Análisis forense digital en la nube: El reto de la inseguridad en un ecosistema tecnológico

Estamos asistiendo a una nueva década dominada por las redes sociales, la computación móvil y la computación en la nube. Esta nueva condición de la sociedad digital, ubica a la información como uno de los elementos más sensible y más apetecidos por todos los participantes de esta realidad interconectada. Nada más cierto que el empoderamiento evidente de jóvenes y niños, que exigen de las redes mayor velocidad, mayor conectividad y renovados contenidos. Así las cosas, la información en movimiento, como la vida misma, es un reto que demanda de los mejores analistas de seguridad de la información, propuestas innovadoras para comprender ahora que significa “estar seguros” en un ambiente de cambio permanente, altamente impredecible, inalámbrico y de operación 7x24x365.

Entender la realidad actual de servicios y conexiones “sin cables”, es actualizar la reflexión de los retos asociados con los elementos materiales probatorios informáticos, medianamente conocidos y asegurados en un contexto cableado. Si encontrar o identificar a posibles atacantes en infraestructuras de configuraciones y flujos de información conocidos, ha sido un reto evidente durante los últimos 10 años, sumergirse en el desafío forense a través de las redes sociales, en medios inalámbricos y administrados por un tercero en la nube, describe una nueva disciplina y nuevos campos de investigación que exigen repensar la informática forense o computación forense en nuevo nivel, con una vista más sistémica, para establecer elementos sistemáticos que permitan avanzar en nuevos procedimientos estandarizados.

En un primer momento, conociendo esta realidad actual, se tiene la tentación de aplicar los procedimientos conocidos y generalmente utilizados para abordar el reto forense a través del trinomio: red social, móviles y la nube, pues al estar cada uno de ellos articulados y fundados en plataformas tecnológicas, suena coherente desarrollar los aseguramientos de evidencia, siguiendo los protocolos establecidos asociados con datos volátiles y no volátiles. Adicionalmente, poder seguir los rastros en cada uno de estos mundos, no debería ser diferente de lo que actualmente se efectúa cuando de investigaciones informáticas se trata.

Pero la realidad del análisis y reto de las investigaciones forenses en este renovado contexto abierto, de flujo de información permanente y ubicua genera más incertidumbres que certezas, más preguntas que respuestas y más imprecisiones que claridades. Mientras la esencia misma de la computación forense es establecer hechos y datos propios de la realidad que se investiga, una revisión de los diferentes actores de este nuevo escenario, nos propone diferentes perspectivas que confrontan los fundamentos de los procedimientos generalmente aceptados para avanzar en el aseguramiento de evidencias en un proceso forense digital.

En esta primera revisión del tema forense en el contexto actual, trataremos de analizar cada uno de los participantes y aquellos elementos críticos que hacen exigente una validación forense digital en medios sociales, apalancados en tecnologías móviles y convenientemente ubicadas en la nube.

Iniciemos con el usuario, con las personas, que cada vez más se advierte una alta dependencia de las redes sociales y consumo de contenidos y servicios en la web. Con el paso del tiempo los hábitos de las personas, particularmente de los niños y los jóvenes han venido migrando de una necesidad natural de interacción cara a cara, a una mediada por la tecnología, con información instantánea y técnicamente de acceso ágil y prácticamente ilimitado. Esto si bien es una gran ventaja para mantenerse actualizado y en movimiento, estamos debilitando la natural exigencia de explorar y revelar nuevas preguntas que forjen los nuevos investigadores del futuro, con hambre de logro, más allá de un click que hable de lo que “hay disponible”. Pero esta es una reflexión que está fuera del alcance de este análisis.

Desde el punto de vista forense, el caminar por las redes sociales es descubrir un perfil de la persona, sus hábitos para compartir información, sus patrones de conexión, las aplicaciones extra que utiliza y los amigos con los cuales más comparte. De igual forma, es detallar sus habilidades para configurar su interacción, los cuidados para aceptar a nuevos amigos y las particularidades de su personalidad que se describen en cada uno de sus publicaciones.

Analizar a un individuo en una red social, es ir más allá de cuál de ellas utiliza, es entender la interacción que existe entre el navegador y el sitio mismo, sabiendo que éste último está en un ecosistema tecnológico, con dependencias identificadas, bien para los servicios ofrecidos para sus usuarios, como para la infraestructura que los soporta. Así las cosas, una vista de la problemática estará en la forma como los terceros que intervienen han sabido estructurar la interacción de sus aplicaciones para ofrecer lo prometido y otra, la forma como la tercera parte mantiene y asegura los servidores y equipos de cómputo sobre los cuales se ejecutan los programas.

Como quiera que entender estas interacciones demanda una comprensión de un ecosistema que se articula en una malla de relaciones técnicas y de información, incorporar a este escenario, los conceptos de movilidad definen una realidad ampliada, que no es posible comprender sólo desde los elementos naturales de las redes inalámbricas y sus servicios, pues éstas representan sólo un medio adicional que se suma a las interacciones del ecosistema tecnológico que tenemos en la actualidad.

Así las cosas, las investigaciones forenses que conjugan las redes sociales y dispositivos móviles, superan las consideraciones actuales que los investigadores puedan tener, para recabar la información requerida con la profundidad necesaria, y así entender, el cúmulo de relaciones y puntos de contacto que son necesarios para encontrar patrones y respuestas a preguntas que se pueden hacer en una operación sin cables y altamente social digital.

Conjugar estas dos tendencias exige de parte del investigador forense reconocer que su entrenamiento actual se queda corto para asistir a la justicia en la persecución de las nuevas y silenciosas tácticas que la delincuencia viene utilizando a través de las redes sociales y los medios inalámbricos. Mientras los “chicos malos” avanzan diariamente en la búsqueda de nuevas opciones y oportunidades para continuar con su imperio del engaño y defraudación, apoyado bien en nuestras malas prácticas, fallas tecnológicas o de las aplicaciones, poco hacemos nosotros el mismo ejercicio de manera sistemática y formal para asegurar lo requerido en las personas, procesos y tecnología.

No contentos con lo anterior, ahora sumamos a la ecuación, por cierto, desde el punto de vista económico y estratégico, claramente positiva y rentable, la realidad de una relación más dependiente y más flexible de articulación de servicios de infraestructura, plataforma y de aplicaciones, lo que se denomina en el mundo tecnológico computación en la nube.

La computación en la nube es el eslabón “que hacía falta” para contar con la facilidad de almacenamiento prácticamente infinito, disponibilidad permanente y movilidad sin restricciones. La nube se convierte en el nuevo paradigma que “hace transparente” la relación entre los usuarios y los proveedores, la promesa de valor de pagar por lo que se usa, de agilidad para contar con lo que se quiere y desplegar los servicios de acuerdo con el cambio de las tendencias del mercado.

Así las cosas, se completa el cuadro de la complejidad que debe atender el nuevo observador forense digital, que consiste en entender primero las relaciones entre el usuario y su red social, luego la red social y los medios inalámbricos y finalmente los servicios tercerizados y sus accesos desde los medios móviles así como las consideraciones de interacción de los usuarios.

Como podemos ver, adelantar una investigación forense en una realidad como la que hemos analizado no es una extensión de lo que conocemos hoy en forensia digital. Es elevar nuestra reflexión general del análisis de datos que soportan los informes técnicos, por un ejercicio de desdoblamiento de la complejidad entendiendo a los actores comprometidos y sus relaciones en una escena virtual que tiene sentido en un escenario real.

De acuerdo con lo anterior, dejamos planteados los elementos base de una revisión de la computación forense en un ecosistema tecnológico, que demanda una estrategia de análisis y entendimiento renovado para retar y confrontar los modelos conceptuales conocidos para adelantar investigaciones forenses en informática.

