Reflexiones sobre la norma ISO/IEC 27037:2012. Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital.

Introducción

En el desarrollo de un análisis forense digital tradicional con medios magnéticos y ópticos, generalmente los analistas forenses acuden a la buena práctica internacional para soportar los pasos que se adelantan con el fin de asegurar la evidencia digital identificada en los diferentes componentes informáticos y tecnológicos presentes en la escena del crimen.

Estas prácticas permiten establecer un conjunto base de validación para la contraparte y el juzgador, con el fin de probar la idoneidad del proceso ejecutado y la confiabilidad de los resultados, luego de las técnicas aplicadas para obtener la evidencia digital clave para efectos de soportar las afirmaciones o declaraciones sobre una temática particular que se tenga en una diligencia civil, penal o de cualquier índole.

Así las cosas, prácticas como la HB171-2003 Guidelines for the Management of IT Evidence, creada en Australia por la academia, industria, administración de justicia, gobierno y entes policiales, permite una vista homogénea frente al reto de la evidencia digital como elemento de prueba real con todos sus elementos, permitiendo una valoración y análisis que motive y concrete los juicios bien fundados sobre las evidencias que se aporten en el desarrollo de una diligencia probatoria.

De igual forma, las guías del NIST sobre estos temas particularmente en dispositivos móviles, web services, entre otros, así como las indicaciones del Departamento de Justicia de los Estados Unidos en los documentos como Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition, son generalmente instrumentos utilizados por los analistas forenses digitales con el fin de establecer un marco de actuación formal y verificable que permita a los terceros validar las acciones que adelanten sobre la evidencia digital disponible en los medios informáticos.

En este sentido, el peritaje forense informático y tecnológico, siguiendo lo indicado por LOPEZ RIVERA (2012, pág.48) como la “obtención de información y evidencias de los bits que se encuentran en los dispositivos físicos de almacenamiento o virtuales en las redes que intervienen en la interacción de las personas con los sistemas”, requiere un contexto general de actuación que permita a todos los involucrados contar con referentes verificables y de alcance global que exhiban formas de asegurar que los procedimientos aplicados en la pericia son confiables y con arreglo a ley.

Como quiera que a la fecha no se reconoce buena práctica de alcance global, se introduce en este documento la norma ISO/IEC 27037:2012 donde se establecen directrices para la identificación, recolección, adquisición y preservación de la evidencia digital, como un primer documento reconocido por la comunidad internacional y de alcance global para efectos de adelantar pericias forenses informáticas, el cual de ahora en adelante será un referente base para todos los informáticos forenses respecto de sus prácticas y procedimientos actuales.

Principios que gobiernan la evidencia digital

De acuerdo con la ISO/IEC 27037:2012 la evidencia digital es gobernada por tres principios fundamentales: la relevancia, la confiabilidad y la suficiencia. Estos tres elementos definen la formalidad de cualquier investigación basada en evidencia digital, bien ésta sea utilizada para que sea admisible en corte o no.

La relevancia es una condición técnicamente jurídica, que habla sobre aquellos elementos que son pertinentes a la situación que se analiza o investiga, con el fin de probar o no una hipótesis que se ha planteado alrededor de los hechos. Todo aquello que no cumpla con este requisito será irrelevante y excluido del material probatorio recabado para efectos del caso bajo estudio.

La confiabilidad es otra característica fundamental, que busca validar la repetibilidad y auditabilidad de un proceso aplicado para obtener una evidencia digital, esto es, que la evidencia que se extrae u obtiene es lo que deber ser y que, si un tercero sigue el mismo proceso, deberá obtener resultados similares verificables y comprobables.

Finalmente y no menos importante la suficiencia, la cual está relacionada con completitud de pruebas informáticas, es decir que, con las evidencias recolectadas y analizadas tenemos elementos suficientes para sustentar los hallazgos y verificar las afirmaciones efectuadas sobre la situación investigada. Este elemento está sujeto a la experiencia y formalidad del perito informático en el desarrollo de sus procedimientos y priorización de esfuerzos.

Si bien puede haber otros elementos que ayuden en el gobierno de la evidencia digital, ISO ha determinado que estos tres, establecen las condiciones necesarias y suficientes para que los expertos en informática forense recaben, aseguren y preserven elementos materiales probatorios sobre medios digitales, los cuales podrán ser revisados y analizados por terceros interesados y sometidos a contradicción según ordenamiento jurídico donde se encuentren.

Habida cuenta de lo anterior, los informáticos forenses deberán prestar atención a estas indicaciones del estándar y recabar en el desarrollo de prácticas que permitan validar estos tres principios, que si bien se describen en el documento, no se concretan en acciones específicas que de alguna forma, sugieran una vía de aplicación que pueda validarse.

En este contexto, se detallan algunas preguntas (a manera de ejemplo) que pueden ser útiles para efectos de validar los tres principios enunciados:

Relevancia

· ¿La evidencia que se aporta vincula al sujeto con la escena del crimen y la víctima?

· ¿La evidencia prueba algunas hipótesis concreta que se tiene del caso en estudio?

· ¿La evidencia recolectada valida un indicio clave que permita esclarecer los hechos en estudio?

