Postura individual de seguridad de la información: Un hábito requerido para sobrevivir ante la inevitabilidad de la falla.

Cuando se lee en los principales medios informativos en el mundo sobre la amenaza de ciberguerras, sobre armas no convencionales soportadas en desarrollos tecnológicos, ciberataques y grupos o asociaciones técnicas y/o científicas que comprometen la seguridad de las infraestructuras tecnológicas de los gobiernos y naciones, o se filtran informaciones clasificadas como secretas o ultra secretas, como se presentó recientemente con Francia, se nos viene a la cabeza historias como las de Julio Verne, que en su momento desafiaron nuestro entendimiento y confrontaron nuestra realidad.

Sin embargo, hablar de fraude en un ambiente digital, de cibercriminalidad, de vulnerabilidades e inseguridad de la información ya no es desconocido en nuestro entorno; no obstante lo anterior, seguimos conquistados por la novedad de la tecnología y sus posibilidades, con una extraña confianza en ella, como si el proveedor cuidara de los detalles de seguridad y control, como parte inherente de la entrega del producto. En este sentido, cada uno de nosotros debe advertir que al estar en un ambiente de alta conectividad y componente informático, nos vemos expuestos a operar en un escenario donde se nos “pide” compartir información, detallar configuraciones de nuestros dispositivos móviles y muchas veces entregar las especificaciones de los medios tecnológicos propios para entrar en contacto con aquello que queremos o necesitamos. (GRAGIDO, W. y PIRC, J. 2011)

Como quiera que esta manifestación de una tendencia informática en la que nos encontramos indefectiblemente nos va a atrapar, se hace imperioso desarrollar y aumentar nuestra postura de seguridad de manera proactiva, que nos permita como ciudadanos de las redes, caminar con las medidas mínimas de seguridad y control, no para evitar ser alcanzado por la inseguridad de la información o la infraestructura, sino para ser más responsables y disciplinados en nuestras interacciones en el mundo digital que nos lleva más allá de la realidad en que vivimos. (GIRGENTI, R. y HEDLEY, T. 2011)

Hoy por los CIO – Chief Information Officer, o llamados Vicepresidentes o Directores de Tecnología de Información o mal llamados de Sistemas, se enfrentan al desafío de una sociedad altamente alfabetizada en temas tecnológicos, la cual le exige día con día mayor velocidad, mayor capacidad y mayor libertad de acción, para hacer de la experiencia de la tecnología en las empresas, una forma de aumentar la productividad de sus empleados. En este tenor, en la aparente libertad y posibilidades que se abren con los desarrollos tecnológicos, se esconden costos humanos, técnicos y procedimentales, que aún estamos por descubrir.

De otra parte, los oficiales de seguridad de la información, como ejecutivos responsables de las estrategias de protección de la información de las empresas, al igual que sus similares (CIO), sufren de las exigencias de los individuos, que demandan servicios y posibilidades que conquisten lo mejor de los dos mundos: la novedad y versatilidad de las tecnologías móviles e interactivas, con lo mejor de las condiciones de seguridad y control disponibles en el mercado. Así las cosas y sin perjuicio de las implicaciones que esta “espinosa” realidad establece, encontrar el balance ideal o al menos requerido para entregar lo mejor a los ansiosos “usuarios” es una labor donde ambos mundos deberán ceder en sus demandas y conciliar una posición intermedia, donde ninguno de los actores sea parte dominante.

Hablar de una sociedad digital, donde día con día se abren posibilidades y negocios novedosos con la información, la movilidad y la vida virtual, es entender una transición de un modelo de sociedad conocida y validada por comportamientos del mundo físico y real, a uno donde la vida transcurre siempre “en línea”, conectado y compartiendo información, donde las distancias no existen y los límites se desdibujan con un “click”.

Este es un momento histórico de transformación de la sociedad que conocemos y abrirnos a una nueva forma de interacción, que no permite demoras en la respuesta y entiende que en la movilidad esta la respuesta a su vida agitada y de comunicación, aún ésta no alcance el sentido real y formal que exige la misma.

Desarrollar una postura real y práctica de seguridad y control en una sociedad como la actual, en transición y concentrada en el movimiento permanente de información y tecnología, requiere integrar a nuestras acciones al menos cuatro elementos conceptuales y sencillos, que nos permitan contar con las alertas mínimas requeridas para caminar por el pedregoso mundo de la inseguridad de la información en un ambiente digital.

Siguiendo los conceptos expuestos por Westerman y Hunter (2007) en su libro, IT Risk. Turning business threats into competitive advantage, publicado por Harvard Business School Press en 2007, el lenguaje de los riesgos de la tecnología de información es una herramienta fundamental y básica que nos debe sensibilizar para avanzar en la construcción de una red de actividades cotidianas para asegurar una adecuada interacción con internet y todo lo que ella conlleva.

Según los autores, los temas de disponibilidad, control de acceso, exactitud y agilidad deben ser el nuevo modelo de entendimiento de nuestra relación con la avalancha de exigencias de movilidad y la realidad de la sociedad digital. Como se puede observar, estas cuatro palabras, no hablan de restricciones o conductas que requieran entendimientos sofisticados, sino más bien de acciones conocidas y disciplinadas para hacer de nuestra experiencia informática y tecnológica, una verdadera renovación permanente de nuestro entendimiento de la red y sus posibilidades.

Cuando hablamos de disponibilidad, no demandamos ni establecemos niveles de exigencia del 99.9% de operación de las plataformas de los proveedores de servicios de información, sino nuestras estrategias y acciones para estar preparados y continuar funcionando cuando el 0.1% se materialice. Esto es, tener la disciplina de mantener resguardados nuestros datos y la forma de tener acceso a ellos, mientras la condición de falla parcial o total se presenta. Así, la disponibilidad vista de esta forma, nos mantiene entrenados en la práctica de la prevención, que a todas luces resulta más económica que una actividad reactiva o de reparación.

De igual forma, cuando de control de acceso se trata, no estamos hablando de restricciones o formas de evitar que la información se conozca, sino de la forma cómo nosotros seleccionamos a quién(es) permitimos conocer nuestra información; hablamos del cuidado que tenemos para cuidar nuestros documentos personales y privados, del algoritmo personal que utilizamos para saber quién digno de nuestra confianza y cómo aseguramos que la información no toma caminos equivocados que terminen comprometiendo nuestra imagen, nuestras acciones e incluso poner en riesgo la vida misma o la de otros.

Revisar el tema de la exactitud, en inglés, accuracy, es advertir la gran huella digital que dejamos al navegar por internet, el conjunto de datos que constantemente estamos registrando en los diferentes sitios, que con el paso del tiempo se confunden y pierden su relación, por la renovación permanente de esta biblioteca 7x24x365 como lo es internet. Al no advertir esta realidad, la sombra digital, es decir, aquellas cosas que se puede decir con nuestra información, inmersa en los registros y documentos que dejamos al visitar la red, podrá ser susceptible de interpretación por los navegantes o utilizada por terceros inescrupulosos para crear los peores momentos de contradicción y riesgo, con un manejo inexacto de nuestra realidad, que cuestione incluso nuestros valores, actividades y manifestaciones dejando en entredicho lo que somos y hacemos.

