relevancia es una condición técnicamente jurídica, que habla sobre aquellos elementos que son pertinentes a la situación que se analiza o investiga, con el fin de probar o no una hipótesis que se ha planteado alrededor de los hechos. Todo aquello que no cumpla con este requisito será irrelevante y excluido del material probatorio recabado para efectos del caso bajo estudio.

La confiabilidad es otra característica fundamental, que busca validar la repetibilidad y auditabilidad de un proceso aplicado para obtener una evidencia digital, esto es, que la evidencia que se extrae u obtiene es lo que deber ser y que, si un tercero sigue el mismo proceso, deberá obtener resultados similares verificables y comprobables.

Finalmente y no menos importante la suficiencia, la cual está relacionada con completitud de pruebas informáticas, es decir que, con las evidencias recolectadas y analizadas tenemos elementos suficientes para sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación investigada. Este elemento está sujeto a la experiencia y formalidad del perito informático en el desarrollo de sus procedimientos y priorización de esfuerzos.

Si bien puede haber otros elementos que ayuden en el gobierno de la evidencia digital, ISO ha determinado que estos tres, establecen las condiciones necesarias y suficientes para que los expertos en informática forense recaben, aseguren y preserven elementos materiales probatorios sobre medios digitales, los cuales podrán ser revisados y analizados por terceros interesados y sometidos a contradicción según ordenamiento jurídico donde se encuentren.

Habida cuenta de lo anterior, los informáticos forenses deberán prestar atención a estas indicaciones del estándar y recabar en el desarrollo de prácticas que permitan validar estos tres principios, que si bien se describen en el documento, no se concretan en acciones específicas que de alguna forma, sugieran una vía de aplicación que pueda validarse.

En este contexto, se detallan algunas preguntas (a manera de ejemplo) que pueden ser útiles para efectos de validar los tres principios enunciados:

Relevancia

· ¿La evidencia que se aporta vincula al sujeto con la escena del crimen y la víctima?

· ¿La evidencia prueba algunas hipótesis concreta que se tiene del caso en estudio?

· ¿La evidencia recolectada valida un indicio clave que permita esclarecer los hechos en estudio?

Confiabilidad

· ¿Los procedimientos efectuados sobre los dispositivos tecnológicos han sido previamente probados?

· ¿Se conoce la tasa de error de las herramientas forenses informáticas utilizadas?

· ¿Se han efectuado auditorias sobre la eficacia y eficiencia de los procedimientos y herramientas utilizadas para adelantar el análisis forense informático?

Suficiencia

· ¿Se ha priorizado toda la evidencia recolectada en el desarrollo del caso, basado en su apoyo a las situaciones que se deben probar?

· ¿Se han analizado todos los elementos informáticos identificados en la escena del crimen?

· ¿Se tiene certeza que no se ha eliminado o sobreescrito evidencia digital en los medios analizados?

Dos roles claves: Digital Evidence First Responder (DEFR) y el Digital Evidence Specialist (DES)

Por primera vez un estándar ISO establece definiciones de roles para efectos de las actividades requeridas en informática forense. Estos dos roles DEFR, cuya traducción podría ser “Primer respondiente de la evidencia digital” y el DES, como “Especialista en evidencia digital”.

El primero es aquella persona que está autorizada, formada y habilitada para actuar en la escena de un incidente, y así recoger y adquirir las evidencias digitales con las debidas garantías. Este es un rol que deben tener todas las organizaciones, toda vez que cualquier persona en una empresa puede actuar como primer respondiente frente a un incidente donde la evidencia digital sea parte de los elementos materiales probatorios.

Según la norma, esta persona y su formación dependerán del contexto de cada legislación y política organizacional, como quiera que, es en el contexto del ejercicio de primer respondiente que se establecen las condiciones y habilidades requeridas para asegurar de primera mano la evidencia digital propia de la situación en estudio.

¿Qué debe hacer un primer respondiente frente a un incidente informático? Si bien no detalla la norma la respuesta a esta pregunta, si podríamos indicar algunos elementos claves que se deben seguir frente a un proceso fundamental en el aseguramiento y custodia base de la evidencia informática, mientras el especialista en evidencia digital llega al sitio.