Confiabilidad

· ¿Los procedimientos efectuados sobre los dispositivos tecnológicos han sido previamente probados?

· ¿Se conoce la tasa de error de las herramientas forenses informáticas utilizadas?

· ¿Se han efectuado auditorias sobre la eficacia y eficiencia de los procedimientos y herramientas utilizadas para adelantar el análisis forense informático?

Suficiencia

· ¿Se ha priorizado toda la evidencia recolectada en el desarrollo del caso, basado en su apoyo a las situaciones que se deben probar?

· ¿Se han analizado todos los elementos informáticos identificados en la escena del crimen?

· ¿Se tiene certeza que no se ha eliminado o sobreescrito evidencia digital en los medios analizados?

Dos roles claves: Digital Evidence First Responder (DEFR) y el Digital Evidence Specialist (DES)

Por primera vez un estándar ISO establece definiciones de roles para efectos de las actividades requeridas en informática forense. Estos dos roles DEFR, cuya traducción podría ser “Primer respondiente de la evidencia digital” y el DES, como “Especialista en evidencia digital”.

El primero es aquella persona que está autorizada, formada y habilitada para actuar en la escena de un incidente, y así recoger y adquirir las evidencias digitales con las debidas garantías. Este es un rol que deben tener todas las organizaciones, toda vez que cualquier persona en una empresa puede actuar como primer respondiente frente a un incidente donde la evidencia digital sea parte de los elementos materiales probatorios.

Según la norma, esta persona y su formación dependerán del contexto de cada legislación y política organizacional, como quiera que, es en el contexto del ejercicio de primer respondiente que se establecen las condiciones y habilidades requeridas para asegurar de primera mano la evidencia digital propia de la situación en estudio.

¿Qué debe hacer un primer respondiente frente a un incidente informático? Si bien no detalla la norma la respuesta a esta pregunta, si podríamos indicar algunos elementos claves que se deben seguir frente a un proceso fundamental en el aseguramiento y custodia base de la evidencia informática, mientras el especialista en evidencia digital llega al sitio.

· Asegurar el área dónde ocurre el evento informático y los elementos materiales probatorios que se encuentren allí: notas, documentos, dispositivos electrónicos, entre otros.

· Evitar que personal extraño al área, tenga acceso a la misma y a los equipos que allí se encuentren.

· Tomar fotos o video de cómo encontró el área y documentar fecha, hora y condiciones en las cuales llega al sitio donde ocurren los hechos.

De otro lado, el Especialista en Evidencia Digital (EED) lo califica como aquella persona que puede hacer lo que hace el primer respondiente la evidencia digital y además cuenta con conocimientos, destrezas y entrenamiento especializado en un amplio rango de aspectos tecnológicos, lo que podríamos llamar un perito informático o en inglés un computer expert witness.

En este contexto, se presenta una primera insinuación sobre esta problemática del perito informático, que siguiendo los conceptos de LOPEZ RIVERA (2012, pág.21), debe estar asistida por tres elementos fundamentales:

· Ser un tercero neutral, alguien ajeno al proceso y a los intereses particulares que se encuentren en discusión.

· Ser un experto, una persona con formación formal, con experiencia fruto de sus desempeños laborales, conocimientos especializados, científicos o prácticos según el caso.

· Ser una persona que voluntariamente, acepte incorporar sus conocimientos al proceso.

Si bien el estudio de cómo se debe formar un perito informático, escapa al alcance de este documento, si es preciso anotar que a la fecha existen diversos programas formales de formación de investigadores de crímenes de alta tecnología o en ciencias forenses informáticas que dan respuesta desde diferentes perspectivas a la formación de estos especialistas y auxiliares de la justicia, para que se tenga una vista medianamente clara y detallada de las habilidades y conocimientos que se deben tener frente al aseguramiento de la evidencia digital. (CANO 2009)

Finalmente y no menos importante, la norma hace énfasis en los siguientes puntos, que se deben observar todo el tiempo tanto por el DEFR como por el DES:

· Minimizar el manejo del dispositivo con la evidencia digital original o con la evidencia digital potencial

· Dar cuenta de cualquier cambio y documentar las acciones que se tomen (mientras el experto se hace una opinión sobre su confiabilidad)

· Cumplir con las leyes locales sobre el manejo de la evidencia

· No tomar acciones más allá de sus competencias.

Tipologías de dispositivos y entornos alcance de la norma

De acuerdo con la norma es alcance de la misma: (LOPEZ RIVERA 2012, pág.200)

· Equipos y medios de almacenamiento y dispositivos periféricos

· Sistemas críticos (alta exigencia de disponibilidad)

· Computadores y dispositivos conectados a la red

· Dispositivos móviles

· Sistemas de circuitos cerrados de televisión digital

Con este alcance, quedan fuera tecnologías recientes como las unidades de estado sólido, los sistemas de control industrial (por sus configuraciones y tecnologías especiales basadas en microcontroladores), servicios web, entre otros temas especializados, que si bien pueden utilizar los pasos naturales del proceso asociado con la informática forense (documentos y alcance de la norma identificación, recolección y/o adquisición, conservación y/o preservación), requiere una vista particular de aseguramiento que es propia e inherente a los avances tecnológicos previamente enunciados.

