Introducción
La seguridad de la
información es siempre un producto en desarrollo, un ejercicio de aseguramiento
y descubrimiento permanente que no admite posiciones incontrovertibles o sesgos
de visiones particulares. Es una disciplina que está en constante movimiento y
renovación como premisa fundamental para mantener el espacio conocido de riesgo
residual aceptable y tolerable por una persona u organización.
En este sentido, cada vez más
las decisiones relacionadas con protección de la información tienen impactos
significativos en aspectos claves de la vida de las personas. Casos
particulares se observan en aquellos puntos donde las tecnologías de
información convergen con los sistemas de control, los cuales generalmente
terminan teniendo a cargo sistemas de transporte de energía, monitoreo de
plantas, operación de dispositivos biomédicos, entre otros, que se integran y
afectan aspectos claves de la vida humana.
No tenemos que enumerar los
impactos de una operación inadecuada de los sistemas de control o de acciones
inadecuadas de protección de la información de estos elementos industriales,
pues es claro que no solamente está en juego la seguridad de la operación, sino
la vida de aquellos a los cuales sirve este sistema y lo que de ellos se
deriva. Adicionalmente, si las acciones son dirigidas especialmente a
infraestructuras claves de las empresas o naciones, no estará en juego
solamente la operación propia de éstas, sino posiblemente la reputación de una
empresa o la gobernabilidad de una nación.
Así las cosas, se abre un
camino convergente entre dos conceptos ampliamente utilizados en el dominio de la
seguridad y control como son “safety” y “security”. De acuerdo con Axelrod (2013,
pág.61), se entiende por safety – que
el sistema no debe dañar al mundo y
por security – que el mundo no debe dañar el sistema. Ahora
bien, si el sistema es susceptible a las dos distinciones estamos en presencia
de una infraestructura crítica donde el sistema puede llegar a “dañar el
mundo” y “el mundo puede dañarlo”.
En consecuencia, cuando
trasladamos estas dos distinciones a la esfera de la seguridad de la
información y de la ciberseguridad, comenzamos a vislumbrar los enfoques
complementarios que se deben asumir para avanzar en nuevas prácticas de
aseguramiento en un contexto extendido de la realidad del flujo de la
información que afecta el mundo exterior y puede comprometer la vida humana.
Mientras las prácticas de
seguridad de la información tradicionales, se concentran en que “el mundo no
dañe el sistema”, procurando una series de acciones y actividades que
incrementen la resistencia del sistema a los ataques, las nuevas estrategias de
ciberseguridad, deben sintonizar las anteriores para evitar que el sistema
“pueda dañar el mundo”, esto es, entender la misión que tiene el sistema en el
mundo y sus impactos, para así desarrollar un enfoque agregado de protección
que evite dañar la realidad exterior y asegurar la resistencia del sistema
frente a ataques del exterior.
Basado en lo anterior,
revisaremos el contexto de las prácticas actuales de seguridad de la
información y de ciberseguridad, con el fin de plantear una vista compartida y
extendida de estos dos conceptos que, teniendo una identidad propia, comparten
prácticas y procuran objetivos semejantes para administrar un riesgo residual
conocido, pero con impactos y realidades diferentes.
Siguiendo las reflexiones de
Clark y Knake (2010) el ciberespacio es una realidad emergente que se compone
de cuatro elementos fundamentales: contexto físico, fundamentos lógicos,
contenidos y actores. Cada uno de ellos interactuando entre sí le dan vida a un
ente de construcción colectiva que vincula el mundo real con la realidad
digital del flujo de información, donde se construyen y reinventan las
relaciones entre los diferentes actores.
El contexto físico hace
referencia a la plataforma tecnológica y de telecomunicaciones, donde se
encuentra la fuente del contacto con el mundo exterior. La sintonía e
integración de esta plataforma con las diferentes actividades humanas, la
convierte en una extensión del relacionamiento humano, con lo cual no solamente
podemos repensar nuestras actividades diarias, sino mejorar o ampliar nuestra
capacidad de influencia y colaboración con el resto de la humanidad.