Referencias

RUAN, K. (2010) Cloud forensics: Challenges and opportunities. Centre for cybercrime investigation. University College Dublin. Disponible en: http://confluence.jetbrains.net/download/attachments/36015346/Cloud+Forensics+-+Challenges+and+Opportunities.pdf (Consultado: 17-07-2011)

WRIGHT, B. (2010) Digital forensics and social media. Disponible en: http://computer-forensics.sans.org/blog/2010/04/20/digital-social-media/ (Consultado: 17-07-2011)

TRIMINTZIOS, P., HALL, C., CLAYTON, R., ANDERSON, R. y OUZOUNIS, E. (2011) Resilience of the Internet Interconnection Ecosystem. Disponible en: http://www.enisa.europa.eu/act/res/other-areas/inter-x/report/interx-report (Consultado: 17-07-2011)

Amenazas Persistentes Avanzadas. La inseguridad de la información como fuente de inteligencia estratégica para los intrusos

Desarrollando el concepto de las Amenazas Persistentes Avanzadas - APAv

Considerando los impactos que puede tener una fuga de información a nivel corporativo y los constantes intentos de los intrusos por alcanzar las infraestructuras tecnológicas de las empresas, vía la práctica del engaño y manipulación de información disponible en internet, se hace evidente una tendencia o vector de ataque que busca como objetivo contar con un grado de control de la infraestructura atacada, actuando persistentemente para retener el acceso y las posibilidades que este brinda.

En este sentido, Richard Betjlich, detalla los elementos básicos del adversario que actúa siguiendo los elementos de una Amenazas Persistentes Avanzadas - APAv, con el fin de comprender mejor su motivaciones y movimientos que nos permitan, más adelante, establecer algunas contramedidas que permitan limitar el accionar de este tipo de amenazas, que buscan comprometer la esencia misma de la ventaja competitiva de las empresas, como lo es su información: (BEJTLICH, R. 2010)

Amenaza significa que el adversario no es una pieza de código sin sentido, al contrario, es una persona motivada, financiada y organizada, que busca un objetivo particular, para lo cual estará bien rodeada y asistida para lograr la misión designada.

Persistente significa que el adversario tiene una tarea que cumplir y que insistirá en ella hasta lograrla. En este sentido, persistente no significa necesariamente que buscará ejecutar un código malicioso en el computador víctima, sino mantener el nivel de interacción necesario para alcanzar sus objetivos.

Avanzada significa que el adversario puede operar un amplio espectro de posibles intrusiones informáticas, es decir, puede utilizar desde las más evidentes y publicitadas vulnerabilidades, o elevar el nivel del juego, para investigar o desarrollar nuevas debilidades o fallas dependiendo de las prácticas de seguridad y control de la empresa objetivo.

Como quiera que este tipo emergente de amenazas no es nuevo, en cuanto se basa en un componente eminentemente humano y asociado con comportamientos de las personas frente al tratamiento de la información, si representa una importante novedad, cuando se trata de operaciones digitales asistidas con propósitos de espionaje y desinformación, aplicados sobre objetivos gubernamentales, militares o privados.

Casos recientemente publicados y ampliamente difundidos dan cuenta que este tipo de amenazas han cobrado importantes organizaciones, poniendo en tela de juicio sus posturas frente a la seguridad de la información. A continuación se detallan algunos de ellos, como fuente de documentación y lecciones aprendidas: (SAVAGE, M. 2011)

• El ataque a la firma RSA inició con dos correos phishing con asunto: “2011 Recruitment Plan”, enviado a dos pequeños grupos de empleados. Un empleado dio click en una de las hojas electrónicas adjuntas en el correo, el cual contenía un exploit de día cero, lo cual abrió una brecha de seguridad dentro de la empresa, lo que permitió que los atacantes tuviesen acceso a los sistemas de información críticos de la empresa y paso a la información relacionada con los productos SecureID, del cual son líderes en la industria de seguridad informática.

• De otra parte tenemos el ataque del grupo “Anonymous” a la firma de seguridad HBGary Federal al inicio de este año. El ataque consistió en efectuar un engaño a un administrador de red, para que se diese acceso al sitio Rootkit.org, sitio web de investigaciones en seguridad informática mantenido por el fundador de la empresa Greg Hoglund, ocasionando desde allí un ingreso no autorizado a la empresa, ganando acceso a los sistemas interno de correo electrónico con datos sensibles y otra información crítica de la misma.

• Finalmente el ataque a Google efectuado el año anterior, donde los atacantes recolectaron información publicada por los empleados de la firma en redes sociales como facebook y linkedid. Luego, configuraron un sitio web con fotos falsas, desde donde enviaban correos electrónicos que contenían enlaces al parecer confiables, dado que venían aparentemente de personas de confianza. Una vez, la personas hacía click sobre el enlace del correo, se descargaba un código malicioso, que abrió una brecha de seguridad que dio acceso a los servidores corporativos de Google.

APAv - Lecciones aprendidas y algunas por aprender

El foco fundamental de una APAv es atacar a los usuarios y no a las máquinas. Es un movimiento psicológico y de comportamiento basado en la información misma de las víctimas, que genera una falsa sensación de seguridad que permite al atacante, tener acceso a la infraestructura interna de las organizaciones. En este sentido, se hace necesario establecer iniciativas de monitoreo de cruce de información, balancear la necesidad natural de los empleados por descargar información, permitir dispositivos móviles en las redes internas y el acceso a redes sociales; un mundo de intereses cruzados que enfrenta los derechos fundamentales de los individuos y la exposición a los riesgos propia de las empresas con presencia en internet.

¿Qué hemos aprendido de los múltiples casos de uso efectivo de las APAv? Hagamos una mirada crítica sobre tres elementos fundamentales:

1. Nuestra naturaleza orientada a confiar en los demás. Esta condición sana y generosa que al interior de las empresas se genera por un ambiente de camaradería y motivación al trabajo en equipo, se ve mancillada y desvirtuada, frente a las APAv, dado que la información expuesta de las personas de la empresa en internet, opera como estrategia de inteligencia que permite abrazar la confianza de una comunidad, que de manera inadvertida acepta y entiende, que de personas conocidas podemos aceptar mensajes o comunicaciones, generando graves brechas de seguridad que comprometen el buen nombre y los activos intangibles de la empresa.

2. Manejo de las expectativas de las personas. Esta situación propia de los seres humanos, que generalmente busca alcanzar y satisfacer de manera natural, se ve oscurecida, cuando un tercero es capaz de conocer o inferir este tipo de deseos o anhelos, en los cuales encuentra el mejor motivador y motor para capturar la atención de sus víctimas. En este sentido, información sobre ascensos, ingresos, nuevos beneficios o incluso retiros de personas de las empresas, se vuelve sensible y clave a la hora de lanzar estratégicamente engaños electrónicos, que hagan sentido con las esperanzas e intereses de las personas en las organizaciones.

3. El afán de compartir información: si no estás en las redes sociales, no existes. Estamos en un mundo donde la información fluyen todo el tiempo. Es nuestro deber, saber que debe circular y que no, que información voy a compartir y cuáles serán sus implicaciones de hacerlo. Debemos tomar mejores decisiones informadas sobre los riesgos derivados de ubicar información en los medios electrónicos, sabiendo que al hacerlo estamos minando nuestro propio derecho a la privacidad y control de la misma. Así, mientras más conscientes seamos de la información que tenemos y compartimos, mejores experiencias tendremos al interactuar en la red.