La exactitud es esa responsabilidad que todos debemos tener con el manejo de nuestra información en cualquier escenario tecnológico, como esa conciencia permanente de nuestro actuar e interacción con la red, que nos permite mantener la prudencia en lo que compartimos, conversamos y revelamos, pues al final del día, todo lo que digamos, compartamos o revelemos será nuestra pesadilla o nuestra redención.

Finalmente la agilidad, es esa condición y característica que la tecnología debe brindar para hacer que las cosas pasen, ese entendimiento de cómo comprender las necesidades de los individuos y articular los modelos de negocios de las empresas. La agilidad, se alcanza sólo si se cuentan con buenos elementos de seguridad y control. Es decir, nadie es tan avezado y temerario (bueno, ¿algunos pocos?) de conducir un vehículo a muy alta velocidad, sin contar con un sistema o mecanismo de control que le permita detenerse cuando es debido. De igual forma, la agilidad en términos tecnológicos y en el paisaje de la red mundial de información, no podrá avanzar más rápido y de manera decidida, sin contar con unos buenos sistemas de seguridad y control, que permitan acelerar su desarrollo e integración con los diferentes actores sociales.

En este sentido, se hace necesario entender la agilidad en el contexto de los sistemas de protección y prácticas de seguridad de la información, que permitan tanto a los habitantes de la red, como a los proveedores, encontrar rutas alternas, que utilizando las condiciones básicas de aseguramiento de sus plataformas y las buenas práctica de protección y control de la información, establezcan la plataforma de aceleración que beneficie tanto a los individuos como a las empresas para alcanzar mayores niveles de desarrollo y generación de valor para sus accionistas y grupos de interés.

Considerando estas cuatro condiciones o elementos de reflexión, podemos establecer lo que podríamos llamar una postura individual de seguridad de la información que nos permitan mantener un nivel mínimo de paranoia administrable, que mantenga un sistema de alertas prudente y proactivo; que exija de nosotros una adecuada protección de la información, entendida como el hábito en el que desarrollamos una disciplina permanente para entender los riesgos a los cuales está expuesta, como parte natural de nuestro diario vivir en medio de una sociedad de la información y el conocimiento.

En consecuencia, cuando nos apropiamos de las prácticas de seguridad de la información, de nuestra preparación ante los sucesos inesperados, de nuestra responsabilidad sobre la circulación de la información, de nuestra forma de cómo brindamos acceso a ella, y entendemos que la velocidad de nuestra interacción con la red, depende de nuestros sistemas de seguridad y control, estamos creando un sistema de detección de amenazas inherente a las interacciones sociales digitales, que evoluciona conforme la exigencia de la red lo requiere, no como un estrategia de regulación impuesta por un tercero, sino como referente natural del mismo sistema, que cuestiona, enfrenta y descubre las intenciones de aquellos que quieren atentar contra el orden que balancea las más exigentes necesidades de los individuos y las condiciones de seguridad y control requeridas para su adecuado desempeño.

Si bien aún estamos muy distantes de este ideal, sea esta reflexión una excusa académica para cuestionar nuestra zona de confort y poner a tambalear la inercia misma donde descansa nuestra postura individual frente a la protección de la información.

Referencias

WESTERMAN, G. y HUNTER, R. (2007) IT Risk. Turning business threats into competitive advantage. Harvard Business School Press.

GIRGENTI, R. y HEDLEY, T. (2011) Managing the risk of fraud and misconduct. Meeting the challenges of a global, regulated, and digital environment. McGraw Hill

GRAGIDO, W. y PIRC, J. (2011) Cybercrime and espionaje. An analysis of subsersive multivector threats. Syngress.

Cibercrimen: Evolución y desafíos en una sociedad digital

Hablar de cibercrimen, de delitos informáticos, de ciberdelicuencia, de crímenes por computador, u otra denominación semejante, pareciera que detallara reflexiones en terrenos desconocidos, efímeros o contradictorios para una sociedad de la información y el conocimiento, una sociedad donde estamos acostumbrados a la conectividad, donde somos adictos a la información y sobre manera nos encanta estar en movimiento.

En este sentido, comprender las conductas punibles en este contexto requiere analizar un perfil diferente de delincuencia, que si bien mantiene los viejos hábitos del crimen en el mundo real, propiciados muchas veces por nuestra constante exposición e inadecuado manejo de los riesgos, establece un reto interesante para todos aquellos que deseamos entender el modus operandi de estos nuevos actores y sus oscuros propósitos en una sociedad digital.

Siguiendo algunos apuntes del libro de GRAGIDO y PIRC (2011) en sus capítulos siete y ocho, trataremos de plantear algunas ideas sobre cómo estos nuevos ciberactores del mal, encuentran en algunas variables sociales nuevas motivaciones para marcar una nueva diferencia en el desarrollo de actividades delictivas, utilizando a la tecnología como cómplice y medio para materializar sus acciones.

De acuerdo con los autores para comprender mejor el fenómeno del cibercrimen, se hace necesario considerar al menos tres variables básicas, que responden primordialmente a modelos generales de comprensión de esta realidad, al cual se le agrega un elemento denominado vector de ataque, que busca incorporar en la ecuación planteada, el abuso de los servicios tecnológicos o los usos de técnicas de hacking tradicionales y elaboradas, con el fin de materializar sus actos y generar la zozobra y la inestabilidad en el entorno donde se manifiesten.

(1) Experiencia + Motivación + Vector de Ataque = Resultado

La experiencia es una variable que mide la habilidad del ciber actor, su nivel de exposición a la tecnología y sus usos, las habilidades que posee para desarrollar sus actividades, sus contactos personales y capacidad de diseño de ataques que permitan o no su posterior nivel de rastreo. La experiencia nos dice con quién estamos tratando, quién es la persona que debemos comprender y qué destrezas requerimos para avanzar en su seguimiento, análisis y estrategias para su judicialización.

De otra parte y de manera complementaria tenemos la motivación, esa fuerza interior que mueve al posible delincuente para adelantar sus acciones, esa movilización de la voluntad bien centrada en el reto con la máquina, o en las creencias o racionalizaciones válidas en su mundo, que permiten encontrar en la acción punible una respuesta a sus necesidades o reflexiones más íntimas. De igual forma, a través de la motivación, es posible explicar aquellos modus operandi planteados por el delincuente, siempre y cuando sea posible estudiar el contexto de sus relaciones con otras personas o círculo de influencia, que de manera importante determinan las actuaciones de estos individuos.

El vector de ataque es una variable interesante, pues vincula tanto la experiencia como la motivación en el escenario de ataque, con el fin de validar cómo las habilidades y móviles personales o grupales, hacen evidente la aplicación de las técnicas y tecnologías para lograr sus propósitos. Comprender con claridad la experiencia o el expertise del atacante, así como sus motivaciones, establece un claro contexto para desarrollar acciones que permiten tomar acciones proactivas para prevenir futuros movimientos, sin embargo, no es suficiente pues los vectores de ataque son los que establecen los móviles de operación que al final hacen la diferencia en las investigaciones de sus acciones de manera posterior.

Se dice que actualmente el cibercrimen responde a intereses de mafias organizadas y organizaciones criminales internacionales, que tienden sus redes a través de comunicaciones abiertas y tradicionales para evadir el cerco de las autoridades internacionales. Si bien comprenden que las conductas tradicionales como robo, falsificación, manipulación, asalto, suplantación entre otras, son verbos que conocen y conjugan muy bien, se están moviendo en el diseño de nuevas redes de apoyo y servicios para hacerlo de manera masiva, a bajo costo y de difícil rastreo.