Esta plataforma para que
funcione requiere unos fundamentos lógicos, es decir, programas, aplicaciones o
desarrollos de software quienes son lo que le dan vida a las posibilidades que
podemos experimentar sobre la infraestructura de tecnológica disponible. La
lógica de las operaciones de la plataforma responde al software de base y especializado,
los cuales debidamente estructurados y construidos, son capaces de proveer
servicios para que sean usados por todos aquellos que tengan acceso a ellos.
Estos programas o
aplicaciones, transforman, almacenan y transmiten contenidos que son desarrollados
por aquellos que han acrecentado su conocimiento y las habilidades tomar
control de los mismos y difundirlos a través de la plataforma donde opera el
software. Mientras en el pasado, eran unos pocos los que tenían el control de
los contenidos que se subían a la infraestructura, el proceso de apertura y
democratización que ha tenido el ciberespacio, permite ahora que cualquier
persona que tenga acceso a este mundo digital, tenga la capacidad de crear sus
propios contenidos y propagarlos de la forma que mejor le parezca.
Todo esto es posible dado que
existen actores, personas de carne y hueso e instituciones que tienen
diferentes intereses y roles, con lo cual se abre un diálogo abierto sin
intermediarios entre múltiples interesados que permite un flujo de información,
que puede determinar un cambio de perspectiva de una temática particular, abrir
nuevas posibilidades para crear y hasta actividades ilegales que pueden
comprometer la imagen de una persona o entidad, o incluso la forma de gobierno
de una nación.
En este escenario, el
ciberespacio es una plataforma de interacción humana, soportada en una realidad
tecnológica que ofrece las siguientes características: (CHOUCRI 2012, pág.4)
·
Es atemporal e
instantáneo
·
Ubicuo – Está en
todas partes· Permeable – Traspasa todas las fronteras
· Fluido – Está en revolución y cambio permanente
· Participativo – Universal y de contribución popular
· Múltiples identidades – Procura el anonimato
· Auto regulado – Busca la neutralidad tecnológica
En consecuencia, el ciberespacio
establece un reto conceptual y práctico tanto para la sociedad, como para las
diferentes disciplinas científicas, pues sus múltiples aproximaciones y
variables, motivan diversas reflexiones que crean visiones y tendencias
aprobadas por algunos y controvertidas por otros.
Una
lección que no se puede olvidar es que hablar de ciberseguridad no debe
limitarse a las reflexiones en el contexto de la tecnología de información,
sino al entendimiento de los retos e impactos que impone el ciberespacio como
plataforma donde ocurre ahora la relación entre los estados y los ciudadanos.
Una
política de ciberseguridad es un instrumento que desarrollan las naciones para
comunicar y manifestar aquellos aspectos que desea un estado proteger en el
ciberespacio. Es una declaración que materializa la postura de un gobierno para
vincular de manera decidida al ciudadano, sus derechos y deberes ahora en un
escenario de la realidad extendida de la sociedad, donde la información
instantánea, la movilidad y las redes sociales son la norma de su operación.
En
este contexto, las variables económicas, relacionadas con el movimiento de
capitales e inversiones se ven afectados, toda vez que las entidades bancarias
flexibilizan y promueven dicha interacción con servicios cada vez
personalizados y electrónicos, motivando un flujo de activos financieros por la
red, que requieren condiciones de protección diferentes y prácticas de
seguridad y control donde intervienen tanto los clientes como la entidad
bancaria.
De
otra parte, se tienen implicaciones psicológicas de estas nuevas interacciones
de los ciudadanos en el ciberespacio, donde las motivaciones, orientaciones y
actuaciones se presentan de acuerdo con tendencias y patrones de acción que son
definidos por realidades emergentes de relaciones informática entre diferentes
actores, que bien pueden inducir a comportamientos positivos, negativos o
neutros, los cuales manifiestan una conciencia supranacional que está presente
no en un contexto visible, sino inmerso en el tejido social asistido por las
redes de información y comunicación.