Si bien estas tipologías tratan de ser generales y genéricas frente a lo que se puede encontrar en una escena con dispositivos tecnológicos, es importante anotar que cada tecnología requiere un margen de especialidad que escapa al proceso general planteado y sus actividades previstas, toda vez que los cambios técnicos que se tienen, requieren un entendimiento particular de cómo funcionan y cuáles son las implicaciones frente a las exigencias del proceso forense en informática, basado en el método científico, no para conocer la verdad, sino para dar respuesta a preguntas que se plantean en el contexto del caso en estudio.

Un ejemplo de esta condición es la realización de la imagen idéntica, la cual es un procedimiento que se aplica con software especializado para asegurar que el contenido digital del dispositivo informático (particularmente magnético) es fiel copia del original, en el que se aplica un hash sobre la imagen resultado, el cual puede ser verificado posteriormente para validar su inalterabilidad.

Sin embargo, aplicar el mismo procedimiento sobre unidades de estado sólido no genera el mismo resultado, toda vez que esta unidad funciona de manera diferente al medio magnético, es decir de manera general, constantemente por efectos de la confiabilidad del medio, se está cambiando de posición la información allí residente (CANO 2013), con lo cual se puede aplicar un hash un momento T y éste no será igual al que se aplique en T+1.

Así las cosas, las tipologías son sensibles a los cambios tecnológicos y nuevos retos emergentes de la informática forense, lo que necesariamente advierte que las técnicas descritas en el estándar deberán ser revisadas y ajustadas en el tiempo de manera periódica, con el fin de advertir cambios y ajustes que permitan mantener la confiabilidad de los procedimientos aplicados, como quiera que este documento es un referente de alcance global.

Reflexiones finales

El estándar ISO/IEC 27037:2012 es un avance relevante para el ejercicio de la práctica de la informática forense a nivel internacional que permite homogenizar una serie de prácticas claves para efectos de dar mayor confiabilidad a los resultados de los procesos aplicados, que previamente sólo estaban fundados en la buena práctica internacional o referentes particulares a instituciones o entidades reconocidas por sus logros en este campo.

Este documento cubre tres etapas de la actuación forense digital como son identificación, recolección y/o adquisición y conservación y/o preservación, detallando prácticas y consideraciones de actuación relevantes que responden a los mínimos que el “Especialista en Evidencia Digital” debe cubrir y asegurar para mantener la confiabilidad de sus resultados frente al tratamiento y aseguramiento de la evidencia digital.

Sin embargo, los temas relacionados con el análisis e interpretación de la evidencia digital no son cubiertos por esta norma y se espera que la anunciada ISO/IEC 27042, sugiera los campos de acción en estos temas, los cuales tendrán retos importantes como se establece su reciente borrador:

“El análisis e interpretación de la evidencia digital puede ser un proceso complejo. En algunas circunstancias, puede haber varios métodos que se pueden aplicar y los miembros deequipo de investigación tendrán quejustificar la selección de determinado proceso y mostrar cómo es equivalentea otro utilizado por otros analistas. En otras circunstancias, los investigadores tendrán que idear nuevos métodos para el examen de la evidencia digital que previamente no ha sido tenido en cuentay deben ser capaz de demostrar que el método de producción es "adecuado".”

Así las cosas, contar con el estándar ISO/IEC 27037:2012 nos permite avanzar en la unificación de lenguajes y acciones propios de la práctica de la informática forense, que junto con iniciativas especializadas por tipo de dispositivos y tecnologías novedosas, permitan desarrollar una monitorización abierta y efectiva de la práctica de sus especialistas, incrementando los niveles de excelencia y madurez tanto de los profesionales en esta área como en el desarrollo de herramientas que soporten los más altos estándares de confiabilidad.

Referencias

ISO/IEC 27037:2012. Tecnología de la información – Técnicas de seguridad – Directrices para la identificación, recolección, adquisición y preservación de la evidencia digital.

ISO/IEC 27042 - Tecnología de la información – Técnicas de seguridad – Directrices para el análisis e interpretación de la evidencia digital. (En desarrollo)

HB171-2003 Guidelines for the Management of IT Evidence. Australia Standard.

LOPEZ RIVERA, R. (2012) Peritaje informático y tecnológico. Un enfoque teórico-práctico. ISBN 978-84-6160-895-9.

NIST (2007) Guidelines on cell phone forensics. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf (Consultado: 15-09-2013)

NIST (2010) Forensics web services. Disponible en: http://csrc.nist.gov/publications/nistir/ir7559/nistir-7559_forensics-web-services.pdf (Consultado: 15-09-2013)

NIJ (2004) Forensic Examination of Digital Evidence: A Guide for Law Enforcement. Disponible en: https://www.ncjrs.gov/pdffiles1/nij/199408.pdf (Consultado: 15-09-2013)

NIJ (2008) Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition. Disponible en: http://www.ncjrs.gov/pdffiles1/nij/219941.pdf (Consultado: 15-09-2013)

CANO, J. (2009) Computación forense. Descubriendo los rastros informáticos. Ed. Alfaomega. México.