Todo esto nos lleva indefectiblemente a cuestionarnos sobre el contexto futuro y emergente que nos traen las nuevas tendencias tecnológicas y propuestas de servicios, que no hacen otra cosa que motivarnos a mantener información en otros dominios, compartir información con otras personas y movilizarnos todo el tiempo sin restricciones de cables o lugares. Por tanto, se requiere hacer un pare en el camino y comenzar a desaprender de nuestros comportamientos actuales y concretar algunas recomendaciones que nos permitan disfrutar de manera responsable este nuevo entorno abierto, móvil y dinámico que nos proponen los nuevos desarrollos.

En este contexto, detallamos a continuación algunas lecciones que tenemos por aprender frente a los avances de las APAv, que prometen seguirnos sorprendiendo ahora en un universo personalizado en la nube y con empoderamiento permanente de los usuarios frente al uso de las tecnologías de información y comunicaciones.

1. Insistir en el valor de la información como activo crítico empresarial. ¿Por qué no le duele a las personas la información de la empresa? ¿Por qué sólo hasta cuando algo ocurre nos interesamos en el tratamiento de la información? La respuesta es sencilla, no existe un vínculo formal que permita valorar la información, como las cosas propias que afectan la vida de cada individuo. La información es algo externo a su realidad, que sólo es considerada importante, cuando la misma te afecta como persona en cualquier contexto de la vida.

2. Clasificar la información como práctica natural del tratamiento de la información. Todos sabemos que manejamos información privada y pública. Nadie quiere que se conozca parte de su vida y obra, a menos que cada uno lo autorice formalmente. De igual forma debería funcionar con la información empresarial, toda ella representa la vida y obra de la firma, mucha de ella habla de cosas que sólo le pertenece a la empresa, mientras otra está diseñada para ser compartida con el entorno. Así, mientras este ejercicio intuitivo que hacemos de manera personal, no sea una práctica natural en el entorno corporativo, continuaremos escuchando historias que nunca se debieron contar.

3. Promover sistemas de inteligencia y monitoreo preventivo sobre el flujo de información empresarial. Esta consideración advierte a las organizaciones que deben avanzar en el desarrollo de nuevas capacidades de detección de patrones competitivos y de amenazas informáticas en el contexto de sus relaciones de negocio, para establecer acciones preventivas que permitan anticiparse a futuros ataques o amenazas. Esto significa, que la información no será solamente un activo crítico, sino la fuente misma de las acciones de la organización frente a los retos de seguridad de la información que le sugiera su entorno, teniendo la capacidad de cambiarlo si es necesario.

Reflexiones finales

Conocer y advertir este tipo de estrategias de inteligencia informática, exige de cada una de las organizaciones, afianzar sus esfuerzos de entrenamiento y prácticas asociadas con el tratamiento de la información, dado que cada vez más habrá “comandos especializados”, que adelanten operaciones focalizadas para tener información sensible que requiere un tercero, utilizando como puente a alguno de los empleados. Por tanto, mientras más conciencia se tenga del nivel de exposición que se tiene frente al manejo de la información, mejor será el “mínimo de paranoia administrable” que cada una de las personas debe desarrollar.

En consecuencia y sabiendo que la situación no habrá de mejorar en el corto plazo, desarrolle una función de contrainteligencia informática sustentada en la formación y desarrollo de “firewalls” humanos, que compartiendo información y advirtiendo situaciones fuera de lo establecido, pueda distinguir la asimetría de la inseguridad de la información, a través de patrones de comportamiento emergentes y divergentes.

Finalmente y sabiendo que el adversario será persistente en su misión para lograr el acceso no autorizado, debemos advertirle, que si bien no conocemos qué nuevo movimiento estará planeando, si estaremos vigilantes y perseverantes para hacerles la vida más difícil, aprendiendo de nuestra maestra la inseguridad de la información.

Referencias

BEJTLICH, R. (2010) Understanding the advanced persistent threat. Information Security Magazine. July. Disponible en: http://searchsecurity.techtarget.com/magazineContent/Understanding-the-advanced-persistent-threat (Consultado: 6-06-2011)

SAVAGE, M. (2011) Gaining awareness to prevent social engineering techniques attacks. Information Security Magazine. May. Disponible en: http://searchsecurity.techtarget.com/magazineContent/Gaining-awareness-to-prevent-social-engineering-techniques-attacks (Consultado: 6-06-2011)

Pensar como el atacante: Mente y corazón de la inseguridad de la información

Comenta recientemente un informe publicado en sitio web Darkreading.com: “In the world of cybercrime, bad guys work together. They share information; they build attacks together” cuya traducción podría ser: “En el mundo del cibercrimen, los chicos malos trabajan de manera conjunta. Ellos comparten información; construyen ataques juntos”.

En este contexto, podemos advertir que los atacantes entienden mejor la estrategia de continuar aprendiendo en conjunto, si bien, no con las motivaciones más loables del mundo, si con la consigna de lograr “mover” la línea de lo conocido y enfrentarse a desafíos más interesantes y fuera de lo común. Cuando los “chicos malos” establecen formas de confrontar la incertidumbre o la exigencia de la complejidad de una tecnología o método de protección, estamos asistiendo a una manera renovada de “ver donde otros no ven” y a una estrategia de aprendizaje encarnada en una forma diferente de ver el mundo y reconocer patrones fuera del statu quo.

Revisar esta frase, es revisar nuestros propios patrones de comportamiento y asociación frente al desafío de la inseguridad de la información. Mientras muchos analistas insisten en el paradigma de la seguridad de la información, buscando victorias efímeras y llenas de aplausos, aquellos que siguen el rumbo de la información asimétrica, de las notas al margen de los manuales y reportes, entienden que sólo en el reconocimiento de nuestras propias debilidades, se encuentra la fuerza misma para continuar afianzando nuestra posición frente a la inevitabilidad de la falla.

Pensar como un “atacante” ha sido la consigna que muchas publicaciones y analistas ha sugerido para seguirle la pista a los “chicos malos”. Pero una cosa es sugerirlo y otra volverlo una práctica. Podríamos hacer muchas reflexiones y cuestionamientos éticos sobre invitar a las personas a pensar como “el malvado”, pero se hace necesario transitar en la mente, algunas veces inestables, de estos, para descubrir la lectura paralela que debemos hacer de la realidad, romper la inercia de nuestros modelos mentales y comprender una “realidad” que se escapa a la nuestra.

Pensar como el “enemigo”, no es algo novedoso o restringido para un grupo de personas o especialistas en algunos temas, es una forma de navegar en la mente inquieta de una persona que razona sin restricciones propias de nuestro entender, para revelar patrones de acción que están presente en nuestro contexto, pero que “nuestros lentes” no nos permiten ver. Bien anota, Drucker (2002), cuando menciona que la innovación responde a fuentes básicas, donde se encuentran entre ellas, las incongruencias y las ocurrencias inesperadas.

Ejercitarse en el razonamiento de los atacantes informáticos, es encontrarse con la forma como entienden la tecnología, las motivaciones para su explotación y las condiciones en las cuales ellos se hacen uno con ella. Dentro de las múltiples formas de alcanzar la mente de un “chico malo”, está la revelación y gusto por la incertidumbre. Mientras un analista de seguridad, claramente bien fundado en las modelos generalmente aceptados, puede limitar la incertidumbre en su actuar, para ser prudente y estar alineado con las normas internas y externas; un atacantes busca expandir el nivel de incertidumbre para crear con nuevas posibilidades, que bien sabe su contraparte no podrá ver por estar atendiendo restricciones propias de su rol.

Para lograr pasar de la sugerencia de pensar como los atacantes y hacerlo una práctica evidente en las organizaciones, se requiere un escenario experimental que cuente con recursos propios y alcances determinados, donde se pueda abrir la mente a renovadas fuentes de ideas, sin que se exijan resultados inmediatos o esperados. Un sitio como estos, deberá está fundado en un real compromiso de aprendizaje de la organización, que declarando que no sabe y quiere aprender, es capaz de asumir el costo que exige lanzarse a tener una “incubadora de innovación para la inseguridad de la información”, que no sabe qué efectos tendrá, pero que será un observatorio privilegiado del negocio, para divisar, al menos en un contexto conocido, cuáles pueden ser los patrones que se pueden advertir frente a los riesgos en sus flujos de información.