En consecuencia, estamos observando cómo cada vez más advertimos organizaciones criminales, perfectamente instaladas, con roles y responsabilidades que articulan las diferentes habilidades y potencialidades de sus integrantes con el fin de alcanzar sus acciones de manera efectiva con las consideraciones planteadas en el párrafo anterior. Así, se pueden encontrar hoy en las organizaciones de este estilo las mulas electrónicas, programadores o codificadores, distribuidores, hackers, defraudadores (ingenieros sociales), los recolectores de cuentas de correo o cuentas bancarias, por supuesto, los líderes de la organización. (GORMAN, S. 2010)

Esto lo que nos dice es que el “crimen está organizado”, que se prepara para competir en un entorno digital no solamente contra los desprevenidos ciudadanos “de a pie”, sino para entrar en la grandes ligas, como son las empresas y los estados. No por nada, cada vez que se presenta en público un nuevo producto tecnológico o una estrategia comercial de apoyo a la gestión de la empresa, se encuentran nuevas propuestas de “aprovechamiento” por parte de la delincuencia, pues ellos entienden que hacer significa ganar una diferencia importante para consolidar sus estrategias en esta sociedad digital.

Algunos ejemplos de esta situación lo podemos ver en reciente incidente con el troyano denominado ZEUS, el cual estaba orientado hacia los temas financieros, cuyo modus operandi conocía claramente los controles financieros y las estructuras de seguimiento a las transacciones bancarias, para lo cual se utilizaron diferentes pasaportes de diferentes nacionalidades para materializar el ilícito, una estrategia que se sustenta en la habilidad para usar los controles establecidos en contra de sus propios diseñadores. La mayoría de las transacciones efectuadas tuvieron como actividades básicas el robo de identidad, el robo de números de tarjetas de crédito, el lavado de dinero, la explotación de vulnerabilidades y la venta de servicios. (SCARBOROUGH, T. 2010)

Así como este caso, se tienen documentadas actividades más elaborados alrededor de temas como negación de servicios gubernamentales, espionaje militar, desarrollo de capacidades basados en ciberarmas (botnets avanzadas para negación de servicios y espionaje, armas de pulsos electromagnéticos, modificaciones de hardware y software con fines destructivos o espionaje, bombas lógicas avanzadas, virus a la medida: polimórficos, de hipercontagio, multiplataforma y cifrados), las cuales nos hablan de un nuevo escenario de guerra y diferenciación estratégica de estados y organizaciones, que se mueven entre lo legal y lo ilegal.

Si durante la década de los 90’s internet era una biblioteca en línea, donde podíamos encontrar lo que necesitábamos, así como tener una experiencia diferente para ser parte de un nuevo mundo, de una realidad extendida y llena de oportunidades, durante la primera década del nuevo milenio, internet es una capacidad necesaria para competir en un terreno global y estar en permanente contacto con los clientes, quienes ahora están más informados, empoderados y demandantes de nuevos servicios para seguir una experiencia extrema en el uso de la red y así retar a diario su modelo de operación y de negocios.

En los albores de una nueva década (2010 – 2020) estamos a la espera de un nuevo amanecer de posibilidades como dinero electrónico, banca totalmente móvil, locker digital en la nube, medicina basada en telemetría, mundos tridimensionales extendidos y móviles, redes inalámbricas en la nube, servicios de telecomunicaciones planos y gratuitos, redes extendidas de contenidos agregados y personalizados, en fin una gama abierta de oportunidades, que estarán monitoreadas por la delincuencia digital organizada, que se ha venido preparando para competir en estos mismos terrenos (fraude como servicio, hacking como servicio, virus como servicio, entre otros), entendiendo estos desafíos y cómo evolucionan las motivaciones de sus posibles objetivos, para de la mano con su cómplice, la inseguridad de la información, nos pueda sorprender y cuestionar frente a nuestros comportamientos, hábitos, rutinas y posturas frente a la protección de la información.

Si bien aún nos falta mucho camino por recorrer en el entendimiento del cibercrimen, debemos estar atentos a los rastros que se advierten en cada incursión de la delincuencia organizada, para que podamos de manera conjunta continuar analizando sus patrones de actuación, capitalizando nuestro conocimiento del enemigo y así, afirmar como lo advirtió Kennedy en su momento:

“Los problemas no están todos resueltos y las batallas no están todas ganadas; y estamos hoy al borde de una nueva frontera, una frontera de desconocidas oportunidades y peligros, una frontera de esperanzas y amenazas no cumplidas”.

Por tanto, se hace necesario mantenernos extraviados y confundidos en nuestro camino, para poder desaprender en medio del incertidumbre y así, enfrentar la contradicción que nos propone la delincuencia frente a nuestros controles y la confianza que debemos desarrollar frente a los medios y posibilidades en las plataformas basadas en tecnologías de información y comunicaciones.

Referencias
SCARBOROUGH, T. (2010) Electronic Fraud and the Evolution of Cybercrime. Disponible en: http://www.kasbo.com/documents/2010_Spring_Handouts/8B-Electronic%20Fraud%20&%20the%20Evolution%20of%20CyberCrime%20Optimized.pdf (Consultado: 7-03-2011)
GORMAN, S. (2010) 'Hackers' atacan a miles de empresas y agencias gubernamentales en 196 países. http://sonicwallblog.blogspot.com/2010/02/hackers-atacan-miles-de-empresas-y.html (Consultado: 7-03-2011)
GRAGIDO, W. y PIRC, J. (2011) Cybercrime and espionaje. An analysis of subsersive multivector threats. Syngress.

Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's

¿Quiénes son los arquitectos?

Frecuentemente se habla de arquitecturas, de arquitectos, elementos y personalidades que poco a poco han tomado forma en medio de diferente temáticas como tecnología de información, seguridad de la información, talento humano, liderazgo entre otros campos. Cuando revisamos la etimología de la palabra arquitectura, encontramos que proviene del griego αρχ (arch, cuyo significado es ‘jefe’, ‘quien tiene el mando’), y τεκτων (tekton, es decir, ‘constructor’ o ‘carpintero’), que de manera combinada podría leerse como “jefe constructor”, esa persona que orienta, dirige y mantiene el rumbo para asegurar que cada pieza sea la requerida y mantenga la vista general y articulada de todo cuanto se tiene.

El arquitecto es quien de manera sistemática y sistémica define y mantienen las relaciones entre los elementos, le da forma a la estructura y define su propio funcionamiento. Ser un arquitecto es encontrarle el sentido a cada unión de los componentes, entendiendo su función en el conjunto de su obra, una forma de conjugar diferentes vistas de los participantes e interesados para ser luz en medio de las “turbas” de los diferentes entendimientos. Ser un “maestro constructor”, es traducir la complejidad y la visión de un diseño, en la sencillez de una expresión, en la cotidianidad de una explicación y en la contundencia de una declaración.

Avanzar en el diseño de una arquitectura, es decir, de una forma de articular y entender una realidad, es sumar en la reconstrucción de una verdad vista por múltiples actores, planteando una serie de patrones y parámetros para hacer de la visión de la estructura final, una ruta concreta y desafiante que permite a cada uno de sus participantes, sentirse orgulloso de un logro colectivo. El arquitecto no puede permitirse “errores de interpretación” o la tentación de “tener la verdad”, pues corre el riesgo de encontrarse con su propio reflejo, que no es otra cosa que su limitado entendimiento del enfoque final del proyecto.