CANO, J. (2013) Unidades de estado sólido. El reto de la computación forense en el mundo de los semiconductores. Blog IT-Insecurity. Disponible en: http://insecurityit.blogspot.com/2013/06/unidades-de-estado-solido-el-reto-de-la.html (Consultado: 15-09-2013)

Inseguridad de la información. La estrategia antifrágil de la seguridad de la información

Introducción

Considerando las reflexiones de los analistas de Gartner (HOWARD, PLUMMER, GENOVESE, MANN, WILLIS y MITCHELL 2012) la información, la computación móvil, la computación en la nube y las redes sociales, establecen el nuevo ecosistema tecnológico y empresarial que motiva y establece las nuevas estrategias para cautivar al cliente y posicionar la organización en el contexto de una realidad abierta y digital.

En este contexto, la información es el insumo fundamental para crear una experiencia social aumentada, muchas veces sobrecargada y siempre movimiento. Las plataformas móviles establecen la plataforma efectiva para la interacción y promover nuevas formas de trabajar. Las redes sociales enlazan expectativas, oportunidades e interacciones entre las personas de formas inesperadas, repensando la manera como percibimos al otro y finalmente la computación en la nube, facilita la entrega de la información y la funcionalidad requerida por las personas y los sistemas de información.

Habida cuenta de lo anterior, la forma como se crea riqueza y genera valor cambia dramáticamente, pues lo que antes se concebía desde un trabajo eminentemente físico, se transforma en una experiencia y paisaje digital que, demanda una nueva forma de entender el mundo, no desde los productos y servicios tradicionales, sino desde el estilo personal y particular de cada individuo, donde sus preferencias e identidad se materializa en cada interacción con la realidad expuesta en la red.

Esto significa que cada vez más se advierte una mayor exposición de la realidad empresarial e individual a través de los medios digitales, aumentando el conocimiento detallado de cada uno de ellos, el cual puede y será explotado por parte de los terceros interesados, algunos con buenas intenciones, otros no. Así las cosas, la pérdida acelerada de la privacidad, de los dominios de control empresarial y la demanda de mayor transparencia y participación ciudadana, establecen un reto corporativo que exige una vista sistémica de la gerencia para navegar en medio de un entorno dinámico, asimétrico e inestable.

En consecuencia, lo que inicialmente conocíamos de la realidad de los riesgos empresariales, se desdibuja rápidamente, dejando de un lado las certezas en las que creemos, para darle paso a la incertidumbre, como el nuevo insumo de las estrategias corporativas, donde se introduce la “idea peligrosa” de la “antifragilidad” (TALEB 2013) como ese proceso de entender y alimentarse de la aleatoriedad, el azar, los errores y las fallas como forma de fortalecer su posición en el entorno de negocios y sobrevivir aún las amenazas se materialicen en el ejercicio y aplicación de su modelo de generación de valor.

Esto es, consultar los estudios de entorno disponibles, las tendencias que se identifican en los mercados emergentes, pero como anota TALEB (2013, pág.217) de Steve Jobs, “no fiarse de los estudios de mercado ni de los grupos de sondeo y dejarse guiar por su imaginación”, buscando navegar en los eventos inesperados, con el fin de “domesticar” la incertidumbre, lo que se traduce en: “reducir los riesgos perjudiciales y mantener el beneficio de las posibles ganancias” (Idem, pág. 214)

Por tanto, el futuro de los encargados de la seguridad de la información, o mejor de la inseguridad de la información, estará en aprender tanto como puedan de la fallas y/o vulnerabilidades conocidas, para que en el ejercicio de establecer el modelo de protección de información empresarial, encuentre nuevas formas de comprender las ventajas de los riesgos inherentes y emergentes (CANO 2013) de las propuestas de aseguramiento en las personas, los procesos y la tecnología.

Lo antifrágil en las personas

Si bien la exigencia actual para los Chief Information Officers (CIO) en el mundo, es como mínimo, proveer y mantener servicios excelentes de información, tecnología y comunicaciones a precios competitivos (WEILL y WOERNER 2013), no así es la exigencia para los Chief Business Information Security Officers (CBISO). (CANO 2012)

La responsabilidad y demanda de los niveles ejecutivos para el oficial de seguridad de la información no es consistente con el mundo que debe conocer y anticipar. Mientras la alta gerencia quiere un ambiente tranquilo y controlado frente a las amenazas del entorno empresarial, la realidad para el ejecutivo de la seguridad de la información le enseña que sólo la inestabilidad y lo imprevisto es lo que manda en el ejercicio de su labor.

En este sentido, las personas y sus actividades, sus percepciones y motivaciones establecen la realidad de los modelos de protección de la información. Por tanto, cuando se trata de establecer niveles de aseguramiento de prácticas de resistencia a los ataques, sólo es viable comprender con claridad las mismas, cuando los eventos adversos se han materializado, es decir, cuando la inseguridad de la información, nos enseña y advierte que aún tenemos mucho que aprender.

Cuanto más dolor se sienta por una pérdida y/o fuga de la información, mayor será el dilema de control que enfrente la organización. Esto es, querrá conocer los detalles del flujo de información técnica que tienen los mecanismos de seguridad informática, su nivel de aseguramiento y efectividad para detener futuros ataques. Sin embargo, esta preocupación durará poco, pues al “delegar la protección” en la vista de la tecnología, nuevamente se expone a situaciones que pudiesen ser peores a las que ya han ocurrido.