Pensar como el “atacante”, es una estrategia arriesgada, en la que no podemos dimensionar el retorno de la inversión de la forma como lo espera la lógica conocida, sino que puede hacerlo en cualquier momento y de manera inusual. De igual forma, es una estrategia que con supervisión inadecuada puede romper los límites de su diseño y ser víctima de sus propios deseos, una tentación natural cuando nos acercamos a la esencia misma de nuestra naturaleza caída.

Si la inseguridad de la información reconoce en la sabiduría del error, de la sorpresa, de lo inesperado, la fuente misma de conocimiento y renovación de su propia esencia; el pensar como el atacante nos confirma en nuestra pasión por desaprender, por dejarnos sorprender y encontrar con las contradicciones entre la tecnología, los procesos y las personas; nuevas excusas para revisar y analizar aquellas relaciones que hacen de nuestra realidad, un mundo más asincrónico, asimétrico y orquestado por un caos aparente, donde la vulnerabilidad o la falla escribe derecho con letras torcidas.

Experimentar y practicar “pensar como el atacante” debe ser más que una filosofía o un buen deseo; debe ser una necesidad y una forma de cuestionar nuestros modelos de protección, que nos permita retar los marcos metodológicos actuales, para fundar una cátedra paralela y exigente que apalanque las estrategias de generación de valor de la empresa, no como un agregado de la misma, sino como factor crítico de éxito y movilizador de nuevos negocios.

En este punto de la reflexión, muchos estarán pensando “¿no será muy arriesgado aplicar esta estrategia?”, “¿será que esto realmente se puede dar en una empresa?” o cuestionamientos semejantes, que hacen evidente nuestro sistemas de alertas propios de la sana prudencia y el analista de seguridad que todos llevamos dentro. No obstante lo anterior, este tipo de iniciativas responden a un nivel de madurez de la función de seguridad de la información y al posicionamiento de la misma en las organizaciones, pues los márgenes de utilidad que se puedan alcanzar con esta iniciativa, no se podrán evidenciar en el corto plazo, sino en el mediano y largo plazo, dadas las condiciones en las cuales se manifiesta la “innovación propia” de la inseguridad.

Dicen algunas personas que “no es bueno siempre tener la razón”, pues nos perdemos la oportunidad de ver otros puntos de vista y dejamos “líneas ocultas” en nuestras reflexiones. En este sentido, pensar como el atacante, es buscar siempre buenas razones para revisar las “consideraciones de otros”, encontrar las limitaciones de los argumentos y aprender a ver lo que subyace entre las líneas de código, los comportamientos humanos y diseños de los procesos. Un atacante no va sugerirte un forma de actuar, va a actuar para retarte a pensar, es decir, más allá de las motivaciones contrarias que este pueda tener, pondrá en la mesa de juego sus mejores habilidades para jugar con la incertidumbre y hacerte parte de su ecuación de análisis.

No hemos querido con este documento hacer una apología o defensa de los atacantes informáticos, sino asomarnos de manera silenciosa y prudente a su mente diferente y activa para comprender algunos de sus patrones y referentes, que puedan ser de utilidad para los responsables de la seguridad de la información, no como simples espectadores de sus acciones, sino como una forma de abrir la mente y el corazón, para que como se describe en las Sagradas Escrituras, podamos afirmar “por sus obras los conoceréis”.

Referencias

DRUCKER, P. (2002) The discipline of Innovation. The innovative enterprise. Harvard Business Review. August. Disponible en: http://www.engr.pitt.edu/mac/images-t/articles%20and%20docs/DisciplineofInnovation.pdf (Consultado: 6-12-2010)

Las nuevas posibilidades para el cibercrimen: el desafío de un ecosistema tecnológico

Los gerentes de seguridad de la información deben reconocer que ahora se encuentran en un ecosistema tecnológico, donde terceros hacen parte de su ecuación de seguridad y continuidad, dado que grandes jugadores como Microsoft, Google, Amazon, entre otros, hacen parte de los elementos fundamentales de la malla de interacción y operación que no deben descuidar so pena de encontrarse con pérdidas de la eficiencia de la operación y compromisos, posiblemente, de sus datos frente a la demanda de servicios crecientes en las organizaciones. (MATHER, T., KUMARASWAMY, S. y LATIF, S. 2009)

De otra parte, con el creciente uso de las redes sociales, los ambientes tridimensionales (second life) y las interacciones comerciales vía internet, se advierte un tráfico de información e intereses ocultos de terceros para identificar información de carácter financiero útil para alimentar redes criminales, que articuladas en contactos con operadores internacionales, son capaces de generar avanzados y sofisticados ataques con programas espías o códigos móviles a través de los navegadores de uso común sin despertar sospechas entre los cibernautas. Un escenario donde el dinero real, circula y se usa en un mundo virtual, generando una confusión evidente que pierde los límites entre lo que se vive en un ambiente simulado y las transacciones virtuales con flujo de autorizaciones de patrimonios reales.

El cuadro de la ciberdelincuencia en los próximos 10 años se expande con una tendencia que desde hace más de cinco años se viene desarrollando, apalancada en programas zombies que toman control de las máquinas de los usuarios, generalmente fruto de lo que podríamos denominar una pobre higiene informática, haciéndolos vulnerables a las trampas y artilugios de los desadaptados informáticos. Si bien, estas acciones de redes de programas “zombies” denominadas “botnets”, se ha manifestado con importantes ataques a infraestructuras de diferentes partes del mundo, se prevé que estas mismas posibilidades, se extiendan en un concepto semejante al de computación en la nube, generando nuevas posibilidades más profundas y menos rastreables, que podríamos denominar “fraude como servicio”.

Esta nueva tendencia del “fraude como servicio” es una estrategia de la criminalidad organizada que busca ofrecer al mejor postor las redes y posibilidades de interrupción o penetración masiva de infraestructuras o sitios, con el fin de llevar a cabo importantes ataques que muestren las nuevas capacidades de los delincuentes informáticos para ser un brazo armado de la ilegalidad del mundo real, ahora en el mundo virtual, donde las zonas de monitoreo y control son limitadas y donde pocas veces, las naciones llevan sus acciones con alcance trasnacional, pues saben de las barreras y diferencias jurisdiccionales que las restringen.

Complementario al escenario anterior, el fuerte desarrollo de las comunicaciones móviles y el empoderamiento de las personas con mayor capacidad de cómputo en sus manos, nos movemos rápidamente hacia el concepto del “locker digital en la nube”, cuya llave será el dispositivo móvil que podamos tener: iphone, ipad, smart phones, entre otros, lo que hace que los datos y la información personal comience a migrar a sitios diversos en la infraestructura dispuesta en internet, sin un aparente control por parte de sus dueños, retando a los proveedores de servicios para desarrollar buenas prácticas de seguridad y control que permitan aumentar la confianza de sus clientes frente a las amenazas constantes de pérdida de confidencialidad y/o disponibilidad de dicha información.