En este sentido, tener la responsabilidad de ser un arquitecto de tecnología de información, de seguridad de la información, de la estrategia corporativa de una organización, requiere ir más allá del entendimiento de su propia área de conocimiento y forzarse a cruzar sus dominios y descubrir aquellas relaciones que antes no había visto, encontrarse con la esencia misma de la incertidumbre, para trazar un camino evolutivo que lo lleve de una vista particular, a una colectiva y enriquecida con las reflexiones de otros.

Un arquitecto que se niegue a vivir la realidad de su misión: ser facilitador de una visión colectiva de un equipo, sabrá que será responsable por las consecuencias de las inconsistencias que se planteen en el desarrollo de sus planes, pues el que debiendo ser luz, se vuelve tiniebla, corrompe la sal que “da sabor” a la fuente de la perspectiva y limita el desarrollo del potencial de la comunidad, de la cual es mentor.

Así las cosas, los arquitectos, esos jefes de construcciones técnicas, deben ir en profundidad de sus propias limitaciones, para que haciéndolas evidentes en cada una de sus actuaciones, puedan ser ocasión para descubrirse a sí mismos. Por tanto, avanzar en el reconocimiento de principios básicos de arquitectura, es recabar en la historia reciente de la humanidad que desafiante de la obra divina, es capaz de vivir la humildad de su propio conocimiento.

Finalmente y sabiendo que todos somos responsables para lograr la “maestría del constructor”, es necesario reconocernos finitos y limitados, para encontrar el camino que nos lleva la “veritas”, esa promesa divina y búsqueda humana, que se esconde en cada uno de nuestros pensamientos, en cada disciplina científica, en cada esfuerzo humano y técnico que hace de cada día, la experiencia más exigente y desafiante que podemos experimentar: vivir en plenitud y sin límites.

Reflexiones para los arquitectos de seguridad de la información

En este sentido, un arquitecto de seguridad de la información y todo su conocimiento deberá servir de “tapete” para que sea mancillado y puesto a prueba por las “huestes” de la inseguridad de la información y así, aprender de cada paso de sus maestros, la exigencia del reto de encontrar sentido y valor para ver más allá de lo evidente y escribir “derecho” con las letras “torcidas”.

Todo aquel que en seguridad de la información acepte el reto de ser un arquitecto, deberá soltar la vista de la infraestructura tecnológica y sumergirse en el mar de las relaciones de los negocios, no para saber cómo alcanzar mayor reconocimiento corporativo, sino para descubrir en las esencia misma de cada estrategia corporativa, cómo apalancar la diferencia desequilibrante, en un mercado altamente competitivo y dinámico.

Los arquitectos de seguridad de la información deben encontrar en su organización, el mejor laboratorio conceptual y arquitectónico para poner a prueba su entendimiento de los negocios y las promesas de valor basadas en la confianza corporativa, con el fin de esbozar con mayores detalles las estructuras más adecuadas para anticiparse a los ataques propios de la inseguridad de la información replegada en la articulación de la tecnología, las personas y los procesos.

En consecuencia, avanzar en una vista empresarial de la arquitectura de seguridad de la información, es reconocer en las capacidades del negocio, fuerzas y mecanismos anticipatorios, que permitan proteger los flujos de información que alimentan la estrategia. Es buscar en la sabiduría de los incidentes de seguridad, el conocimiento requerido para blindar las respuestas de la organización frente a sus amenazas. Es comprender las expectativas de los interesados, como retos y sugerencias de transformación que hacen de las estrategias de seguridad de la información, un insumo real y evidente de cómo se logran las metas empresariales.

Cuando el gerente, director o ejecutivo de seguridad de la información, reconoce en la arquitectura empresarial, cómo se hace parte de la dinámica de la corporación misma, revela los disparadores escondidos del programa de seguridad de la información, amplía la visión del modelo de negocios y es consciente del impacto de sus decisiones frente a la protección de la información.

Si bien existen múltiples formas de aproximarse al diseño de una arquitectura de seguridad, cualquiera que se escoja deberá tener en cuenta al menos cuatro elementos fundamentales: la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos. Estos cuatro elementos, visto de manera sistémica, revelan las necesidades propias de una organización frente al reto de hacer de la información un activo valioso y de su protección, una práctica sistemática inmersa en cada elemento de ella.

Por tanto, los arquitectos de seguridad de la información deberán compartir y alinear la agenda interna de la alta gerencia, con la agenda interna del área de seguridad de la información, no para estar enterados de los retos y ajustes empresarial, sino para afinar y ajustar sus acciones frente a las amenazas empresariales del entorno y, cómo desde el entendimiento de los riesgos de la información, generar escenarios predictivos y preventivos que custodien la forma como la empresa genera valor para sus accionistas y empleados.

Para dar cumplimiento a esta promesa del arquitecto de seguridad, se deben considerar algunas declaraciones de diseño que no pueden ser negociables y menos hoy en un ambiente móvil, de sobrecarga de información y de servicios extendidos.

Las declaraciones sugeridas son:

• La inseguridad de la información en una propiedad inherente de un sistema, por tanto es deber de la arquitectura descubrirla y entenderla.

• La arquitectura de seguridad de la información deberá ser flexible y adaptable como la inseguridad de la información (Resilente).

• El arquitecto debe entender que la seguridad es una propiedad emergente de un sistema y por tanto, deberá generar la variedad requerida para enfrentar sus amenazas internas y del entorno.

• Cualquier diseño que se proponga para enfrentar la inseguridad de la información deberá privilegiar la autoregulación, la autoadaptación y el aprendizaje, como apalancadores de valor para la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos.

Si bien no será fácil materializar esta disciplina arquitectónica en los diseños actuales de seguridad de la información, será un reto tratar de hacerlos realidad en las nuevas iniciativas, que den paso a un entendimiento de la seguridad, más allá de un ejercicio de protección de información y aseguramiento del cumplimiento normativo, por otro donde los fundamentos de la seguridad sean parte de la construcción de modelos de negocio confiables y productivos y la información sea el eje fundamental de nuestra relación con los accionistas y grupos de interés.

Referencias

• WEIL, ROSS y ROBERTSON (2006) Enterprise Architecture as Strategy. Harvard Business School Press.

• KOVACICH, G. y HALIZBOZEK, E. (2006) Security metrics management. Butterworth Heinemann.

• SCHOU, C. y SHOEMAKER, D. (2007) Information assurance for the enterprise. A roadmap to information security. McGraw Hill.

• COHEN, F. (2005) Security Governance: Business Operations, Security Governance, Risk Management and Enterprise Security Architecture. ASP Press.

• CARALLI, R. (2004) Managing for enterprise security. Technical Note. CMU/SEI-2004-TN-046. Carnegie Mellon University.

Cultura de ciberseguridad: Un estandar de comportamiento colectivo

La era de la información, como es frecuentemente llamada nuestra sociedad actual no es otra cosa que la consecuencia natural del ser humano por conocer y descubrir su propia realidad y dejar evidencia y registro de sus observaciones, bien como forma de operacionalizar y ordenar lo observado y experimentado, o como testimonio de una visita sincrónica o asincrónica de un legado reciente que captura un momento en el tiempo.