· Asegurar el área dónde ocurre el evento informático y los elementos materiales probatorios que se encuentren allí: notas, documentos, dispositivos electrónicos, entre otros.

· Evitar que personal extraño al área, tenga acceso a la misma y a los equipos que allí se encuentren.

· Tomar fotos o video de cómo encontró el área y documentar fecha, hora y condiciones en las cuales llega al sitio donde ocurren los hechos.

De otro lado, el Especialista en Evidencia Digital (EED) lo califica como aquella persona que puede hacer lo que hace el primer respondiente la evidencia digital y además cuenta con conocimientos, destrezas y entrenamiento especializado en un amplio rango de aspectos tecnológicos, lo que podríamos llamar un perito informático o en inglés un computer expert witness.

En este contexto, se presenta una primera insinuación sobre esta problemática del perito informático, que siguiendo los conceptos de LOPEZ RIVERA (2012, pág.21), debe estar asistida por tres elementos fundamentales:

· Ser un tercero neutral, alguien ajeno al proceso y a los intereses particulares que se encuentren en discusión.

· Ser un experto, una persona con formación formal, con experiencia fruto de sus desempeños laborales, conocimientos especializados, científicos o prácticos según el caso.

· Ser una persona que voluntariamente, acepte incorporar sus conocimientos al proceso.

Si bien el estudio de cómo se debe formar un perito informático, escapa al alcance de este documento, si es preciso anotar que a la fecha existen diversos programas formales de formación de investigadores de crímenes de alta tecnología o en ciencias forenses informáticas que dan respuesta desde diferentes perspectivas a la formación de estos especialistas y auxiliares de la justicia, para que se tenga una vista medianamente clara y detallada de las habilidades y conocimientos que se deben tener frente al aseguramiento de la evidencia digital. (CANO 2009)

Finalmente y no menos importante, la norma hace énfasis en los siguientes puntos, que se deben observar todo el tiempo tanto por el DEFR como por el DES:

· Minimizar el manejo del dispositivo con la evidencia digital original o con la evidencia digital potencial

· Dar cuenta de cualquier cambio y documentar las acciones que se tomen (mientras el experto se hace una opinión sobre su confiabilidad)

· Cumplir con las leyes locales sobre el manejo de la evidencia

· No tomar acciones más allá de sus competencias.

Tipologías de dispositivos y entornos alcance de la norma

De acuerdo con la norma es alcance de la misma: (LOPEZ RIVERA 2012, pág.200)

· Equipos y medios de almacenamiento y dispositivos periféricos

· Sistemas críticos (alta exigencia de disponibilidad)

· Computadores y dispositivos conectados a la red

· Dispositivos móviles

· Sistemas de circuitos cerrados de televisión digital

Con este alcance, quedan fuera tecnologías recientes como las unidades de estado sólido, los sistemas de control industrial (por sus configuraciones y tecnologías especiales basadas en microcontroladores), servicios web, entre otros temas especializados, que si bien pueden utilizar los pasos naturales del proceso asociado con la informática forense (documentos y alcance de la norma identificación, recolección y/o adquisición, conservación y/o preservación), requiere una vista particular de aseguramiento que es propia e inherente a los avances tecnológicos previamente enunciados.

Si bien estas tipologías tratan de ser generales y genéricas frente a lo que se puede encontrar en una escena con dispositivos tecnológicos, es importante anotar que cada tecnología requiere un margen de especialidad que escapa al proceso general planteado y sus actividades previstas, toda vez que los cambios técnicos que se tienen, requieren un entendimiento particular de cómo funcionan y cuáles son las implicaciones frente a las exigencias del proceso forense en informática, basado en el método científico, no para conocer la verdad, sino para dar respuesta a preguntas que se plantean en el contexto del caso en estudio.

Un ejemplo de esta condición es la realización de la imagen idéntica, la cual es un procedimiento que se aplica con software especializado para asegurar que el contenido digital del dispositivo informático (particularmente magnético) es fiel copia del original, en el que se aplica un hash sobre la imagen resultado, el cual puede ser verificado posteriormente para validar su inalterabilidad.