En consecuencia, una falta de atención a las amenazas de seguridad en un ambiente abierto e interconectado, crea un vector de ataque impredecible, que articulado con una “confianza inusual” de los jóvenes de ciudadanos digitales en los medios informáticos, establece un tejido oculto y desafiante que mimetiza a los atacantes, creando un ecosistema paralelo y dependiente donde los cautivos usuarios serán objeto de acciones indeseadas o en el peor de los casos, actos que atenten contra su integridad física. (COUNCIL OF EUROPE 2007, CANO, J., CAVALLER, V. y SABILLON, R. 2008)

Al tener un colectivo de visiones en un espacio prácticamente infinito como lo es internet, podemos tener grandes beneficios como alto niveles de transparencia y responsabilidad por lo que se hace o deja de hacer, pero de igual forma, una puerta para abandonar y evadir cualquier investigación (CANO, J. 2009) que trate de llegar a la verdad. Por tanto, construir una visión de seguridad global o al menos local, exige la creación de un espacio de confianza psicológica y tecnológica, que motive en los participantes, la aplicación de prácticas que limiten las acciones de los terceros no autorizados.

Por tanto, si queremos alcanzar un resultado evidente en la gestión de la inseguridad de la información y lucha contra el cibercrimen, debemos entender la brecha entre nuestra realidad y la visión deseada en un ecosistema tecnológico sano, resiliente y autocontrolado, para construir de esta forma, una ruta de medios ajustados con la exigencia de la inevitabilidad de la falla y la pasión por un fin, que no es otra cosa que “sobreponernos a nosotros mismos, descubrir las virtudes de otros y potenciar nuestros talentos y dones” y así poder responder con oportunidad, cuando nuestros maestros “la inseguridad y el cibercrimen” nos presenten una nueva lección.

Referencias

MATHER, T., KUMARASWAMY, S. y LATIF, S. (2009) Cloud Security and Privacy. O’Reilly.

CANO, J., CAVALLER, V. y SABILLON, R. (2008) Cibercrimen y ciberterrorismo. Dos amenazas emergentes en un contexto global. (2008) Memorias del I Congreso Nacional de Inteligencia. Universidad Rey Juan Carlos. Madrid, España.

COUNCIL OF EUROPE (2007) Cyberterrorism. The use of internet for terrorist purposes. Counter-terrorism Task Force. Council of Europe Publishing.

CANO, J. (2009) Computación Forense. Descubriendo los rastros informáticos. Editorial AlfaOmega.

Postura individual de seguridad de la información: Un hábito requerido para sobrevivir ante la inevitabilidad de la falla.

Cuando se lee en los principales medios informativos en el mundo sobre la amenaza de ciberguerras, sobre armas no convencionales soportadas en desarrollos tecnológicos, ciberataques y grupos o asociaciones técnicas y/o científicas que comprometen la seguridad de las infraestructuras tecnológicas de los gobiernos y naciones, o se filtran informaciones clasificadas como secretas o ultra secretas, como se presentó recientemente con Francia, se nos viene a la cabeza historias como las de Julio Verne, que en su momento desafiaron nuestro entendimiento y confrontaron nuestra realidad.

Sin embargo, hablar de fraude en un ambiente digital, de cibercriminalidad, de vulnerabilidades e inseguridad de la información ya no es desconocido en nuestro entorno; no obstante lo anterior, seguimos conquistados por la novedad de la tecnología y sus posibilidades, con una extraña confianza en ella, como si el proveedor cuidara de los detalles de seguridad y control, como parte inherente de la entrega del producto. En este sentido, cada uno de nosotros debe advertir que al estar en un ambiente de alta conectividad y componente informático, nos vemos expuestos a operar en un escenario donde se nos “pide” compartir información, detallar configuraciones de nuestros dispositivos móviles y muchas veces entregar las especificaciones de los medios tecnológicos propios para entrar en contacto con aquello que queremos o necesitamos. (GRAGIDO, W. y PIRC, J. 2011)

Como quiera que esta manifestación de una tendencia informática en la que nos encontramos indefectiblemente nos va a atrapar, se hace imperioso desarrollar y aumentar nuestra postura de seguridad de manera proactiva, que nos permita como ciudadanos de las redes, caminar con las medidas mínimas de seguridad y control, no para evitar ser alcanzado por la inseguridad de la información o la infraestructura, sino para ser más responsables y disciplinados en nuestras interacciones en el mundo digital que nos lleva más allá de la realidad en que vivimos. (GIRGENTI, R. y HEDLEY, T. 2011)

Hoy por los CIO – Chief Information Officer, o llamados Vicepresidentes o Directores de Tecnología de Información o mal llamados de Sistemas, se enfrentan al desafío de una sociedad altamente alfabetizada en temas tecnológicos, la cual le exige día con día mayor velocidad, mayor capacidad y mayor libertad de acción, para hacer de la experiencia de la tecnología en las empresas, una forma de aumentar la productividad de sus empleados. En este tenor, en la aparente libertad y posibilidades que se abren con los desarrollos tecnológicos, se esconden costos humanos, técnicos y procedimentales, que aún estamos por descubrir.

De otra parte, los oficiales de seguridad de la información, como ejecutivos responsables de las estrategias de protección de la información de las empresas, al igual que sus similares (CIO), sufren de las exigencias de los individuos, que demandan servicios y posibilidades que conquisten lo mejor de los dos mundos: la novedad y versatilidad de las tecnologías móviles e interactivas, con lo mejor de las condiciones de seguridad y control disponibles en el mercado. Así las cosas y sin perjuicio de las implicaciones que esta “espinosa” realidad establece, encontrar el balance ideal o al menos requerido para entregar lo mejor a los ansiosos “usuarios” es una labor donde ambos mundos deberán ceder en sus demandas y conciliar una posición intermedia, donde ninguno de los actores sea parte dominante.

Hablar de una sociedad digital, donde día con día se abren posibilidades y negocios novedosos con la información, la movilidad y la vida virtual, es entender una transición de un modelo de sociedad conocida y validada por comportamientos del mundo físico y real, a uno donde la vida transcurre siempre “en línea”, conectado y compartiendo información, donde las distancias no existen y los límites se desdibujan con un “click”.

Este es un momento histórico de transformación de la sociedad que conocemos y abrirnos a una nueva forma de interacción, que no permite demoras en la respuesta y entiende que en la movilidad esta la respuesta a su vida agitada y de comunicación, aún ésta no alcance el sentido real y formal que exige la misma.

Desarrollar una postura real y práctica de seguridad y control en una sociedad como la actual, en transición y concentrada en el movimiento permanente de información y tecnología, requiere integrar a nuestras acciones al menos cuatro elementos conceptuales y sencillos, que nos permitan contar con las alertas mínimas requeridas para caminar por el pedregoso mundo de la inseguridad de la información en un ambiente digital.

Siguiendo los conceptos expuestos por Westerman y Hunter (2007) en su libro, IT Risk. Turning business threats into competitive advantage, publicado por Harvard Business School Press en 2007, el lenguaje de los riesgos de la tecnología de información es una herramienta fundamental y básica que nos debe sensibilizar para avanzar en la construcción de una red de actividades cotidianas para asegurar una adecuada interacción con internet y todo lo que ella conlleva.

Según los autores, los temas de disponibilidad, control de acceso, exactitud y agilidad deben ser el nuevo modelo de entendimiento de nuestra relación con la avalancha de exigencias de movilidad y la realidad de la sociedad digital. Como se puede observar, estas cuatro palabras, no hablan de restricciones o conductas que requieran entendimientos sofisticados, sino más bien de acciones conocidas y disciplinadas para hacer de nuestra experiencia informática y tecnológica, una verdadera renovación permanente de nuestro entendimiento de la red y sus posibilidades.

Cuando hablamos de disponibilidad, no demandamos ni establecemos niveles de exigencia del 99.9% de operación de las plataformas de los proveedores de servicios de información, sino nuestras estrategias y acciones para estar preparados y continuar funcionando cuando el 0.1% se materialice. Esto es, tener la disciplina de mantener resguardados nuestros datos y la forma de tener acceso a ellos, mientras la condición de falla parcial o total se presenta. Así, la disponibilidad vista de esta forma, nos mantiene entrenados en la práctica de la prevención, que a todas luces resulta más económica que una actividad reactiva o de reparación.