Como quiera que tendemos a “relajarnos” y al “confort” cuando no somos estresados por condiciones ambientales adversas, nuestra capacidad de acción frente a situaciones críticas, se reduce y no podemos capitalizar la disrupción, como fuente de “desaprendizajes” para hacer más resistente nuestra estrategia de anticipación a los riesgos emergentes.

Así las cosas, en el ser humano se hacen realidad todas las razones y sinrazones de la protección de la información. Podemos desarrollar la capacidad para asegurar sus comportamientos, pero no asegurar su compromiso para efectuar dicho ejercicio. En consecuencia, se hace necesario comprender de manera personal la severidad de una falla seguridad de la información, no como forma de motivar su compromiso, sino como una estrategia para promover el sentido de alerta permanente, que incentive sus acciones preventivas sabiendo que la inevitabilidad de la falla siempre está presente en todas sus actividades.

Esto significa que el riesgo residual que aceptamos, nos habla del nivel de exposición que podemos tener frente a una falla, es decir, las actuaciones que podemos tener frente a la materialización de la inseguridad de la información. A mayor aceptación de riesgo residual, menor valoración de futuros incidentes e impactos de ante las fallas, lo que necesariamente nos dice que a menor aceptación de este riesgo, mayor sensibilidad a los incidentes e impactos de los mismos.

En consecuencia, hacer resistente a los incidentes de seguridad de la información a las personas, implica mantener un “mínimo de paranoia debidamente administrada”, es decir, que no tenga “ansiedad por el futuro y las vulnerabilidades emergentes”, y que igualmente no “subestime las condiciones actuales de su operación”.

Lo antifrágil en los procesos

Cada vez más los procesos empresariales cruzan las fronteras físicas de las organizaciones. Empiezan en las oficinas reales de la empresa y terminan en comunicaciones digitales, en servidores distantes, que generalmente no sabemos dónde se ubican o bajo qué condiciones operan, claro está, muchas veces confiando en las prácticas de quien las opera y administra.

En este contexto, la incertidumbre es la forma natural en la que las organizaciones trabajan con sus terceros, confiando en la promesa de valor de sus socios estratégicos y aprendiendo a crear prácticas, que a diferencia de los que sugiere la sabiduría convencional, no busquen la serenidad y predictibilidad de la operación, sino la preparación permanente y constante para enfrentar la materialización de riesgos conocidos y desconocidos.

En la medida que los procesos de las empresas, aprenden sobre la inestabilidad del entorno donde operan, son capaces de reconocer las trazas de la inseguridad de la información, para disminuir las consecuencias de la materialización de eventos contrarios y aumentar su resistencia para entender y confrontar eventualidades mayores. Esto no hace referencia a la característica de resiliencia, sino a la forma como el proceso se preparar para comprender e interiorizar la falla, para rediseñar su propia dinámica interna y aumentar su capacidad de respuesta ante lo inesperado.

El valor de la información como un activo y la alta interconectividad de las empresas a través de los móviles, las redes sociales y la computación en la nube, genera un escenario potencial de falla que se hace necesario analizar y entender, no para inhibir las potencialidades de la empresa, sino para capitalizar las oportunidades que esta realidad le propone, disminuyendo los impactos de la materialización de la inevitabilidad de la falla.

Así las cosas, la información en los procesos actuales de las empresas deberá pagar una cuota de sacrificio o dicho en términos de riesgos, contar con una tolerancia conocida a la falla, que implica reconocer en cada interacción la posibilidad del error y la revelación de vulnerabilidades. Esto es, en la medida que podamos hacer fallar el proceso, “mayor será el papel de la opcionalidad”, haciendo de cada momento en su ejecución, una forma de entender la no linealidad de las operaciones y por tanto, la capacidad para absorber y contener los efectos de la materialización del riesgo.

Lo antifrágil en la tecnología

Anota, TALEB (2013, pág.365) “Cuando no podemos expresar con exactitud lo que algo es, sí podemos decir mucho sobre lo que no es”, dicho en otra forma, muchas veces la forma de aclarar un término es definir su negación (SPRAGUE, STUART y BODARY 2010), pues de esta manera podemos explorar aquellas características que establece su opuesto, nutriendo necesariamente lo que podría llegar a ser la definición de su positivo.

Por tanto, la sabiduría en el ejercicio del estudio de la inseguridad de la información, no está en la capacidad de predecir las asimetrías que pueden generarse en la puesta en operación de una determinada estrategia de protección de información, sino en el diseño de un sistema que genere mayor o igual variedad de momentos de falla, que prepare a la organización para actuar frente a la misma, sin la angustia de la paranoia desbordada y con la tranquilidad de quien está alerta a los cambios inesperados.

Así las cosas, hablar de infraestructuras de TI seguras, es una ilusión que recaba sobre un supuesto incorrecto que dice que la seguridad de la información es una función que busca la tranquilidad en una zona controlada, cosa que es contraria a la realidad. En este escenario, la seguridad de la información será mayor en la medida que la inseguridad de la información pueda generar y manifestar opciones para estresar las propuestas de protección, las cuales no serán confiables hasta que las mismas no tengan la capacidad de resistir de manera permanente los casos de mal uso.