Así las cosas los datos privados, la propiedad intelectual, la infraestructura y aún las fuerzas militares y la seguridad nacional pueden ser comprometidas por ataques deliberados, inadvertidas fallas de seguridad y vulnerabilidades inherentes de internet y sus diferentes componentes y relaciones. En este sentido, los gobiernos han venido revisando sus agendas para comprender estos nuevos fenómenos, que definitivamente alteran la gobernabilidad de las naciones y ponen en tela de juicio a las instituciones frente a sus ciudadanos.

Enfrentar esta realidad exige el conocimiento de los cambios en los hábitos y estilos de vida de los nuevos habitantes de la red, seres necesitados de interacción permanente, servicios novedosos e interacción móvil, para fortalecer el empoderamiento que la tecnología y sus componentes les brindan, y hacer de su espacio vital, una extensión misma de su vida natural, en un contexto virtual.

En consecuencia, una falta de atención a las amenazas de seguridad en un ambiente abierto e interconectado, crea un vector de ataque impredecible, que articulado con una “confianza inusual” de los jóvenes de ciudadanos digitales en los medios informáticos, establece un tejido oculto y desafiante que mimetiza a los atacantes, creando un ecosistema paralelo y dependiente donde los cautivos usuarios serán objeto de acciones indeseadas o en el peor de los casos, actos que atenten contra su integridad física.

Al tener un colectivo de visiones en un espacio prácticamente infinito como lo es internet, podemos tener grandes beneficios como alto niveles de transparencia y responsabilidad por lo que se hace o deja de hacer, pero de igual forma, una puerta para abandonar y evadir cualquier investigación que trate de llegar la verdad. Por tanto, construir una visión de ciberseguridad global o al menos local, exige la creación de un espacio de confianza psicológica y tecnológica, que motive en los participantes, la aplicación de prácticas que limiten las acciones de los terceros no autorizados.

En la búsqueda de esta condición de apertura e intimidad con los artefactos tecnológicos, se precisa mantener un balance que comprenda las expectativas de los individuos en su interacción a través de internet y las responsabilidades de las autoridades gubernamentales en esta interacción. Luego, no es posible cargar un solo lado de la balanza, pues de hacerse, los intrusos sabrán que habrá oportunidad para continuar cuestionando las iniciativas de los gobiernos y provocando a los ciudadanos, haciendo que éstos, ante su desesperación, actúen de manera errática y desordenada.

Para que esta cirugía de precisión se materialice, se hace necesario cambiar la vista de seguridad, por la vista de riesgos. Es decir, la seguridad es una propiedad emergente que se presenta fruto del diseño de la interacción de elementos como la tecnología, las personas y los procesos, mientras los riesgos son una propiedad inherente a los objetos que representan aquellas amenazas y condiciones que pueden atentar contra este (bien de manera positiva o negativa), razón por los cual deben identificarse y tratarse conforme se requiera.

Cuando encontramos en la vista de riesgos, una forma de repensar la tradición natural de la seguridad, como barreras y limitaciones que limitan un acceso, creamos una cultura creativa alrededor de la amenazas, que comprendiendo la dinámica de las relaciones, es capaz de sorprender a la atacante en su propio terreno y hacer de la condición inusual, una postura proactiva para enfrentar la condición insegura.

Hablar entonces de una postura de ciberseguridad en el contexto de los ciudadanos de la sociedad de la información y el conocimiento, es construir un estándar de comportamiento colectivo y protocolos de anticipación, reacción y contención, que encuentren en la amenazas informática del entorno, una forma de recomponer su posición frente al acceso a la información y sus servicios asociados, no como una limitación a su empoderamiento natural en la red, sino como una forma de darle sentido a sus derechos civiles y libertades individuales.

Cuando los individuos se hacen responsables de sus comunicaciones, de los contenidos de sus aportes en la red; cuando reconocen que existen formas alternas de acceder a la información y, que mientras mayor sea la exposición de sus datos en la red, mayor será la sombra digital que se puede ver; estamos asistiendo a la conformación de una conciencia de seguridad de la información colectiva, que reconoce y destruye la complejidad de la red y sus posibilidades; un sistema de lecciones aprendidas que no busca otra cosa que “desaprender” cada día para dejar al descubierto el camuflaje de la inseguridad de la información.

Ciber seguridad y ciber defensa: Dos conceptos emergentes en la gobernabilidad de una nación

Introducción

Los eventos recientes sobre fuga de información, las noticias de atacantes informáticos doblegando protocolos y tecnologías de seguridad, las fallas de seguridad que se han presentado tanto en el sector público como en el sector privado, son argumentos suficientes para evidenciar que estamos en nuevo escenario de riesgos y amenazas, donde la información se convierte en un arma estratégica y táctica, que cuestiona la gobernabilidad de una organización o la de una nación.

En este contexto, los ejercicios de riesgos y controles propios de las empresas, para establecer y analizar los activos de información críticos, han dejado de ser "algo que hacen los de seguridad" para transformarse día con día en una disciplina que adopta la organización para hacer de su gestión de la información una ventaja clave y competitiva frente a su entorno de negocio. Por tanto, la figura opcional de la seguridad de la información, comienza a desvanecerse y a tomar una relevancia estratégica, ahora en un escenario donde la información, es la "moneda fundamental" para generar, proponer y desarrollar posiciones privilegiadas de personas, empresas y naciones.

Cuando elevamos esta reflexión a nivel de estados y países, encontramos múltiples vistas para comprender los riesgos y amenazas frente a la información y sus impactos, que generan confusión y desconfianza, generalmente aprovechadas por los escépticos, para reparar en comentarios poco constructivos, que tratan de limitar la importancia de estos temas. Sin embargo, los hechos y eventos que se han presentado, mantienen la atención de gobiernos sobre estos peligros, que aunque escondidos en el tejido de las noticias cotidianas, son actores claves de las relaciones internacionales y capacidad de reacción de un estado.

Reconociendo al enemigo digital : Ciber defensa

Una primera estrategia que adoptan los estados cuando reconocen "al nuevo enemigo" en el contexto de una sociedad de la información y el conocimiento, es reconocer que cuenta con infraestructura de información crítica, requerida para mantener la operación y gobernabilidad del nación. Siguiendo la directiva presidencial No.13010 firmada por el Presidente norteamericano Clinton en 1998, se definen ocho sectores críticos cuyos servicios son vitales para el funcionamiento de la nación, cuya incapacidad de operación o destrucción tendría un impacto directo en la defensa o en la seguridad económica de los Estados Unidos. Los ocho sectores son: energía eléctrica, producción, almacenamiento y suministro de gas y petróleo, telecomunicaciones, bancos y finanzas, suministro de agua, transporte, servicios de emergencia y operaciones gubernamentales (mínimas requeridas para atender al público).

Así las cosas, un ataque masivo y coordinado a alguno o varios de estos sectores establece una condición importante y crítica para una nación, pues se pone en juego la estabilidad de la misma y la confianza de la ciudadanía en su gobierno para enfrentarse a estas amenazas. En este sentido, el concepto de guerra tradicional, se transforma para darle paso a una nueva función del estado que es la defensa de su soberanía en el espacio digital y la protección de los derechos de sus ciberciudadanos frente las amenazas emergentes en el escenario de una vida más digital y gobernada por la información.