De igual forma, cuando de control de acceso se trata, no estamos hablando de restricciones o formas de evitar que la información se conozca, sino de la forma cómo nosotros seleccionamos a quién(es) permitimos conocer nuestra información; hablamos del cuidado que tenemos para cuidar nuestros documentos personales y privados, del algoritmo personal que utilizamos para saber quién digno de nuestra confianza y cómo aseguramos que la información no toma caminos equivocados que terminen comprometiendo nuestra imagen, nuestras acciones e incluso poner en riesgo la vida misma o la de otros.

Revisar el tema de la exactitud, en inglés, accuracy, es advertir la gran huella digital que dejamos al navegar por internet, el conjunto de datos que constantemente estamos registrando en los diferentes sitios, que con el paso del tiempo se confunden y pierden su relación, por la renovación permanente de esta biblioteca 7x24x365 como lo es internet. Al no advertir esta realidad, la sombra digital, es decir, aquellas cosas que se puede decir con nuestra información, inmersa en los registros y documentos que dejamos al visitar la red, podrá ser susceptible de interpretación por los navegantes o utilizada por terceros inescrupulosos para crear los peores momentos de contradicción y riesgo, con un manejo inexacto de nuestra realidad, que cuestione incluso nuestros valores, actividades y manifestaciones dejando en entredicho lo que somos y hacemos.

La exactitud es esa responsabilidad que todos debemos tener con el manejo de nuestra información en cualquier escenario tecnológico, como esa conciencia permanente de nuestro actuar e interacción con la red, que nos permite mantener la prudencia en lo que compartimos, conversamos y revelamos, pues al final del día, todo lo que digamos, compartamos o revelemos será nuestra pesadilla o nuestra redención.

Finalmente la agilidad, es esa condición y característica que la tecnología debe brindar para hacer que las cosas pasen, ese entendimiento de cómo comprender las necesidades de los individuos y articular los modelos de negocios de las empresas. La agilidad, se alcanza sólo si se cuentan con buenos elementos de seguridad y control. Es decir, nadie es tan avezado y temerario (bueno, ¿algunos pocos?) de conducir un vehículo a muy alta velocidad, sin contar con un sistema o mecanismo de control que le permita detenerse cuando es debido. De igual forma, la agilidad en términos tecnológicos y en el paisaje de la red mundial de información, no podrá avanzar más rápido y de manera decidida, sin contar con unos buenos sistemas de seguridad y control, que permitan acelerar su desarrollo e integración con los diferentes actores sociales.

En este sentido, se hace necesario entender la agilidad en el contexto de los sistemas de protección y prácticas de seguridad de la información, que permitan tanto a los habitantes de la red, como a los proveedores, encontrar rutas alternas, que utilizando las condiciones básicas de aseguramiento de sus plataformas y las buenas práctica de protección y control de la información, establezcan la plataforma de aceleración que beneficie tanto a los individuos como a las empresas para alcanzar mayores niveles de desarrollo y generación de valor para sus accionistas y grupos de interés.

Considerando estas cuatro condiciones o elementos de reflexión, podemos establecer lo que podríamos llamar una postura individual de seguridad de la información que nos permitan mantener un nivel mínimo de paranoia administrable, que mantenga un sistema de alertas prudente y proactivo; que exija de nosotros una adecuada protección de la información, entendida como el hábito en el que desarrollamos una disciplina permanente para entender los riesgos a los cuales está expuesta, como parte natural de nuestro diario vivir en medio de una sociedad de la información y el conocimiento.

En consecuencia, cuando nos apropiamos de las prácticas de seguridad de la información, de nuestra preparación ante los sucesos inesperados, de nuestra responsabilidad sobre la circulación de la información, de nuestra forma de cómo brindamos acceso a ella, y entendemos que la velocidad de nuestra interacción con la red, depende de nuestros sistemas de seguridad y control, estamos creando un sistema de detección de amenazas inherente a las interacciones sociales digitales, que evoluciona conforme la exigencia de la red lo requiere, no como un estrategia de regulación impuesta por un tercero, sino como referente natural del mismo sistema, que cuestiona, enfrenta y descubre las intenciones de aquellos que quieren atentar contra el orden que balancea las más exigentes necesidades de los individuos y las condiciones de seguridad y control requeridas para su adecuado desempeño.

Si bien aún estamos muy distantes de este ideal, sea esta reflexión una excusa académica para cuestionar nuestra zona de confort y poner a tambalear la inercia misma donde descansa nuestra postura individual frente a la protección de la información.

Referencias

WESTERMAN, G. y HUNTER, R. (2007) IT Risk. Turning business threats into competitive advantage. Harvard Business School Press.

GIRGENTI, R. y HEDLEY, T. (2011) Managing the risk of fraud and misconduct. Meeting the challenges of a global, regulated, and digital environment. McGraw Hill

GRAGIDO, W. y PIRC, J. (2011) Cybercrime and espionaje. An analysis of subsersive multivector threats. Syngress.

Cibercrimen: Evolución y desafíos en una sociedad digital

Hablar de cibercrimen, de delitos informáticos, de ciberdelicuencia, de crímenes por computador, u otra denominación semejante, pareciera que detallara reflexiones en terrenos desconocidos, efímeros o contradictorios para una sociedad de la información y el conocimiento, una sociedad donde estamos acostumbrados a la conectividad, donde somos adictos a la información y sobre manera nos encanta estar en movimiento.

En este sentido, comprender las conductas punibles en este contexto requiere analizar un perfil diferente de delincuencia, que si bien mantiene los viejos hábitos del crimen en el mundo real, propiciados muchas veces por nuestra constante exposición e inadecuado manejo de los riesgos, establece un reto interesante para todos aquellos que deseamos entender el modus operandi de estos nuevos actores y sus oscuros propósitos en una sociedad digital.

Siguiendo algunos apuntes del libro de GRAGIDO y PIRC (2011) en sus capítulos siete y ocho, trataremos de plantear algunas ideas sobre cómo estos nuevos ciberactores del mal, encuentran en algunas variables sociales nuevas motivaciones para marcar una nueva diferencia en el desarrollo de actividades delictivas, utilizando a la tecnología como cómplice y medio para materializar sus acciones.

De acuerdo con los autores para comprender mejor el fenómeno del cibercrimen, se hace necesario considerar al menos tres variables básicas, que responden primordialmente a modelos generales de comprensión de esta realidad, al cual se le agrega un elemento denominado vector de ataque, que busca incorporar en la ecuación planteada, el abuso de los servicios tecnológicos o los usos de técnicas de hacking tradicionales y elaboradas, con el fin de materializar sus actos y generar la zozobra y la inestabilidad en el entorno donde se manifiesten.

(1) Experiencia + Motivación + Vector de Ataque = Resultado

La experiencia es una variable que mide la habilidad del ciber actor, su nivel de exposición a la tecnología y sus usos, las habilidades que posee para desarrollar sus actividades, sus contactos personales y capacidad de diseño de ataques que permitan o no su posterior nivel de rastreo. La experiencia nos dice con quién estamos tratando, quién es la persona que debemos comprender y qué destrezas requerimos para avanzar en su seguimiento, análisis y estrategias para su judicialización.

De otra parte y de manera complementaria tenemos la motivación, esa fuerza interior que mueve al posible delincuente para adelantar sus acciones, esa movilización de la voluntad bien centrada en el reto con la máquina, o en las creencias o racionalizaciones válidas en su mundo, que permiten encontrar en la acción punible una respuesta a sus necesidades o reflexiones más íntimas. De igual forma, a través de la motivación, es posible explicar aquellos modus operandi planteados por el delincuente, siempre y cuando sea posible estudiar el contexto de sus relaciones con otras personas o círculo de influencia, que de manera importante determinan las actuaciones de estos individuos.