En este sentido, la mente del atacante y su vista no lineal de la realidad, nos permite explotar la fragilidad inherente de la tecnología, la cual se diseña y construye bajo supuestos de uso y no de mal uso. La vista desprevenida de los “chicos malos” es capaz de revelar la inevitabilidad de la falla de la infraestructura bien por una relación no prevista, un parámetro no considerado o introducción de anomalías que son inesperadas tanto para el hardware o el software.

Construir infraestructuras de TI seguras, requiere una vista enriquecida desde la inseguridad de la información, para establecer una postura de falla confiable que, reconociendo su debilidad inherente, es capaz de asumir la falla, haciendo menos dolorosa la experiencia de la misma, motivando un ejercicio de análisis y aprendizaje por parte de los analistas de seguridad de la información; más allá de un modelo de riesgos y controles, que privilegie las posibilidades de error y haga más resistente a los ataques la infraestructura disponible.

La fragilidad propia de la tecnología, llena de errores desde el diseño y aún más en su implementación, debe ser la motivación de los analistas de la “inseguridad de la información” para crear entornos hostiles y divergentes que preparen a los perímetros porosos de seguridad, para enfrentar la curiosidad y mente abierta del atacante y así, sobrevivir a la materialización de los riesgos actuales y emergentes que ponen a prueba la capacidad de anticipación que las empresas puedan tener frente a eventos inesperados.

Balancear lo frágil y lo antifrágil de la protección de la información

La información es frágil por naturaleza, como lo es el agua y otros tantos elementos en la naturaleza, que permiten efectos contrarios sobre éstos y aún así se mantienen vivos y activos.

Esta particularidad de la información, de absorber tanto lo positivo como lo no positivo, y su capacidad de restauración propia, es la característica que los analistas de la inseguridad deben conocer y explotar. Mientras los estándares de seguridad de la información, tratan de modelar la complejidad de la inevitabilidad de la falla, a través de controles definidos, los cuales deben ser ejecutados de manera “perfecta” (LAMBRINOUDAKIS 2013), las vulnerabilidades responden y siguen la corriente de las relaciones y acciones no lineales e imperfectas, que potencian virtudes (o fallas) de la información tanto en las personas, los procesos y la tecnología.

En este sentido, los estándares o prácticas de los organismos de estandarización deberían diseñar programas que habiliten a los analistas para crear condiciones límite y adversas sobre los sistemas de gestión, no para su aseguramiento, sino para crear situaciones en las cuales es inevitable la falla y crear un escenario incómodo psicológicamente frente a la sabiduría convencional de la protección, abriendo el espacio para las posibilidades más que para las probabilidades.

Por tanto, diseñar un modelo de protección de la información tradicional basado en riesgos y controles, es retar a la incertidumbre para que tome el control de aquellas situaciones no previstas y doblegar la esperanza de seguridad y control que supone el mismo. Esto es, mantener una capacidad limitada de acción frente a la falla e incrementar la incapacidad de la organización para hacerse resistente a las vulnerabilidades conocidas o desconocidas.

Elaborar un modelo de seguridad y control, basado en la antifragilidad misma del sistema que protege, esto es en el azar, los errores, la imprevisibilidad, los comportamientos no lineales y manejar los impactos de la combinación de éstos, alimenta la curiosidad y resistencia del modelo, que claramente será contrario a lo que espera un ejecutivo de alto nivel de empresa, pero estará alineado con la realidad misma, donde la incertidumbre es el referente natural para su acción.

Como quiera que el marco referencial y preponderante de lo positivo y conocido se encuentra arraigado en el colectivo empresarial y personal, se hace necesario abrir espacios de diálogo con lo asimétrico, incierto y desconocido para mantener el ejercicio de protección de la información, con un lenguaje que movilice los esfuerzos preventivos a nivel empresarial y creativos a nivel personal.

Si bien el concepto de antifragilidad, no es una invitación a mantenernos en el caos y la improvisación, si es una postura que nos advierte sobre la comodidad de lo conocido y sus consecuencias, un ejercicio que motiva la creatividad para crear una cultura de seguridad de la información saludable (LACEY 2009), es decir, aquella incorpora la inevitabilidad de la falla como parte natural de lo que la gente cree, promueve la generación de escenarios de riesgo como parte de lo que las personas hacen y se prepara para superar las situaciones críticas e inesperadas como parte inherente de lo que los individuos ven.

Así pues el balance entre lo frágil y lo antifrágil en seguridad de la información, es entender la necesidad de certidumbre de la gerencia sobre el control de la información y contraponer dichos intereses frente su capacidad de resistencia y aprendizaje ante situaciones inesperadas, aleatorias y no lineales que potencian tanto oportunidades como nuevas amenazas.

Referencias

ARTHUR, W. B. (2011) The second economy. Mckinsey Quarterly. October. Disponible en: http://www.mckinsey.com/insights/strategy/the_second_economy (Consultado: 24-08-2013)

WEILL, P. y WOERNER, S. (2013) The future of the CIO in a digital economy. MIS Quarterly Executive. June, No.12, Vol.2.

LACEY, D. (2009) Managing the human factor in information security. John Wiley & Sons.