Como
quiera que esta nueva realidad de interacción virtual y real moviliza
comunidades y relaciones fuera de los dominios y contornos de un país, los
comportamientos y expresiones sociales demandan un orden general diferente. En
este sentido, las ciencias jurídicas encuentran un nuevo reto de regulación
sobre un escenario que es incierto e impredecible, para tratar de
conceptualizar y proponer alternativas de solución frente a aquellos de
situaciones catalogadas como conductas reprochables, las cuales articuladas con
tecnología de información, se hacen más volátiles frente a posibles formas de
sanción y control.
Las
organizaciones no son ajenas a los impactos de una realidad interconectada,
habida cuenta que las relaciones entre las personas ahora se articulan desde un
medio social informático, el cual ingresa como un elemento de la cultura
organizacional y replantea las conversaciones internas de la empresa, para
motivar actividades que habiliten espacios de expresión más abiertos,
democráticos e interactivos donde opinar no es un privilegio, sino un deber de
un empleado, que siente que hace parte de una realidad superior y que la
empresa está inmersa dentro de un todo superior.
Esta
realidad de un ciberespacio para interactuar, renueva el entendimiento de
nuestras relaciones con los demás y con los estados. En este contexto, la
ciberseguridad como política de estado, formaliza una decisión de un país donde
declara que ahora cuenta con un territorio digital extendido donde de igual
forma ejercerá soberanía, sabiendo que dicho espacio virtual, es compartido con
otras naciones y nacionales para beneficio mutuo.
Ahora
bien, el ciberespacio revisado desde la vista de las prácticas de seguridad y
control, demanda una estudio particular para comprender cómo operan y se
interrelacionan cada uno de sus elementos frente a la distinción de safety y security, con el fin de establecer con mayor claridad los esfuerzos
que se deben adelantar para construir una vista complementaria que procure la
búsqueda de un entorno digital más seguro.
Buscando respuestas para la ciberseguridad
Siguiendo las reflexiones de
Axelrod (2013, pág. 117) sobre safety
y security se hace necesario
distinguir entre los sistemas de información críticos y sistemas de control
críticos. Para ello, propone distinguirlos por las consecuencias que puede
traer su mal funcionamiento, uso inadecuado o falla. Mientras una falla en un
sistema de información crítico puede llegar a tener impactos económicos,
sociales y legales, en los sistemas de control los efectos pueden ocasionar
daños físicos y/o daños al ambiente.
En este contexto, cuando se
trata de sistemas de información críticos, generalmente tenemos la realidad de
las organizaciones y sus operaciones, las cuales entran en el dominio de la
seguridad de la información con todas sus actividades y retos a nivel de
personas, procesos, tecnología y aspectos normativos. La protección de la información
se fundamenta en una transformación de comportamientos desde una práctica que
se materializa en un proceso, que es asistida con herramientas tecnológicas de
seguridad y está alineada con las regulaciones propias de cada negocio.
De otra parte, cuando el
objeto de revisión son los sistemas de control, tenemos la realidad del mundo
de los microcontroladores que reciben y transmiten información desde puntos
remotos, con el fin de conocer el estado de la operación de un elemento del
mundo real o de ejecutar acciones concretas sobre el mismo, basado en los datos
disponibles a través del sistema de control. Generalmente estos sistemas
permanecían en redes e infraestructura tecnológicas separadas, pero con la
penetración del mundo IP, han comenzado a ser más visibles y por tanto, más
expuestos a las condiciones agrestes de la fallas y vulnerabilidades de los
sistemas de información.