El vector de ataque es una variable interesante, pues vincula tanto la experiencia como la motivación en el escenario de ataque, con el fin de validar cómo las habilidades y móviles personales o grupales, hacen evidente la aplicación de las técnicas y tecnologías para lograr sus propósitos. Comprender con claridad la experiencia o el expertise del atacante, así como sus motivaciones, establece un claro contexto para desarrollar acciones que permiten tomar acciones proactivas para prevenir futuros movimientos, sin embargo, no es suficiente pues los vectores de ataque son los que establecen los móviles de operación que al final hacen la diferencia en las investigaciones de sus acciones de manera posterior.

Se dice que actualmente el cibercrimen responde a intereses de mafias organizadas y organizaciones criminales internacionales, que tienden sus redes a través de comunicaciones abiertas y tradicionales para evadir el cerco de las autoridades internacionales. Si bien comprenden que las conductas tradicionales como robo, falsificación, manipulación, asalto, suplantación entre otras, son verbos que conocen y conjugan muy bien, se están moviendo en el diseño de nuevas redes de apoyo y servicios para hacerlo de manera masiva, a bajo costo y de difícil rastreo.

En consecuencia, estamos observando cómo cada vez más advertimos organizaciones criminales, perfectamente instaladas, con roles y responsabilidades que articulan las diferentes habilidades y potencialidades de sus integrantes con el fin de alcanzar sus acciones de manera efectiva con las consideraciones planteadas en el párrafo anterior. Así, se pueden encontrar hoy en las organizaciones de este estilo las mulas electrónicas, programadores o codificadores, distribuidores, hackers, defraudadores (ingenieros sociales), los recolectores de cuentas de correo o cuentas bancarias, por supuesto, los líderes de la organización. (GORMAN, S. 2010)

Esto lo que nos dice es que el “crimen está organizado”, que se prepara para competir en un entorno digital no solamente contra los desprevenidos ciudadanos “de a pie”, sino para entrar en la grandes ligas, como son las empresas y los estados. No por nada, cada vez que se presenta en público un nuevo producto tecnológico o una estrategia comercial de apoyo a la gestión de la empresa, se encuentran nuevas propuestas de “aprovechamiento” por parte de la delincuencia, pues ellos entienden que hacer significa ganar una diferencia importante para consolidar sus estrategias en esta sociedad digital.

Algunos ejemplos de esta situación lo podemos ver en reciente incidente con el troyano denominado ZEUS, el cual estaba orientado hacia los temas financieros, cuyo modus operandi conocía claramente los controles financieros y las estructuras de seguimiento a las transacciones bancarias, para lo cual se utilizaron diferentes pasaportes de diferentes nacionalidades para materializar el ilícito, una estrategia que se sustenta en la habilidad para usar los controles establecidos en contra de sus propios diseñadores. La mayoría de las transacciones efectuadas tuvieron como actividades básicas el robo de identidad, el robo de números de tarjetas de crédito, el lavado de dinero, la explotación de vulnerabilidades y la venta de servicios. (SCARBOROUGH, T. 2010)

Así como este caso, se tienen documentadas actividades más elaborados alrededor de temas como negación de servicios gubernamentales, espionaje militar, desarrollo de capacidades basados en ciberarmas (botnets avanzadas para negación de servicios y espionaje, armas de pulsos electromagnéticos, modificaciones de hardware y software con fines destructivos o espionaje, bombas lógicas avanzadas, virus a la medida: polimórficos, de hipercontagio, multiplataforma y cifrados), las cuales nos hablan de un nuevo escenario de guerra y diferenciación estratégica de estados y organizaciones, que se mueven entre lo legal y lo ilegal.

Si durante la década de los 90’s internet era una biblioteca en línea, donde podíamos encontrar lo que necesitábamos, así como tener una experiencia diferente para ser parte de un nuevo mundo, de una realidad extendida y llena de oportunidades, durante la primera década del nuevo milenio, internet es una capacidad necesaria para competir en un terreno global y estar en permanente contacto con los clientes, quienes ahora están más informados, empoderados y demandantes de nuevos servicios para seguir una experiencia extrema en el uso de la red y así retar a diario su modelo de operación y de negocios.

En los albores de una nueva década (2010 – 2020) estamos a la espera de un nuevo amanecer de posibilidades como dinero electrónico, banca totalmente móvil, locker digital en la nube, medicina basada en telemetría, mundos tridimensionales extendidos y móviles, redes inalámbricas en la nube, servicios de telecomunicaciones planos y gratuitos, redes extendidas de contenidos agregados y personalizados, en fin una gama abierta de oportunidades, que estarán monitoreadas por la delincuencia digital organizada, que se ha venido preparando para competir en estos mismos terrenos (fraude como servicio, hacking como servicio, virus como servicio, entre otros), entendiendo estos desafíos y cómo evolucionan las motivaciones de sus posibles objetivos, para de la mano con su cómplice, la inseguridad de la información, nos pueda sorprender y cuestionar frente a nuestros comportamientos, hábitos, rutinas y posturas frente a la protección de la información.

Si bien aún nos falta mucho camino por recorrer en el entendimiento del cibercrimen, debemos estar atentos a los rastros que se advierten en cada incursión de la delincuencia organizada, para que podamos de manera conjunta continuar analizando sus patrones de actuación, capitalizando nuestro conocimiento del enemigo y así, afirmar como lo advirtió Kennedy en su momento:

“Los problemas no están todos resueltos y las batallas no están todas ganadas; y estamos hoy al borde de una nueva frontera, una frontera de desconocidas oportunidades y peligros, una frontera de esperanzas y amenazas no cumplidas”.

Por tanto, se hace necesario mantenernos extraviados y confundidos en nuestro camino, para poder desaprender en medio del incertidumbre y así, enfrentar la contradicción que nos propone la delincuencia frente a nuestros controles y la confianza que debemos desarrollar frente a los medios y posibilidades en las plataformas basadas en tecnologías de información y comunicaciones.

Referencias
SCARBOROUGH, T. (2010) Electronic Fraud and the Evolution of Cybercrime. Disponible en: http://www.kasbo.com/documents/2010_Spring_Handouts/8B-Electronic%20Fraud%20&%20the%20Evolution%20of%20CyberCrime%20Optimized.pdf (Consultado: 7-03-2011)
GORMAN, S. (2010) 'Hackers' atacan a miles de empresas y agencias gubernamentales en 196 países. http://sonicwallblog.blogspot.com/2010/02/hackers-atacan-miles-de-empresas-y.html (Consultado: 7-03-2011)
GRAGIDO, W. y PIRC, J. (2011) Cybercrime and espionaje. An analysis of subsersive multivector threats. Syngress.

Arquitectura de Seguridad de la Información: Una lección pendiente para los CISO's

¿Quiénes son los arquitectos?

Frecuentemente se habla de arquitecturas, de arquitectos, elementos y personalidades que poco a poco han tomado forma en medio de diferente temáticas como tecnología de información, seguridad de la información, talento humano, liderazgo entre otros campos. Cuando revisamos la etimología de la palabra arquitectura, encontramos que proviene del griego αρχ (arch, cuyo significado es ‘jefe’, ‘quien tiene el mando’), y τεκτων (tekton, es decir, ‘constructor’ o ‘carpintero’), que de manera combinada podría leerse como “jefe constructor”, esa persona que orienta, dirige y mantiene el rumbo para asegurar que cada pieza sea la requerida y mantenga la vista general y articulada de todo cuanto se tiene.