TALEB, N. N. (2013) Antifrágil. Las cosas que se benefician del desorden. Paidos

CANO, J. (2013) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Blog IT-Insecurity. Junio. Disponible en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html (Consultado: 24-08-2013)

CANO, J. (2012) El futuro de la inseguridad de la información. El arte de imaginar lo inesperado. Blog IT-Insecurity. Agosto.  Disponible en: http://insecurityit.blogspot.com/2012/08/el-futuro-de-la-inseguridad-de-la.html (Consultado: 24-08-2013)

HOWARD, C., PLUMMER, D., GENOVESE, Y., MANN, J., WILLIS, D. y MITCHELL, D. (2012) The nexus of forces: social, mobile, cloud and information. Gartner Research. Disponible en: http://www.gartner.com/id=2049315 (Consultado: 24-08-2013)

LAMBRINOUDAKIS, C. (2013) Evaluating and enriching information and communication technologies compliance frameworks with regard to privacy. Information management and computer security. Vol.21. No.3

SPRAGUE, J., STUART, D., y BODARY, D. L. (2010). The Speaker´s Handbook. Wadsworth: Cengage Learning.

Incorporando la ventana de AREM. Repensando la gestión de riesgos empresariales

Introducción

Los fundamentos de la administración de riesgos tradicional poco a poco se han venido debilitando frente a la dinámica, incertidumbre y ambigüedad de los entorno de negocio. Lo que antes era medianamente era viable anticipar, ahora es prácticamente imposible establecer un análisis certero que permita ofrecer orientación y claridad sobre qué hacer frente a una situación particular.

Esta condición se confirma en las lecciones aprendidas expuestas en el libro “Surviving and Thriving in uncertainty. Creating the risk intelligent enterprise”, cuyos autores Frederick Funston y Stephen Wagner, consultores expertos y de amplia experiencia en el mundo empresarial, establecen como fuente para proponer un cambio en la forma de enfrentar el ejercicio de la gestión de riesgos empresariales.

Los autores declaran tres elementos fundamentales de la gestión de riesgos actual como punto de partida para desarrollar su vista de riesgos inteligentes empresariales, propuesta que desarrollan a lo largo de su publicación. Los elementos expuestos son: (FUNSTON y WAGNER 2010, pág.23)

• El manejo convencional de riesgos, como cualquier forma de pensamiento tradicional, se basa en una serie de supuestos y la comprensión aceptada de cómo funciona el mundo.
• Los individuos y las organizaciones tienden a rechazar automáticamente las nociones que parecen contradecir sus supuestos y su comprensión de cómo funciona el mundo.
• Existe un proceso predecible y natural por el cual las personas aceptan nuevos supuestos y aceptan una nueva comprensión de cómo funciona mundo: primero el rechazo de la idea, luego su consideración, y finalmente, la aceptación.

Con esto en mente, es claro que motivar una transformación de la forma como entendemos los riesgos, pasará por un filtro conceptual y mental que deberemos superar, para poder incorporar las nuevas realidades emergentes, que posiblemente no veamos ni entendamos, pero que con seguridad serán tema de un futuro próximo, que se empieza visualizar en medio de los patrones de actividades del mundo actual.

Mientras la gestión de riesgos convencional busca crear vistas especializadas de las circunstancias analizadas que presentan una vista segmentada de la realidad empresarial, los autores, definen una forma integrada de los análisis realizados para lograr superioridad en las decisiones y éxito competitivo, lo que denominan riesgos inteligentes.

Los autores acuñan la expresión riesgos inteligentes, considerando que “la inteligencia es la habilidad para anticipar, comprender, actuar y aprender de la experiencia. De igual forma que una Unidad de Inteligencia es la responsables de recolectar e interpretar la información para producir “luces claves” para los que toman decisiones. Por tanto, la inteligencia son dos cosas al tiempo: un proceso y una capacidad”. (Idem pág.47)

En este contexto, participar del ejercicio de riesgos inteligentes demanda: (idem, pág.46-47)

• Comprender que las discusiones sobre riesgos y valor son inseparables de la gestión empresarial.
• Asumir que las turbulencias son inevitables y por tanto, enfatiza en la prevención y preparación corporativa.
• Considerar las interacciones entre los múltiples riesgos más que focalizarse en uno en particular o un evento y revisar los impactos que pueden resultar de las múltiples amenazas.
• Crear un lenguaje común y un conjunto de métricas para el valor y los riesgos, así como la cultura en la cual las personas se responsabilizan por éstos en cada decisión y actividad.
• Motivar el asumir riesgos para capitalizar oportunidades y crear valor para la empresa, en lugar de tener una vista eminentemente de evitar los riesgos por miedo al fracaso.

Esta nueva vista del ejercicio de gestión de riesgos empresariales, debe motivar la generación de ideas creativas y consideración de oportunidades, más que “miedos corporativos” para atravesar las inestabilidades de los mercados, que en cada momento retan los modelos conocidos de los analistas y sus más acertados consejos.