Así las cosas, los atributos
y condiciones de operación de los sistemas de información (o mundo TI) difieren
de los sistemas de control (o mundo OT – Operations
Technology). Dentro de las diferencias se encuentran: (Adaptado de: WEISS
2010, pág.34)
|
Atributos
|
Sistemas
de Información
|
Sistemas
de control
|
|
Confidencialidad
|
ALTA
|
BAJA
|
|
Integridad
|
Moderada
|
Muy alta
|
|
Disponibilidad
|
Moderada
|
Muy alta
|
|
Autenticación
|
Moderada
|
Alta
|
|
Parches
|
Frecuentes
|
Pocos o nulos
|
|
Ciclo de vida
|
3 a 5 años
|
15 a 50 años
|
|
Forensia informática
|
Disponible y configurable
|
Limitada, si existe
|
|
Pruebas de seguridad
|
Pruebas de vulnerabilidades
|
Pocas o nulas
|
|
Manejo de cambios
|
Frecuentes, formales y documentados
|
Raros, informales y no siempre documentados
|
|
Administración
|
Centralizada
|
Local
|
Tabla de comparación entre los sistemas de información
y los sistemas de control (Adaptado de: WEISS 2010, pág.34)
Como podemos ver cada dominio
de sistemas, sugiere un foco y prácticas que de manera independiente se han
venido manejando para mantener la operación en cada una de sus sedes, generando
especialidades marcadas tanto para el mundo TI como para el mundo OT.
Sin embargo, cuando el
ciberespacio aparece y penetra con su infraestructura de telecomunicaciones
general y estándar, proporcionando una forma integrada de conectar y ver el
mundo, lo que inicialmente estaba en el dominio exclusivo de los sistemas de
control, con sus particularidades y prácticas, ahora se expone y sale a la luz
del mundo interconectado. Esto obliga a una revisión de las diferencias
marcadas previamente y explorar un mundo extendido que no solo deja que la
información fluya entre los diferentes puntos, sino que ahora tiene la
capacidad de afectar al mundo exterior.
En este tenor, podríamos
indicar que la ciberseguridad, es el conjunto de prácticas de seguridad y
control aplicadas sobre sistemas de información y/o control que operan en el
ciberespacio, con el fin de hacerlos más resistentes a los ataques (security), limitando los impactos adversos
en el mundo exterior producto de su malfuncionamiento, uso inadecuado o falla (safety).
Esta definición supone,
llevar las prácticas de seguridad de la información del mundo TI al mundo OT y
comprender la lógica de la operación del mundo OT, para integrarlo al mundo TI.
Bajo este nuevo lente, las infraestructuras críticas, aquellas cuyos sistemas
puede llegar a “dañar el mundo” y “el mundo puede dañarlos”, deben adquirir la
mayor relevancia en el ejercicio de aseguramiento, toda vez que son capaces de
afectar la dinámica de las relaciones que exhibe una sociedad, ahora enlazada
desde la esfera del ciberespacio.
Habida cuenta de lo anterior,
se comprende mejor las preocupaciones de los gobiernos y organismos
multilaterales sobre los eventos recientes que afectan la operación de plantas
de energía, refinerías, aeropuertos, dispositivos biomédicos, los sistemas de
defensa, sistemas bursátiles, entre otros, que buscan no solamente atacar el
sistema, sino producir un daño en el mundo real, que genere confusión y zozobra
frente a las posibilidades que se manifiestan en la interrelación entre el
ciberespacio y los sistemas de control. (GONSALVES 2014, KEPES 2014, RILEY 2014)
Por tanto, la ciberseguridad
vista como una política de estado en el contexto del ciberespacio y como la
convergencia del mundo IT y OT, demanda un entendimiento de aquellos elementos
que operan en una infraestructura tecnológica con potencial de afectación del
mundo exterior o de terceros, para establecer y conciliar una vista de
aseguramiento que valide el nivel de exposición de los sistemas de información
y verifique las consecuencias del mal funcionamiento, mal uso o falla de los
sistemas de control allí presentes.