Sin embargo, aplicar el mismo procedimiento sobre unidades de estado sólido no genera el mismo resultado, toda vez que esta unidad funciona de manera diferente al medio magnético, es decir de manera general, constantemente por efectos de la confiabilidad del medio, se está cambiando de posición la información allí residente (CANO 2013), con lo cual se puede aplicar un hash un momento T y éste no será igual al que se aplique en T+1.

Así las cosas, las tipologías son sensibles a los cambios tecnológicos y nuevos retos emergentes de la informática forense, lo que necesariamente advierte que las técnicas descritas en el estándar deberán ser revisadas y ajustadas en el tiempo de manera periódica, con el fin de advertir cambios y ajustes que permitan mantener la confiabilidad de los procedimientos aplicados, como quiera que este documento es un referente de alcance global.

Reflexiones finales

El estándar ISO/IEC 27037:2012 es un avance relevante para el ejercicio de la práctica de la informática forense a nivel internacional que permite homogenizar una serie de prácticas claves para efectos de dar mayor confiabilidad a los resultados de los procesos aplicados, que previamente sólo estaban fundados en la buena práctica internacional o referentes particulares a instituciones o entidades reconocidas por sus logros en este campo.

Este documento cubre tres etapas de la actuación forense digital como son identificación, recolección y/o adquisición y conservación y/o preservación, detallando prácticas y consideraciones de actuación relevantes que responden a los mínimos que el “Especialista en Evidencia Digital” debe cubrir y asegurar para mantener la confiabilidad de sus resultados frente al tratamiento y aseguramiento de la evidencia digital.

Sin embargo, los temas relacionados con el análisis e interpretación de la evidencia digital no son cubiertos por esta norma y se espera que la anunciada ISO/IEC 27042, sugiera los campos de acción en estos temas, los cuales tendrán retos importantes como se establece su reciente borrador:

“El análisis e interpretación de la evidencia digital puede ser un proceso complejo. En algunas circunstancias, puede haber varios métodos que se pueden aplicar y los miembros deequipo de investigación tendrán quejustificar la selección de determinado proceso y mostrar cómo es equivalentea otro utilizado por otros analistas. En otras circunstancias, los investigadores tendrán que idear nuevos métodos para el examen de la evidencia digital que previamente no ha sido tenido en cuentay deben ser capaz de demostrar que el método de producción es "adecuado".”

Así las cosas, contar con el estándar ISO/IEC 27037:2012 nos permite avanzar en la unificación de lenguajes y acciones propios de la práctica de la informática forense, que junto con iniciativas especializadas por tipo de dispositivos y tecnologías novedosas, permitan desarrollar una monitorización abierta y efectiva de la práctica de sus especialistas, incrementando los niveles de excelencia y madurez tanto de los profesionales en esta área como en el desarrollo de herramientas que soporten los más altos estándares de confiabilidad.

Referencias

ISO/IEC 27037:2012. Tecnología de la información – Técnicas de seguridad – Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital.

ISO/IEC 27042 - Tecnología de la información – Técnicas de seguridad – Directrices para el análisis e interpretación de la evidencia digital. (En desarrollo)

HB171-2003 Guidelines for the Management of IT Evidence. Australia Standard.

LOPEZ RIVERA, R. (2012) Peritaje informático y tecnológico. Un enfoque teórico-práctico. ISBN 978-84-6160-895-9.

NIST (2007) Guidelines on cell phone forensics. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf (Consultado: 15-09-2013)

NIST (2010) Forensics web services. Disponible en: http://csrc.nist.gov/publications/nistir/ir7559/nistir-7559_forensics-web-services.pdf (Consultado: 15-09-2013)

NIJ (2004) Forensic Examination of Digital Evidence: A Guide for Law Enforcement. Disponible en: https://www.ncjrs.gov/pdffiles1/nij/199408.pdf (Consultado: 15-09-2013)

NIJ (2008) Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition. Disponible en: http://www.ncjrs.gov/pdffiles1/nij/219941.pdf (Consultado: 15-09-2013)

CANO, J. (2009) Computación forense. Descubriendo los rastros informáticos. Ed. Alfaomega. México.