En consecuencia, se acuña el término de ciber defensa como esa nueva connotación sistémica y sistemática que deben desarrollar los gobiernos para comprender ahora sus responsabilidades de Estado, en el contexto de un ciudadano y fronteras nacionales electrónicas o digitales. Un concepto estratégico de los gobiernos que requiere la comprensión de variables entre otras, la vulnerabilidades en la infraestructura crítica de una nación, las garantías y derechos de los ciudadanos en el mundo online, la renovación de la administración de justicia en el entorno digital y le evolución de la inseguridad de la información en el contexto tecnológico y operacional.

Considerando lo anterior, las reflexiones y decisiones sobre la seguridad nacional, tienen una renovada connotación, para atender ahora un enemigo móvil, cambiante y evolucionado, que se mueve tanto en las infraestructuras críticas como fuera de ella, que sabe lo reactivo que son las empresas y gobiernos, y que aún pueda ser identificado en sus ataques, se hace poco creíble probar que existió.

La defensa nacional, como noción acuñada por las fuerza militares de un país, requiere ser analizado y repensado en el contexto del "nuevo rostro de la guerra", de una confrontación que enfrenta lo mejor de los entrenados en el arte de la inseguridad de la información, con lo mejor de los entrenados para controlar y mantener la paz de una nación. Por tanto, animar una revisión de las estrategias de seguridad nacional en el contexto de posibles y factibles escenarios de confrontación tecnológica y de guerra de la información, prepara a los estados para defender su gobernabilidad y asegurar su resiliencia frente a condiciones de falla parcial o total.

A la fechas muchos estados (generalmente de países desarrollados) han tomado acciones concretas frente al reto de la ciberdefensa, encontrando en sus ciudadanos los primeros y más importantes aliados en sus estrategias de protección de la nación en el contexto digital. Dichos estados comprenden que es, desde el ciudadano y su experiencia en el uso de las tecnologías de información y comunicaciones, donde puede fortalecer el perímetro extendido de seguridad nacional digital, aunque sabiendo que es poroso y poco confiable, sabe que allí encuentra su mejor carta para hacer realidad su visión de defensa de la nación en un mundo interconectado.

Detallando las prácticas de aseguramiento: ciber seguridad

Para darle vida a esta visión de la defensa nacional digital, se requieren elementos específicos que materialicen ese querer en acciones detalladas, que aplicadas en las tecnologías de información e interiorizadas en los hábitos de los ciudadanos, puedan hacer evidente esa nueva propiedad emergente denominada seguridad nacional digital, esa que genera confianza, respeto y confiabilidad en las iniciativas del gobierno frente a la realidad de la creciente dinámica informática y de las telecomunicaciones.

Considerando lo anterior, se hace evidente que los gobiernos, no puede hacer realidad su nueva visión de la defensa, sin una estrategia concreta de prácticas de seguridad de la información, como base fundamental de su visión de seguridad nacional, donde cada uno de los individuos reconozcan en la información, ese activo fundamental que articula todas las infraestructuras críticas de la nación y que hace realidad el sueño de la una sociedad “informada”.

Así las cosas, el concepto de ciber seguridad, como realidad complementaria de la ciberdefensa, materializa el concepto de defensa nacional digital, en un conjunto de variables claves acertadamente definidas por la ITU – International Telecommunication Union, en las cuales se hacen necesarias el desarrollo de prácticas primordiales para darle sentido y real dimensión a la seguridad de una nación en el contexto de una realidad digital y de información instantánea.

La ITU, entendiendo que la problemática de la ciberseguridad requiere un esfuerzo colectivo y coordinado entre los diferentes países, establece cinco elementos fundamentales para desarrollar una estrategia de ciberseguridad acorde con la realidad de cada una de las naciones: desarrollo de un marco legal para la acción, desarrollo y aplicación de medidas técnicas y procedimentales, diseño y aplicación de estructuras organizacionales requeridas, desarrollo y aplicación de una cultura de ciberseguridad y la cooperación internacional.

Se vemos cada una de las variables establecidas por la ITU, no buscan otra cosa que comprender los riesgos propios de una sociedad de la información digital y en constante movimiento, que considere los aspectos normativos, las tecnologías de seguridad de la información, la organización de la seguridad de la información necesaria para operar, la cultura de seguridad de la información y la cooperación entre países, como fuente de la armonización de visión de la ciber seguridad en el planeta.

Reflexiones finales

En razón con lo anterior, cuando hablamos de ciber seguridad, necesariamente debemos considerar las acciones básicas que desarrolla una nación para proteger de manera coherente, sistemática y sistémica los activos de información crítica, distribuidos en toda su infraestructura y cómo ellos impactan la operación del estado.

De la mano con los conceptos de ciber defensa y ciber seguridad, se han venido desarrollando reflexiones académicas y de la industria relacionadas con ciberterrorismo y cibercrimen, dos amenazas emergentes en una sociedad digital, las cuales han comenzado a inquietar a los ciudadanos, quienes hoy por hoy se sienten expuestos frente a la materialización de las mismas y sus efectos reales sobre la confianza en el estado y sus instituciones.

Si bien la ciberdefensa como la ciberseguridad, son temas de estudio e investigación actual tanto en la industria, la academia y el gobierno, es claro que requieren atención inmediata con acciones definidas que permitan comunicar a los potenciales agresores, que estamos preparados para enfrentar el reto de un ataque informático coordinado y hacer respetar nuestra soberanía nacional digital.

Referencias

ITU (2010) Global cybersecurity agenda. Disponible en: http://www.itu.int/osg/csd/cybersecurity/gca/new-gca-brochure.pdf

US CONGRESS (1998) PRESIDENTIAL DECISION DIRECTIVE/NSC-63. Disponible en: http://www.fas.org/irp/offdocs/pdd/pdd-63.htm

CANO, J. (2008) Cibercrimen y ciberterrorismo. Dos amenazas emergentes. ISACA Information Control and Audit Journal. Vol 6. Disponible en: http://www.isaca.org/Journal/Past-Issues/2008/Volume-6/Pages/JOnline-Cibercrimen-y-Ciberterrorismo-Dos-Amenazas-Emergentes.aspx

CANO, J. (2008) La guerra fría electrónica y la inseguridad de la información. Publicación en Blog. Disponible en: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012245&random=4197

McAFEE (2009) Virtual Criminology Report 2009. Virtually Here: The age of cyber warfare. Disponible en: http://www.mcafee.com/us/resources/reports/rp-virtual-criminology-report-2009.pdf

Predicciones en Seguridad de la Información 2011

Cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y asimétrico, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

Considerando lo anterior y con la alta probabilidad de andar por caminos insospechados, trataremos de hacer una visión propositiva sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales reportadas hasta el momento y que prometen seguir o variar en el 2011.

A continuación cinco predicciones de lo que puede pasar durante 2011 en temas de inseguridad de la información.

1. Bienvenida la era Post PC

Comenta el analista de Forrester Research, Andrew Jacquit, que cada vez más estamos pasando de la era del computador de escritorio a una computación móvil, ágil y sin fronteras. Definir la era Post PC es considerar dispositivos inteligentes pequeños, con sistemas operativos propios, con aplicaciones prácticas para tener acceso a la información en tiempo real y una lucha entre los diferentes proveedores de dispositivos móviles, que siempre buscan una mejor experiencia para el usuario, aún a costa de la seguridad de la información que se encuentra almacenada en el dispositivo o transita en medio de las redes a las cuales tiene acceso. En este contexto, de acuerdo con diferentes informes de seguridad se verá un incremento de la inseguridad en los dispositivos móviles, como un reflejo del impulso de las transacciones por este medio y el privilegiar una interacción en línea, virtual y sin intermediarios.