Es importante anotar, que los
sistemas de información financieros propios de la banca central, la bolsa de
valores, organismos de supervisión financieros y relacionados, hacen parte de
las infraestructuras críticas, pues si bien no utilizan sistemas de control
como los comentados previamente, si cuentan con consolas de operación y
programas especializados, cuyo mal uso, falla o malfuncionamiento puede generar
efectos nocivos sobre la confianza de los inversionistas en un país o dejarlo
paralizado frente a las operaciones que se requieren para mantener el flujo de
la economía.
Para adelantar una revisión
de la ciberseguridad es preciso avanzar en una identificación de amenazas y comprender
en profundidad qué es aquello que queremos proteger, qué cosas pueden salir
mal, qué debo hacer frente a aquellas cosas que pueden salir mal y si he hecho
un análisis consciente del sistema en revisión. (SHOSTACK 2014, pág.4)
Si bien existen metodologías
ampliamente conocidas para adelantar pruebas de vulnerabilidades como son
OSSTMM (2003) (Open Source Security
Testing Methodology Manual), ISSAF (2005) (Information Systems Security Assessment Framework) y OTP (2014)
(OWASP Testing Project) las cuales detallan una serie de actividades para
entrar en profundidad de las fallas de los objetos que son alcance de sus
revisiones, es importante contar con un marco de acción que simplifique el
análisis y se focalice en aquellos elementos claves de las debilidades propias
del sistema, para movilizar con mayor celeridad los ajustes requeridos y así aumentar
la resistencia de éstos a los ataques.
En este sentido, el analista
de Microsoft Adam Shostack (2014) propone un método para identificación de
amenazas denominado STRIDE: Spoofing,
Tampering, Repudiation, Information
disclosure, Denial of service y Elevation of privilege, que traducido en
español se leería como Suplantar, Alterar, Repudiar, Revelar información,
denegar el servicio y elevar privilegios. El cual puede ser usado con múltiples
enfoques: como una forma para pensar como el atacante y establecer maneras de
vulnerar el sistema, como una forma de analizar los elementos del sistema y sus
vulnerabilidades o como una estrategia para atacar las interacciones que tiene
el objeto bajo evaluación con sus otros componentes.
Con este método, los
analistas o personas participantes de la revisión del sistema bajo evaluación, procuran
establecer aquellas cosas que pueden salir mal con el sistema, los momentos o
acciones que se pueden materializar y afectar el adecuado funcionamiento del mismo.
De igual forma, por cada amenaza enumerada se tiene el principio y/o servicio
de seguridad que se requiere asegurar: Spoofing
(autenticación), Tampering
(integridad), Repudiation (No
repudio), Information disclosure
(confidencialidad), denial of service
(disponibilidad) y elevation of privilege
(autorización).
Adelantar un ejercicio
siguiendo lo sugerido por STRIDE, permite tener un escenario base de amenazas
en los diferentes puntos del sistema bajo evaluación, los cuales son insumo
para entender los impactos de su malfuncionamiento, uso inadecuado o falla, así
como para plantear los mecanismos de seguridad y control requeridos para
hacerlo más resistente a los ataques. El método prevé algunos controles para
cada uno de los principios y servicios de seguridad asociados con las amenazas.
Para mayor información consultar la referencia que se indica. (HERNAN, LAMBERT,
OSTWALD, y SHOSTACK 2006)
De otro lado, tenemos la guía
de los 20 controles críticos de seguridad del SANS Institute versión No.5 (SANS INTITUTE 2013) como una forma
práctica de establecer controles generales para las infraestructuras críticas.