CANO, J. (2013) Unidades de estado sólido. El reto de la computación forense en el mundo de los semiconductores. Blog IT-Insecurity. Disponible en: http://insecurityit.blogspot.com/2013/06/unidades-de-estado-solido-el-reto-de-la.html (Consultado: 15-09-2013)

Inseguridad de la información. La estrategia antifrágil de la seguridad de la información

Introducción

Considerando las reflexiones de los analistas de Gartner (HOWARD, PLUMMER, GENOVESE, MANN, WILLIS y MITCHELL 2012) la información, la computación móvil, la computación en la nube y las redes sociales, establecen el nuevo ecosistema tecnológico y empresarial que motiva y establece las nuevas estrategias para cautivar al cliente y posicionar la organización en el contexto de una realidad abierta y digital.

En este contexto, la información es el insumo fundamental para crear una experiencia social aumentada, muchas veces sobrecargada y siempre movimiento. Las plataformas móviles establecen la plataforma efectiva para la interacción y promover nuevas formas de trabajar. Las redes sociales enlazan expectativas, oportunidades e interacciones entre las personas de formas inesperadas, repensando la manera como percibimos al otro y finalmente la computación en la nube, facilita la entrega de la información y la funcionalidad requerida por las personas y los sistemas de información.

Habida cuenta de lo anterior, la forma como se crea riqueza y genera valor cambia dramáticamente, pues lo que antes se concebía desde un trabajo eminentemente físico, se transforma en una experiencia y paisaje digital que, demanda una nueva forma de entender el mundo, no desde los productos y servicios tradicionales, sino desde el estilo personal y particular de cada individuo, donde sus preferencias e identidad se materializa en cada interacción con la realidad expuesta en la red.

Esto significa que cada vez más se advierte una mayor exposición de la realidad empresarial e individual a través de los medios digitales, aumentando el conocimiento detallado de cada uno de ellos, el cual puede y será explotado por parte de los terceros interesados, algunos con buenas intenciones, otros no. Así las cosas, la pérdida acelerada de la privacidad, de los dominios de control empresarial y la demanda de mayor transparencia y participación ciudadana, establecen un reto corporativo que exige una vista sistémica de la gerencia para navegar en medio de un entorno dinámico, asimétrico e inestable.

En consecuencia, lo que inicialmente conocíamos de la realidad de los riesgos empresariales, se desdibuja rápidamente, dejando de un lado las certezas en las que creemos, para darle paso a la incertidumbre, como el nuevo insumo de las estrategias corporativas, donde se introduce la “idea peligrosa” de la “antifragilidad” (TALEB 2013) como ese proceso de entender y alimentarse de la aleatoriedad, el azar, los errores y las fallas como forma de fortalecer su posición en el entorno de negocios y sobrevivir aún las amenazas se materialicen en el ejercicio y aplicación de su modelo de generación de valor.

Esto es, consultar los estudios de entorno disponibles, las tendencias que se identifican en los mercados emergentes, pero como anota TALEB (2013, pág.217) de Steve Jobs, “no fiarse de los estudios de mercado ni de los grupos de sondeo y dejarse guiar por su imaginación”, buscando navegar en los eventos inesperados, con el fin de “domesticar” la incertidumbre, lo que se traduce en: “reducir los riesgos perjudiciales y mantener el beneficio de las posibles ganancias” (Idem, pág. 214)

Por tanto, el futuro de los encargados de la seguridad de la información, o mejor de la inseguridad de la información, estará en aprender tanto como puedan de la fallas y/o vulnerabilidades conocidas, para que en el ejercicio de establecer el modelo de protección de información empresarial, encuentre nuevas formas de comprender las ventajas de los riesgos inherentes y emergentes (CANO 2013) de las propuestas de aseguramiento en las personas, los procesos y la tecnología.

Lo antifrágil en las personas

Si bien la exigencia actual para los Chief Information Officers (CIO) en el mundo, es como mínimo, proveer y mantener servicios excelentes de información, tecnología y comunicaciones a precios competitivos (WEILL y WOERNER 2013), no así es la exigencia para los Chief Business Information Security Officers (CBISO). (CANO 2012)

La responsabilidad y demanda de los niveles ejecutivos para el oficial de seguridad de la información no es consistente con el mundo que debe conocer y anticipar. Mientras la alta gerencia quiere un ambiente tranquilo y controlado frente a las amenazas del entorno empresarial, la realidad para el ejecutivo de la seguridad de la información le enseña que sólo la inestabilidad y lo imprevisto es lo que manda en el ejercicio de su labor.