2. Repensando los modelos de confianza: Identidad centrada en los datos

El interés creciente en los retos de la nube y el acceso a la información disponible, así como el desafío de alcanzar una trazabilidad más certera y verificable sobre la información y sus transacciones asociadas, será un requerimiento cada vez más evidente. La necesidad de atender con claridad los requisitos de cumplimiento, obligará a las organizaciones a repensar sus modelos de confianza, ahora basados en el control de acceso efectivo y real sobre sus datos, lo que hará que las organizaciones reaccionen y comiencen a buscar formas integrales para darle mayor confianza a los ejecutivos sobre quién ingresa a sus locaciones físicas, qué se hace sobre sus sistemas de información y quién hace uso de los beneficios de la empresa. Para lograr este nuevo salto, las corporaciones deberán pasar por no tener una clara perspectiva de quién hace qué y ni cómo, momento donde los atacantes, conocedores de esta realidad, pondrán a prueba la forma como se reconstruyen las transacciones y retarán los mejores equipos de atención de incidentes e investigadores forenses en informática.

3. La ciberseguridad como estrategia gubernamental

Los recientes hechos internacionales donde se pone a prueba la respuesta técnica, diplomática y administrativa de las naciones, frente a ataques informáticos que afectan organizaciones y revelan información restringida de éstas, así como, la exposición de secretos industriales y ataques contra la propiedad intelectual de los países y sus nacionales, son eventos que no han pasado inadvertidos por los estados, razón por la cual se vienen tomando medidas que permitan una acción más controlada y confiable frente a estos retos que muestra cada vez más el mundo interconectado. Todo esto necesariamente conlleva a una renovación de las tácticas y acciones de la seguridad nacional, que ahora concibe un estado extendido en las redes informáticas y unos ciudadanos digitales y móviles, que requiere atención por parte del estado y la generación de una paz digital frecuentemente amenazada por actores que quieren tomar ventaja o inclinar la balanza para su conveniencia. Así las cosas, 2011 será un año de revisión y consolidación de la ciberseguridad como parte de la gobernabilidad de una nación.

4. Explosión de la información: una realidad innegable

En un mundo donde la información se ha convertido en la moneda para tener acceso a múltiples escenarios y posibilidades, se advierte un riesgo inminente como es el de la pérdida de la privacidad. Mientras más se intercambia, registra y comparte información mayor es la huella digital que dejamos en la red, donde algunos inescrupulosos hacen mal uso de la misma. Tener huella digital en internet no es malo en sí mismo, es una forma de advertir una presencia en la red, que muestra tu grado de interacción y visibilidad que es posible alcanzar con un adecuado uso de los recursos disponibles. Sin embargo, desafiar el poder multiplicador y propagador de internet y sus sistemas conexos, cuando de compartir información se trata, sin medir las consecuencias de este acto, es despertar la furia del “Poseidon Informático” que se esconde en el mar de registros disponibles en internet, con lo cual tu vida, tus acciones y obras, serán objeto de revisiones, interpretaciones y actualizaciones algunas autorizadas y otras no, que dejarán entredicho si lo que haces corresponde o no con la realidad. Durante el año siguiente, las olas de información y los servicios implementados agitarán el mar de internet para generar nuevas mareas de pérdidas de privacidad y desequilibrios en el manejo y clasificación de la información.

5. De los logs a la ciberinteligencia

Si bien la información ha tenido una connotación importante para las organizaciones en más de una década, la pregunta es ¿qué están haciendo con ella? Para algunos la respuesta está en los modelos y avances en la generación de valor para los negocios con estrategias desequilibrantes y para otros, una manera de mantener los registros de las actividades de las empresas. Algunos investigadores hablan de inteligencia de negocios, como esa manera de explorar en los datos patrones y tendencias que te permitan ver comportamientos y acciones para responder de manera temprana a los mercados y otros, ven en los registros de información modelos históricos de eventos que hablan del pasado y de las lecciones aprendidas en el campo de batalla.

Así las cosas, el encontrar en la información una manera de anticiparse a los riesgos, una estrategia de validar y revisar tendencias, un forma de evidenciar las huellas del pasado y la generación de escenarios para predecir el futuro, es abrir la puerta a una nueva disciplina, que heredera de las tradicionales técnicas de inteligencia, es capaz de navegar en las aguas inestables de internet, para recabar propuestas innovadoras y anticipatorias que permitan estar un paso delante de los eventos, mostrar caminos alternativos para enfrentar a los mismos ciberdelicuentes y mantener una posición vigilante y privilegiada frente a los retos de los atacantes. Aunque este nuevo ejercicio de seguridad nacional e informática, aún está en sus inicios es bueno mantener la humildad y la distancia, pues sabemos que la inseguridad cuando menos lo esperemos nuevamente podrá sorprendernos.

Reflexiones finales

La seguridad de la información es un proceso exigente y dinámico que requiere la habilidad de sus responsables para mantener en movimiento su ojo crítico frente la dinámica de la inseguridad, no sólo para crear la sensación de confiabilidad requerida por los usuarios de las tecnologías, sino para que vinculando, a estos últimos en la conquista de la asimetría de la inseguridad, se construya de manera conjunta una distinción concreta y evidente de un ambiente controlado y confiable, mas no seguro.

Sólo nos queda observar el desarrollo del 2011, para ver cómo la inseguridad de la información nos sorprende y nos hace meditar nuevamente y así, pensar de manera distinta para abrirle la puerta a las posibilidades, esas que no son otra cosa que el insumo de la inevitabilidad de la falla, contexto que debe alimentar permanentemente el instinto y la mente del responsable de la seguridad de la información.

Referencias

PRICEWATERHOUSECOOPERS (2010) Revolution or Evolution? Information Security 2020. Disponible en: http://www.pwc.co.uk/eng/publications/revolution_or_evolution_information_security_2020.html (Consultado: 14-12-2010)

DELOITTE & TOUCHE (2010) Cybercrime: A clear and present danger. Disponible en: http://www.deloitte.com/assets/Dcom-UnitedStates/Local%20Assets/Documents/AERS/us_aers_Deloitte%20Cyber%20Crime%20POV%20Jan252010.pdf (Consultado: 14-12-2010)

JACQUIT, A. (2010) Security in the Post-PC Era. Forrester Research. Revisión del autor en: http://blogs.forrester.com/andrew_jaquith/10-10-15-whats_next_for_it_security_post_pc_devices (Consultado: 14-12-2010)

CANO, J. (2010) Fuga de la información. Revelando la inseguridad de la información en el factor humano. Disponible en: http://insecurityit.blogspot.com/ (Consultado: 14-12-2010)

KARK, K. (2010) The new threat landscape: Proceed with caution. Forrester Research. Disponible en: http://www.federalnewsradio.com/docs/The_New_Threat_Landscape.pdf (Consultado: 14-12-2010)

Fuga de la información: Revelando la inseguridad de la información en el factor humano

Revisando la etimología de la palabra fuga, encontramos que viene de la palabra fugare (en latín espantar, hacer huir), deriva de fugere (huir), por esta razón en latín fuga significa las dos cosas: persecución y huída. (Tomado de: http://etimologias.dechile.net/?fugar)

Considerando el origen de la palabra en español y su origen latino, la fuga es un acto en el cual se da una huída y a la vez una persecución. Podría decirse que no existe la huída sin una persecución. Necesariamente el acto de huir, exige una causa que anima a una de las partes a desaparecer del escenario y tratar de evitar ser visto o identificado para hacer más exigente la persecución por la otra parte interesada.