Para ello, se presenta una aproximación inicial, basada en la experiencia y
estándares referentes (ISA99, ISO 27019:2013), sobre cuáles de los controles
son más relevantes y utilizados en cada uno de los dominios IT y OT, como base
para la reflexión convergente que se requiere para obtener una vista integrada
que procure resistencia a los ataques en la operación y limitación de efectos
adversos en el mundo real como fruto de un mal funcionamiento del sistema.
|
Controles Críticos del SANS Institute
Versión 5
|
TI
|
OT
|
STRIDE
|
|
Inventario de dispositivos autorizados y no
autorizados
|
|
X
|
ST
|
|
Inventario de software autorizados y no autorizados
|
|
X
|
ST
|
|
Configuraciones seguras para hardware y software en
dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores
|
|
X
|
TE
|
|
Remediación y Evaluación continua de
vulnerabilidades
|
X
|
|
STRIDE
|
|
Defensas frente al malware
|
X
|
|
T
|
|
Seguridad en las aplicaciones
|
|
X
|
STRIDE
|
|
Control de acceso inalámbrico
|
|
X
|
S
|
|
Capacidad de
recuperación de datos
|
X
|
X
|
D
|
|
Evaluación de Habilidades y formación adecuadas en
seguridad
|
X
|
|
STRIDE
|
|
Configuraciones seguras para los dispositivos de
red, tales como firewalls, routers y switches
|
|
X
|
ST
|
|
Limitación y
control de los puertos de red, protocolos y servicios
|
X
|
X
|
ST
|
|
Uso
controlado de privilegios administrativos
|
X
|
X
|
STR
|
|
Validación de flujos de información entre
componentes
|
X
|
|
STRIDE
|
|
Mantenimiento, Monitoreo y Análisis de Registros de
auditoría
|
X
|
|
E
|
|
Acceso controlado con base en la necesidad de
conocer
|
X
|
|
S
|
|
Supervisión y
control de cuentas de acceso
|
X
|
X
|
SIE
|
|
Protección de datos
|
X
|
|
I
|
|
Respuesta y
Manejo de Incidentes
|
X
|
X
|
STRIDE
|
|
Diseño de redes confiables
|
|
X
|
STRIDE
|
|
Pruebas de Penetración y simulaciones de ataques
|
X
|
|
STRIDE
|
Tabla - Vista de Controles SANS, TI, OT y STRIDE
Revisando esta primera
aproximación notamos que hay coincidencia de cinco controles en los dos
dominios. Estos controles establecen el fundamento de los mínimos que se deben
asegurar en las infraestructuras críticas, toda vez que procuran defender de
manera básica el sistema de ataques del mundo exterior. Si alguno de estas
contramedidas básicas falla, estaremos advirtiendo efectos en el mundo exterior
que afecten el normal desarrollo de las actividades de la sociedad con impactos
tan profundos como la operación que tiene a cargo el sistema de control.
De igual forma, podemos advertir
que los cinco controles coincidentes, se correlacionan con los riesgos
enumerados con el método STRIDE, con énfasis en la suplantación, la modificación
y la elevación de privilegios, sin perjuicio que algunos de ellos, son de
propósito general frente a los riesgos enumerados por el método de Microsoft.
Esto nos insinúa de igual forma, la sensibilidad de los componentes en el mundo
OT y la necesidad de comprender en profundidad sus interacciones para descubrir
los campamentos de la inseguridad de la información y los efectos no
documentados de dichas relaciones.
Así mismo, ISACA
recientemente basado en la nueva actualización de su marco de gestión, ahora de
información, denominado COBIT5, propone una visión de la ciberseguridad que
articula con el planteamiento de safety
y security. El documento Transforming cybersecurity using Cobit5,
se fundamenta en dos dimensiones, una estratégica donde se establecen las
estrategias, los planes, pasos a seguir y el portafolio de proyectos, y otra
sistémica que identifica las dependencias entre los sistemas considerando los
impactos de los cambios que se efectúan y cómo estos tendrán efectos inmediatos
o secundarios en su entorno de operación (ISACA 2013, pág.56).