En este sentido, las personas y sus actividades, sus percepciones y motivaciones establecen la realidad de los modelos de protección de la información. Por tanto, cuando se trata de establecer niveles de aseguramiento de prácticas de resistencia a los ataques, sólo es viable comprender con claridad las mismas, cuando los eventos adversos se han materializado, es decir, cuando la inseguridad de la información, nos enseña y advierte que aún tenemos mucho que aprender.

Cuanto más dolor se sienta por una pérdida y/o fuga de la información, mayor será el dilema de control que enfrente la organización. Esto es, querrá conocer los detalles del flujo de información técnica que tienen los mecanismos de seguridad informática, su nivel de aseguramiento y efectividad para detener futuros ataques. Sin embargo, esta preocupación durará poco, pues al “delegar la protección” en la vista de la tecnología, nuevamente se expone a situaciones que pudiesen ser peores a las que ya han ocurrido.

Como quiera que tendemos a “relajarnos” y al “confort” cuando no somos estresados por condiciones ambientales adversas, nuestra capacidad de acción frente a situaciones críticas, se reduce y no podemos capitalizar la disrupción, como fuente de “desaprendizajes” para hacer más resistente nuestra estrategia de anticipación a los riesgos emergentes.

Así las cosas, en el ser humano se hacen realidad todas las razones y sinrazones de la protección de la información. Podemos desarrollar la capacidad para asegurar sus comportamientos, pero no asegurar su compromiso para efectuar dicho ejercicio. En consecuencia, se hace necesario comprender de manera personal la severidad de una falla seguridad de la información, no como forma de motivar su compromiso, sino como una estrategia para promover el sentido de alerta permanente, que incentive sus acciones preventivas sabiendo que la inevitabilidad de la falla siempre está presente en todas sus actividades.

Esto significa que el riesgo residual que aceptamos, nos habla del nivel de exposición que podemos tener frente a una falla, es decir, las actuaciones que podemos tener frente a la materialización de la inseguridad de la información. A mayor aceptación de riesgo residual, menor valoración de futuros incidentes e impactos de ante las fallas, lo que necesariamente nos dice que a menor aceptación de este riesgo, mayor sensibilidad a los incidentes e impactos de los mismos.

En consecuencia, hacer resistente a los incidentes de seguridad de la información a las personas, implica mantener un “mínimo de paranoia debidamente administrada”, es decir, que no tenga “ansiedad por el futuro y las vulnerabilidades emergentes”, y que igualmente no “subestime las condiciones actuales de su operación”.

Lo antifrágil en los procesos

Cada vez más los procesos empresariales cruzan las fronteras físicas de las organizaciones. Empiezan en las oficinas reales de la empresa y terminan en comunicaciones digitales, en servidores distantes, que generalmente no sabemos dónde se ubican o bajo qué condiciones operan, claro está, muchas veces confiando en las prácticas de quien las opera y administra.

En este contexto, la incertidumbre es la forma natural en la que las organizaciones trabajan con sus terceros, confiando en la promesa de valor de sus socios estratégicos y aprendiendo a crear prácticas, que a diferencia de los que sugiere la sabiduría convencional, no busquen la serenidad y predictibilidad de la operación, sino la preparación permanente y constante para enfrentar la materialización de riesgos conocidos y desconocidos.

En la medida que los procesos de las empresas, aprenden sobre la inestabilidad del entorno donde operan, son capaces de reconocer las trazas de la inseguridad de la información, para disminuir las consecuencias de la materialización de eventos contrarios y aumentar su resistencia para entender y confrontar eventualidades mayores. Esto no hace referencia a la característica de resiliencia, sino a la forma como el proceso se preparar para comprender e interiorizar la falla, para rediseñar su propia dinámica interna y aumentar su capacidad de respuesta ante lo inesperado.

El valor de la información como un activo y la alta interconectividad de las empresas a través de los móviles, las redes sociales y la computación en la nube, genera un escenario potencial de falla que se hace necesario analizar y entender, no para inhibir las potencialidades de la empresa, sino para capitalizar las oportunidades que esta realidad le propone, disminuyendo los impactos de la materialización de la inevitabilidad de la falla.