Con los recientes acontecimientos relacionados con la fuga de información (en inglés infomation leakage) se revelan muchos de los secretos mejor guardados de las naciones y la agenda paralela que se mantienen entre los gobiernos para mantener los lazos diplomáticos y acuerdos estratégicos. Si revisamos con cuidado, lo que ha ocurrido, podemos tener diferentes lecturas y motivaciones para calificar los hechos, bien como la mayor brecha de seguridad que se haya realizado o un acto de real libertad de información.

En cualquiera de los dos casos tenemos una fuga de información, que necesariamente genera una persecución, bien por haber expuesto información clasificada como secreta o altamente secreta, o bien por publicar y mancillar la privacidad natural y propia de tanto de las personas naturales como jurídicas. En este contexto, todos tenemos cosas que sabemos son restringidas y propias de nuestra intimidad, que estamos dispuestos a preservar de la mirada de otros, no porque sean ilegales o prohibidas, sino porque hacen parte de nuestra realidad y personalidad muy propia. Por tanto, todas las acciones que emprendamos para defendernos ante esta situación estará justificada frente a la magnitud de los hechos, sabiendo que las consecuencias de estas acciones tendrán efectos a corto, mediano y largo plazo e impactos en la reputación y buen nombre de los involucrados.

Si nos remontamos a otras épocas (la famosa guerra fría) donde la inteligencia y el espionaje era la norma natural a través de la cual las naciones generaban su posición Info-estratégica, encontramos que todas las personas involucradas en estas actividades reconocían en la información una de las formas a través de la cual era posible anticiparse o tener una perspectiva ventajosa frente a situaciones inesperadas en el corto o mediano plazo. Estos ejercicios realizados en el contexto de la seguridad nacional daban mayores márgenes de maniobra o negociación ante situaciones críticas, mientras que en el escenario de la industria privada fue la manera de anticiparse a la crisis de los mercados, reconociendo el valor de los ejercicios prospectivos y de inteligencia competitiva como apalancadores de la visión y la administración de los riesgos de los negocios.

Cuando somos testigos de uno de los hechos más representativos de fuga de información de la última década, son múltiples las visiones y afirmaciones que se advierten, frente a un hecho que naturalmente ocurre, como bien dice una señora casada: “de las puertas hacia adentro, yo si sé como son las cosas”. Dicho de otra manera, de las puertas hacia adentro, cada nación, empresa y persona, tiene detalles de los asuntos y acciones que han emprendido para mejorar y tener una posición práctica y relevante frente a eventuales vulnerabilidades propias de sus procesos de negocio y su estatus frente a su competencia en el entorno.

Por mucho que las naciones, organizaciones y personas se esfuercen para evitar una fuga de información, se hace necesario contar con la esfera inabarcable de los seres humanos, que quieran o no, están expuestos constantemente a guardar o revelar secretos como parte natural de su relacionamiento con otros. Si el secreto que se guarda le implica sanciones o efectos negativos posteriores, la persona estará persuadida de no hacerlo, aunque muchos podemos ser lo suficientemente osados para desafiar lo que haya por venir. Así las cosas, nadie puede vivir sin relacionarse con otros, por tanto la revelación de la información propia de nuestras relaciones estará enmarcada en la confianza y protección que al menos dos puedan hacer de ella, siempre y cuando no exista la intimidación o presión que se pueda tener por ésta.

Con los avances tecnológicos y una alta interactividad de los usuarios finales a través de medios inalámbricos, la información fluye tan rápido como ella se produce. Es así que tenemos ahora ciudadanos digitales empoderados y exigentes, que demandan estar “informados”, para tener una posición al respecto y por qué no incidir en la toma de decisiones que implica la situación. En este contexto, al compartir cada vez más información a través de las redes, perdemos espacio en nuestra privacidad, ese principio fundamental propio de la esfera personalísima que nos define y realiza, más allá de nuestras acciones y labores diarias, pues allí está la esencia misma de nuestra personalidad y razón de ser.

En razón con lo anterior, cada vez más tenemos escenarios para materializar una fuga de información, más allá de un acceso físico a documentos, o generación de grabaciones analógicas o digitales de conversaciones, ahora en un mundo interconectado y con múltiples plagas informáticas, vulnerabilidades y fallas de seguridad, los cuales no avizoran un mejor escenario para las naciones, organizaciones y personas. En consecuencia, las acciones que se emprendan para mitigar la fuga, deberán articular los aspectos tecnológicos, jurídicos, procedimentales y culturales para establecer una red de estrategias, que reten las motivaciones propias de aquellos que “buscan revelar” lo que está oculto y generar los impactos que satisfagan sus “intenciones” primarias.

Establecer estrategias en este sentido, es reconocer al ser humano como el eslabón más débil de la cadena y el elemento táctico más efectivo para enfrentar al mismo hombre. Dicho de otra forma, nosotros somos la causa y el control de la fuga de la información, razón por la cual los teóricos y practicantes de la seguridad se encuentran en una encrucijada, para poder enfrentar con efectividad este riesgo. Cuando la protección de la información corporativa se hace como parte extensiva de la custodia misma de la información personal y sus impactos, se confronta el entendimiento colectivo de la cultura y se hace evidente que nuestros comportamientos deberán ser los esperados por la empresa, así como nosotros los esperamos con nuestros datos.

Es claro que, como reza la realidad de los hackers o “aquellos que van más allá del manual” (no hablo de aquellos que han usado lo que saben para afectar o dañar a otros), la información es la materia prima para hacer que las cosas avancen: un mundo informado es un mundo que tiene una posición crítica y acciones concretas frente a la situación, pero de igual forma hay registros que no deben estar a la luz pública, so pena de generar inestabilidades sociales o malos entendidos que no ayudan a la construcción de un mundo mejor y con oportunidades para todos.

Cualquiera sea su posición frente a los hechos revelados recientemente, es importante que se cuestione sobre “su derecho a estar informado”, al “derecho que tiene a cada persona a su privacidad”, a la revisión de los impactos propios de este tipo de hechos y sobre manera a la protección de su información, como elementos básicos para tomar una posición balanceada, firme y concreta frente a ese activo que representa o tiene un valor para alguien, quien generalmente conoce y sabe lo importante que es para esa persona u grupo de individuos: la información.

Finalmente y sabiendo que toda fuga lleva consigo una persecución, evalúe con cuidado de qué lado quiere estar: ser un “fugitivo o perseguido” con causa o sin causa, o ser el “fiscal acusador y perseguidor” que hará defender sus derechos bien por una causa o razón para salvaguardar una reputación, o por conveniencia, cuándo él mismo se encuentra involucrado. A final la decisión no admitirá puntos medios, sino la realidad propia de los intereses de las partes comprometidas.

Referencias

GORDON, P. Data leakage. Threats and mitigation (2007) GSEC Gold Certification. Disponible en: http://www.sans.org/reading_room/whitepapers/awareness/data-leakage-threats-mitigation_1931

BORTNIK, S. (2010) ¿Qué es la fuga de información? Parte II. Disponible en: http://blogs.eset-la.com/laboratorio/2010/04/22/%C2%BFque-es-la-fuga-de-informacion-parte-ii/. Blog - ESET.