ISACA entiende la
ciberseguridad como un sistema que se distribuye a través de todos los componentes
de la empresa. Esto incluye la empresa, sus personas, procesos y tecnología en
un amplio sentido. Adicionalmente estos elementos están interconectados de
manera dinámica a través de la estrategia empresarial, la cultura individual o
las diferentes relaciones de la empresa con sus grupos de interés (ISACA 2013,
pág.141).
Todos estos elementos de
análisis sobre los sistemas de infraestructura crítica (dominio de la
ciberseguridad), permiten aumentar la capacidad de éstos para ser resistentes a
los ataques del exterior y mejorar las acciones de respuesta interna que eviten
consecuencias mayores, si estos sistemas no funcionan o son impactados de
manera importante.
Adicionalmente, si estas
prácticas de aseguramiento orientadas por la formalidad de los controles se
combinan con técnicas de monitoreo activo, ataques activos, inteligencia
informática y reconocimiento dinámico de amenazas (MOWBRAY 2014, pág.290), no
solamente se aumentará la capacidad de respuesta de la infraestructura, sino
que llevará a evaluar mejor al atacante los beneficios y consecuencias de
lanzar una acción desetabilizadora sobre ésta, lo que generalmente se llaman
estrategias disuasivas.
Habida cuenta de lo anterior,
y sin perjuicio de la evolución natural de la ciberseguridad y sus prácticas,
se hace necesario profundizar en el entendimiento de la evolución de los ciber
ataques y las amenazas emergentes sobre las infraestructuras críticas, como
fuente fundamental de conocimiento para retar los modelos actuales de
protección y las propuestas de marcos metodológicos de ciberseguridad, con el
fin de no caer en la falacia de la falsa sensación de seguridad y crear el
entorno adecuado para construir nuevas capacidades de resistencia frente a
actividades no autorizadas que afecten las variables críticas de una empresa o
nación.
Reflexiones finales
Los ciber ataques cada vez
serán más comunes y sus impactos comenzarán a inquietar a las empresas y
gobiernos, pues no solamente habrán cicatrices en sistemas o tecnologías
particulares, sino que sus efectos alcanzarán sectores claves de un país,
afectando la población civil y el normal desarrollo de sus actividades, como ha
ocurrido en el pasado.
La complejidad tecnológica,
la rapidez de la evolución tecnológica, la falta de madurez de la industria de
TI, la alta interconectividad de las “cosas” y la visibilidad de los elementos
de la operación del mundo OT (CANDAU 2013), aumentan la posibilidad para que
los atacantes descubran en el laberinto de direcciones IP, aquellos sitios
neurálgicos de las operaciones de una empresa o país, y provocar una crisis que
ponga en tela de juicio la gobernabilidad de un estado.
En este entendido, se hace
necesario comprender con mayor rapidez y visibilidad las amenazas conocidas,
latentes, focales y emergentes (CANO 2013), con el fin anticipar los movimientos
de los agresores y de motivar acciones, no solamente de control y
aseguramiento, sino proponer alternativas que permitan disuadirlos de sus operaciones
frente a las infraestructuras críticas de una empresa y/o país.
En este tenor, la
ciberseguridad como la intersección entre política y tecnología, así como prácticas de seguridad y control
convergentes de los mundos “safety” y
“security”, plantean nuevos retos y
desafíos para los ejecutivos de seguridad de la información, los presidentes de
empresa y los gobernantes de las naciones, toda vez que el tejido social, ahora
intercomunicado por una infraestructura tecnológica, se hace más susceptible a
fallas o malos usos, cuyos impactos en número de víctimas potenciales, impactos
económicos y afectación de la confianza del público, estamos empezando a
conocer y caracterizar.
Estamos ante un escenario
incierto, que toma a personas, empresas y naciones sin la preparación adecuada,
como quiera que hasta ahora la mirada sobre la seguridad de la información se
habían concentrado hacia el interior y como problema local, descuidando de
igual forma la evolución y visibilidad de los sistemas OT, propios de la vista
de aquellos sistemas que no deben dañar el mundo.