Así las cosas, la información en los procesos actuales de las empresas deberá pagar una cuota de sacrificio o dicho en términos de riesgos, contar con una tolerancia conocida a la falla, que implica reconocer en cada interacción la posibilidad del error y la revelación de vulnerabilidades. Esto es, en la medida que podamos hacer fallar el proceso, “mayor será el papel de la opcionalidad”, haciendo de cada momento en su ejecución, una forma de entender la no linealidad de las operaciones y por tanto, la capacidad para absorber y contener los efectos de la materialización del riesgo.

Lo antifrágil en la tecnología

Anota, TALEB (2013, pág.365) “Cuando no podemos expresar con exactitud lo que algo es, sí podemos decir mucho sobre lo que no es”, dicho en otra forma, muchas veces la forma de aclarar un término es definir su negación (SPRAGUE, STUART y BODARY 2010), pues de esta manera podemos explorar aquellas características que establece su opuesto, nutriendo necesariamente lo que podría llegar a ser la definición de su positivo.

Por tanto, la sabiduría en el ejercicio del estudio de la inseguridad de la información, no está en la capacidad de predecir las asimetrías que pueden generarse en la puesta en operación de una determinada estrategia de protección de información, sino en el diseño de un sistema que genere mayor o igual variedad de momentos de falla, que prepare a la organización para actuar frente a la misma, sin la angustia de la paranoia desbordada y con la tranquilidad de quien está alerta a los cambios inesperados.

Así las cosas, hablar de infraestructuras de TI seguras, es una ilusión que recaba sobre un supuesto incorrecto que dice que la seguridad de la información es una función que busca la tranquilidad en una zona controlada, cosa que es contraria a la realidad. En este escenario, la seguridad de la información será mayor en la medida que la inseguridad de la información pueda generar y manifestar opciones para estresar las propuestas de protección, las cuales no serán confiables hasta que las mismas no tengan la capacidad de resistir de manera permanente los casos de mal uso.

En este sentido, la mente del atacante y su vista no lineal de la realidad, nos permite explotar la fragilidad inherente de la tecnología, la cual se diseña y construye bajo supuestos de uso y no de mal uso. La vista desprevenida de los “chicos malos” es capaz de revelar la inevitabilidad de la falla de la infraestructura bien por una relación no prevista, un parámetro no considerado o introducción de anomalías que son inesperadas tanto para el hardware o el software.

Construir infraestructuras de TI seguras, requiere una vista enriquecida desde la inseguridad de la información, para establecer una postura de falla confiable que, reconociendo su debilidad inherente, es capaz de asumir la falla, haciendo menos dolorosa la experiencia de la misma, motivando un ejercicio de análisis y aprendizaje por parte de los analistas de seguridad de la información; más allá de un modelo de riesgos y controles, que privilegie las posibilidades de error y haga más resistente a los ataques la infraestructura disponible.

La fragilidad propia de la tecnología, llena de errores desde el diseño y aún más en su implementación, debe ser la motivación de los analistas de la “inseguridad de la información” para crear entornos hostiles y divergentes que preparen a los perímetros porosos de seguridad, para enfrentar la curiosidad y mente abierta del atacante y así, sobrevivir a la materialización de los riesgos actuales y emergentes que ponen a prueba la capacidad de anticipación que las empresas puedan tener frente a eventos inesperados.

Balancear lo frágil y lo antifrágil de la protección de la información

La información es frágil por naturaleza, como lo es el agua y otros tantos elementos en la naturaleza, que permiten efectos contrarios sobre éstos y aún así se mantienen vivos y activos.

Esta particularidad de la información, de absorber tanto lo positivo como lo no positivo, y su capacidad de restauración propia, es la característica que los analistas de la inseguridad deben conocer y explotar. Mientras los estándares de seguridad de la información, tratan de modelar la complejidad de la inevitabilidad de la falla, a través de controles definidos, los cuales deben ser ejecutados de manera “perfecta” (LAMBRINOUDAKIS 2013), las vulnerabilidades responden y siguen la corriente de las relaciones y acciones no lineales e imperfectas, que potencian virtudes (o fallas) de la información tanto en las personas, los procesos y la tecnología.