El arquitecto es quien de manera sistemática y sistémica define y mantienen las relaciones entre los elementos, le da forma a la estructura y define su propio funcionamiento. Ser un arquitecto es encontrarle el sentido a cada unión de los componentes, entendiendo su función en el conjunto de su obra, una forma de conjugar diferentes vistas de los participantes e interesados para ser luz en medio de las “turbas” de los diferentes entendimientos. Ser un “maestro constructor”, es traducir la complejidad y la visión de un diseño, en la sencillez de una expresión, en la cotidianidad de una explicación y en la contundencia de una declaración.

Avanzar en el diseño de una arquitectura, es decir, de una forma de articular y entender una realidad, es sumar en la reconstrucción de una verdad vista por múltiples actores, planteando una serie de patrones y parámetros para hacer de la visión de la estructura final, una ruta concreta y desafiante que permite a cada uno de sus participantes, sentirse orgulloso de un logro colectivo. El arquitecto no puede permitirse “errores de interpretación” o la tentación de “tener la verdad”, pues corre el riesgo de encontrarse con su propio reflejo, que no es otra cosa que su limitado entendimiento del enfoque final del proyecto.

En este sentido, tener la responsabilidad de ser un arquitecto de tecnología de información, de seguridad de la información, de la estrategia corporativa de una organización, requiere ir más allá del entendimiento de su propia área de conocimiento y forzarse a cruzar sus dominios y descubrir aquellas relaciones que antes no había visto, encontrarse con la esencia misma de la incertidumbre, para trazar un camino evolutivo que lo lleve de una vista particular, a una colectiva y enriquecida con las reflexiones de otros.

Un arquitecto que se niegue a vivir la realidad de su misión: ser facilitador de una visión colectiva de un equipo, sabrá que será responsable por las consecuencias de las inconsistencias que se planteen en el desarrollo de sus planes, pues el que debiendo ser luz, se vuelve tiniebla, corrompe la sal que “da sabor” a la fuente de la perspectiva y limita el desarrollo del potencial de la comunidad, de la cual es mentor.

Así las cosas, los arquitectos, esos jefes de construcciones técnicas, deben ir en profundidad de sus propias limitaciones, para que haciéndolas evidentes en cada una de sus actuaciones, puedan ser ocasión para descubrirse a sí mismos. Por tanto, avanzar en el reconocimiento de principios básicos de arquitectura, es recabar en la historia reciente de la humanidad que desafiante de la obra divina, es capaz de vivir la humildad de su propio conocimiento.

Finalmente y sabiendo que todos somos responsables para lograr la “maestría del constructor”, es necesario reconocernos finitos y limitados, para encontrar el camino que nos lleva la “veritas”, esa promesa divina y búsqueda humana, que se esconde en cada uno de nuestros pensamientos, en cada disciplina científica, en cada esfuerzo humano y técnico que hace de cada día, la experiencia más exigente y desafiante que podemos experimentar: vivir en plenitud y sin límites.

Reflexiones para los arquitectos de seguridad de la información

En este sentido, un arquitecto de seguridad de la información y todo su conocimiento deberá servir de “tapete” para que sea mancillado y puesto a prueba por las “huestes” de la inseguridad de la información y así, aprender de cada paso de sus maestros, la exigencia del reto de encontrar sentido y valor para ver más allá de lo evidente y escribir “derecho” con las letras “torcidas”.

Todo aquel que en seguridad de la información acepte el reto de ser un arquitecto, deberá soltar la vista de la infraestructura tecnológica y sumergirse en el mar de las relaciones de los negocios, no para saber cómo alcanzar mayor reconocimiento corporativo, sino para descubrir en las esencia misma de cada estrategia corporativa, cómo apalancar la diferencia desequilibrante, en un mercado altamente competitivo y dinámico.

Los arquitectos de seguridad de la información deben encontrar en su organización, el mejor laboratorio conceptual y arquitectónico para poner a prueba su entendimiento de los negocios y las promesas de valor basadas en la confianza corporativa, con el fin de esbozar con mayores detalles las estructuras más adecuadas para anticiparse a los ataques propios de la inseguridad de la información replegada en la articulación de la tecnología, las personas y los procesos.

En consecuencia, avanzar en una vista empresarial de la arquitectura de seguridad de la información, es reconocer en las capacidades del negocio, fuerzas y mecanismos anticipatorios, que permitan proteger los flujos de información que alimentan la estrategia. Es buscar en la sabiduría de los incidentes de seguridad, el conocimiento requerido para blindar las respuestas de la organización frente a sus amenazas. Es comprender las expectativas de los interesados, como retos y sugerencias de transformación que hacen de las estrategias de seguridad de la información, un insumo real y evidente de cómo se logran las metas empresariales.

Cuando el gerente, director o ejecutivo de seguridad de la información, reconoce en la arquitectura empresarial, cómo se hace parte de la dinámica de la corporación misma, revela los disparadores escondidos del programa de seguridad de la información, amplía la visión del modelo de negocios y es consciente del impacto de sus decisiones frente a la protección de la información.

Si bien existen múltiples formas de aproximarse al diseño de una arquitectura de seguridad, cualquiera que se escoja deberá tener en cuenta al menos cuatro elementos fundamentales: la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos. Estos cuatro elementos, visto de manera sistémica, revelan las necesidades propias de una organización frente al reto de hacer de la información un activo valioso y de su protección, una práctica sistemática inmersa en cada elemento de ella.

Por tanto, los arquitectos de seguridad de la información deberán compartir y alinear la agenda interna de la alta gerencia, con la agenda interna del área de seguridad de la información, no para estar enterados de los retos y ajustes empresarial, sino para afinar y ajustar sus acciones frente a las amenazas empresariales del entorno y, cómo desde el entendimiento de los riesgos de la información, generar escenarios predictivos y preventivos que custodien la forma como la empresa genera valor para sus accionistas y empleados.

Para dar cumplimiento a esta promesa del arquitecto de seguridad, se deben considerar algunas declaraciones de diseño que no pueden ser negociables y menos hoy en un ambiente móvil, de sobrecarga de información y de servicios extendidos.

Las declaraciones sugeridas son:

• La inseguridad de la información en una propiedad inherente de un sistema, por tanto es deber de la arquitectura descubrirla y entenderla.

• La arquitectura de seguridad de la información deberá ser flexible y adaptable como la inseguridad de la información (Resilente).

• El arquitecto debe entender que la seguridad es una propiedad emergente de un sistema y por tanto, deberá generar la variedad requerida para enfrentar sus amenazas internas y del entorno.

• Cualquier diseño que se proponga para enfrentar la inseguridad de la información deberá privilegiar la autoregulación, la autoadaptación y el aprendizaje, como apalancadores de valor para la información, las estrategias y metas de negocio, los fundamentos de seguridad y la administración de los riesgos.

Si bien no será fácil materializar esta disciplina arquitectónica en los diseños actuales de seguridad de la información, será un reto tratar de hacerlos realidad en las nuevas iniciativas, que den paso a un entendimiento de la seguridad, más allá de un ejercicio de protección de información y aseguramiento del cumplimiento normativo, por otro donde los fundamentos de la seguridad sean parte de la construcción de modelos de negocio confiables y productivos y la información sea el eje fundamental de nuestra relación con los accionistas y grupos de interés.

Referencias

• WEIL, ROSS y ROBERTSON (2006) Enterprise Architecture as Strategy. Harvard Business School Press.

• KOVACICH, G. y HALIZBOZEK, E. (2006) Security metrics management. Butterworth Heinemann.

• SCHOU, C. y SHOEMAKER, D. (2007) Information assurance for the enterprise. A roadmap to information security. McGraw Hill.

• COHEN, F. (2005) Security Governance: Business Operations, Security Governance, Risk Management and Enterprise Security Architecture. ASP Press.

• CARALLI, R. (2004) Managing for enterprise security. Technical Note. CMU/SEI-2004-TN-046. Carnegie Mellon University.