Si bien este documento, no
pretende agotar las reflexiones sobre ciberseguridad, si busca proponer un
punto de reflexión conceptual para motivar la generación de nuevas propuestas
de construcción de un concepto, que no puede ser tratado como una extensión de
las prácticas tradicionales de seguridad y control, sino como un ejercicio
donde política y tecnología se hacen convergentes para reinventar la noción del
estado-nación más allá de las fronteras conocidas e incorporar al ciberespacio
como el nuevo contorno de la realidad social, tan real y vibrante como la
soberanía de un país y su estado social y democrático de derecho.
AXELROD, C. W. (2013) Engineering
safe and secure software systems. Ed.
Artech House.
CANDAU, J. (2013) Prioridades
nacionales en ciberseguridad. En SEGURA, A. y GORDO, F. (Coords) (2013) Ciberseguridad global. Oportunidades y
compromisos en el uso del ciberespacio. Mando de Adiestramiento y Doctrina.
Editorial Universidad de Granada. Págs.201-211
CANO, J. (2013) La ventana de
AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre.
Disponible en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html (Consultado: 13-07-2014)
CHOUCRI, N. (2012) Cyberpolitics
in international relations. MIT Press.
CLARK, D., BERSON, T., y LIN, H. (Editors) (2014) At the Nexus of Cybersecurity and Public Policy: Some Basic Concepts
and Issues. National Research Council. National Academies Press.
CLARK, R. y KNAKE, R. (2010) Cyber
war: The next threat to National Security and what to do about it.
HarperCollins.
GONSALVES, A. (2014) Airport Breach a Sign for IT Industry to Think
Security, Not Money. Disponible en: http://www.cio.com/article/2448928/it-strategy/airport-breach-a-sign-for-it-industry-to-think-security--not-money.html (Consultado: 1-07-2014)
HERNAN, S., LAMBERT, S., OSTWALD, T. y SHOSTACK, A. (2006) Uncover
Security Design Flaws Using The STRIDE Approach. Disponible en: http://msdn.microsoft.com/en-us/magazine/cc163519.aspx (Consultado: 1-07-2014)
ISACA (2013) Transforming
cybersecurity using Cobit5. Disponible
en: http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Transforming-Cybersecurity-Using-COBIT-5.aspx (Con membresía) (Consultado: 13-07-2014)
ISSAF (2005) Information Systems Security Assessment Framework. Open Information Systems Security Group.
Disponible en: http://oissg.org/files/issaf0.2.1A.pdf (Consultado: 20-07-2014)
KEPES, B. (2014) Data Security And What Keeps CISOs Up At Night. Disponible en: http://www.forbes.com/sites/benkepes/2014/06/27/data-security-and-what-keeps-cisos-up-at-night/?ss=cio-network (Consultado: 1-07-2014)
MOWBRAY, T. (2014) Cybersecurity.
Managing systems, conducting testing, and investigating intrusions. John Wiley & Sons. Indianapolis.
OSSTMM (2003) Manual de la
Metodología Abierta para pruebas de seguridad. ISECOM. Disponible en: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf (Consultado: 20-07-2014)
OTP (2014) Open Web Application Security Project Testing Guide. Versión 4. Disponible en: https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents (Consultado:
20-07-2014)
RILEY, M. (2014) How Russian Hackers Stole the Nasdaq. Business Week. Disponible en: http://www.businessweek.com/articles/2014-07-17/how-russian-hackers-stole-the-nasdaq (Consultado: 19-07-2014)
SANS INSTITUTE (2013) Critical security controls for effective
cyberdefense. Disponible en: http://www.sans.org/critical-security-controls (Consultado: 1-07-2014)
SHOSTACK, A. (2014) Threat modeling.
Designing for security. John Wiley & Sons. Boulevard, Indianapolis.
WEISS, J. (2010) Protecting
industrial control systems form electronic threats. Momentum Press. Taiwan.