En este sentido, los estándares o prácticas de los organismos de estandarización deberían diseñar programas que habiliten a los analistas para crear condiciones límite y adversas sobre los sistemas de gestión, no para su aseguramiento, sino para crear situaciones en las cuales es inevitable la falla y crear un escenario incómodo psicológicamente frente a la sabiduría convencional de la protección, abriendo el espacio para las posibilidades más que para las probabilidades.

Por tanto, diseñar un modelo de protección de la información tradicional basado en riesgos y controles, es retar a la incertidumbre para que tome el control de aquellas situaciones no previstas y doblegar la esperanza de seguridad y control que supone el mismo. Esto es, mantener una capacidad limitada de acción frente a la falla e incrementar la incapacidad de la organización para hacerse resistente a las vulnerabilidades conocidas o desconocidas.

Elaborar un modelo de seguridad y control, basado en la antifragilidad misma del sistema que protege, esto es en el azar, los errores, la imprevisibilidad, los comportamientos no lineales y manejar los impactos de la combinación de éstos, alimenta la curiosidad y resistencia del modelo, que claramente será contrario a lo que espera un ejecutivo de alto nivel de empresa, pero estará alineado con la realidad misma, donde la incertidumbre es el referente natural para su acción.

Como quiera que el marco referencial y preponderante de lo positivo y conocido se encuentra arraigado en el colectivo empresarial y personal, se hace necesario abrir espacios de diálogo con lo asimétrico, incierto y desconocido para mantener el ejercicio de protección de la información, con un lenguaje que movilice los esfuerzos preventivos a nivel empresarial y creativos a nivel personal.

Si bien el concepto de antifragilidad, no es una invitación a mantenernos en el caos y la improvisación, si es una postura que nos advierte sobre la comodidad de lo conocido y sus consecuencias, un ejercicio que motiva la creatividad para crear una cultura de seguridad de la información saludable (LACEY 2009), es decir, aquella incorpora la inevitabilidad de la falla como parte natural de lo que la gente cree, promueve la generación de escenarios de riesgo como parte de lo que las personas hacen y se prepara para superar las situaciones críticas e inesperadas como parte inherente de lo que los individuos ven.

Así pues el balance entre lo frágil y lo antifrágil en seguridad de la información, es entender la necesidad de certidumbre de la gerencia sobre el control de la información y contraponer dichos intereses frente su capacidad de resistencia y aprendizaje ante situaciones inesperadas, aleatorias y no lineales que potencian tanto oportunidades como nuevas amenazas.

Referencias

ARTHUR, W. B. (2011) The second economy. Mckinsey Quarterly. October. Disponible en: http://www.mckinsey.com/insights/strategy/the_second_economy (Consultado: 24-08-2013)

WEILL, P. y WOERNER, S. (2013) The future of the CIO in a digital economy. MIS Quarterly Executive. June, No.12, Vol.2.

LACEY, D. (2009) Managing the human factor in information security. John Wiley & Sons.

TALEB, N. N. (2013) Antifrágil. Las cosas que se benefician del desorden. Paidos

CANO, J. (2013) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Blog IT-Insecurity. Junio. Disponible en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html (Consultado: 24-08-2013)

CANO, J. (2012) El futuro de la inseguridad de la información. El arte de imaginar lo inesperado. Blog IT-Insecurity. Agosto.  Disponible en: http://insecurityit.blogspot.com/2012/08/el-futuro-de-la-inseguridad-de-la.html (Consultado: 24-08-2013)

HOWARD, C., PLUMMER, D., GENOVESE, Y., MANN, J., WILLIS, D. y MITCHELL, D. (2012) The nexus of forces: social, mobile, cloud and information. Gartner Research. Disponible en: http://www.gartner.com/id=2049315 (Consultado: 24-08-2013)

LAMBRINOUDAKIS, C. (2013) Evaluating and enriching information and communication technologies compliance frameworks with regard to privacy. Information management and computer security. Vol.21. No.3

SPRAGUE, J., STUART, D., y BODARY, D. L. (2010). The Speaker´s Handbook. Wadsworth: Cengage Learning.