Incorporando la Ventana de AREM

La ventana de AREM, surge como una forma diferente de motivar una reflexión sobre el escenario de análisis que se seleccione, con el fin de movilizar a las empresas fuera de su zona de confort frente a los riesgos, para sumergirla más allá de las condiciones actuales conocidas de su entorno y motivar una nueva vista de la empresa, tanto en su sector de negocio, como más allá de aquello que ella conoce y su entorno le manifiesta.

Como quiera que para adelantar este ejercicio renovado de riesgos, se hace necesario contar con personas especialistas en el tema, así como de personas fuera del dominio de estudio, de los ejecutivos de negocio y de personal externo a la empresa (si es posible), es importante documentar bien la sesión de trabajo, trayendo a la mesa de trabajo, aquellas situaciones que actualmente se advierten fruto del ejercicio tradicional de riesgos, que es donde iniciará la revisión de la problemática, para ir avanzando a los siguientes cuadrantes de la ventana.

Es importante anotar, que los profesionales que participen del ejercicio de la ventana de AREM, cuyo objetivo es ampliar la capacidad de conocimiento del entorno y facilitar una toma de decisiones informada sobre las oportunidades y retos del tema analizado, deben tener la seguridad psicológica y real que sus comentarios serán tomados como expresiones de cómo “conectar los puntos” para ver más allá de los hechos y eventos, y no como forma de atacar una forma de pensar particular, que genere contradictores que impidan que se movilicen las ideas y propuestas que deben salir de la sesión.

	Conocido por la empresa	Desconocido por la empresa
Conocido por el entorno	AMENAZAS Y RIESGOS CONOCIDOS	AMENAZAS Y RIESGOS LATENTES
Desconocido por el entorno	AMENAZAS Y RIESGOS FOCALIZADOS	AMENAZAS Y RIESGOS EMERGENTES

La ventana de AREM (Tomado de: CANO 2013)

La ventana de AREM debe motivar a los participantes a “pensar fuera de la caja” y fortalecer las lecturas conexas de los múltiples riesgos identificados, para comenzar a mover las reflexiones desde el cuadrante de lo conocido, hacia aquello que es latente, es decir, aquello que no es evidente en el momento, pero que existen condiciones y señales en el ambiente que establecen patrones de actividad, que advierten de una situación que aparece como irrelevante, pero que existen suficientes elementos para tenerla en consideración en los análisis.

Aquellos participantes que han identificado estas nuevas aproximaciones del entorno, deben comentar y documentarlas de tal forma que describan con la mayor claridad su vista y establecer, un proceso de revisión y validación con un equipo de trabajo especializado para establecer allí sus análisis detallados y luego traerlos a la mesa, una vez se hayan estudiado.

De otra parte, los especialistas de negocio y analistas de mercados, hacen lo propio frente a los riesgos focalizados, para lo cual reconocen la nuevas tendencias de la industria relacionadas con la temática revisada, así como elementos a saber regulaciones, nuevas prácticas, estándares, movimientos políticos, sociales o empresariales, que son percibidos por la competencia en su sector o que se manifiestan como temáticas relevantes dentro de los círculos de influencia de la industria.

La consulta de los principales proveedores de la industria y analistas externos de su sector, así como estudios sectoriales son elementos relevantes para establecer aquellos elementos que son emergentes en su área de negocio, para mantenerse competitivos y con ventaja sobresaliente, siempre y cuando pueda anticiparse a las mismas o lo que es mejor, que sean sus acciones y actividades las que crean las nuevas condiciones de su entorno de negocio.

Luego de revisados y analizados los resultados en cada uno de los cuadrantes, queda expuesta la síntesis de los riesgos identificados y sus planes de tratamiento para avanzar y anticiparse a los impactos que éstos puedan tener en los planes de la empresa, en el mediano y largo plazo. Sin embargo, aún no está completo el ejercicio faltando el momento para cuestionar nuestro entendimiento actual de los riesgos y el marco conceptual en el cual han sido concebidos para evidenciar las discontinuidades y saltos inesperados de las tendencias actuales, para lo cual se hace necesario abrir el espacio a las posibilidades y dejar de pensar en las probabilidades, ampliamente conocidas para los ejercicios tradicionales de riesgos.

En el sector de amenazas y riesgos emergentes, se requiere contar con habilidades particulares de aquellos que son capaces de: (FUNSTON y WAGNER 2010, pág.74)

• Ver los cambios que vienen
• Comprender las implicaciones de dichos cambios
• Anticipar la trayectoria de los cambios

Es decir profesionales que están dedicados a vigilar y correlacionar eventos inesperados, variables asimétricas del entorno y comportamientos socio-económicos inadvertidos, tecnologías disruptivas, así como cambios en las preferencias de los diferentes grupos de interés, que permitan animar nuevas reflexiones sobre las implicaciones que se pueden generar para la organización y sus planes de mediano y largo plazo.

Las ideas que se presenten en este sector de la ventana serán el trasfondo del conocimiento de la realidad empresarial, un lugar donde buscar nuevas forma de crear valor en la empresas, es decir, para diseñar nuevos activos no documentados, así como impactos aún no dimensionados, que para algunos podría denominarse un posible “cisne negro” que pueda tener implicaciones bien positivas o devastadoras para la organización.

Terminado el recorrido por cada uno de los segmentos de la ventana de AREM, se establecen los riesgos y amenazas emergentes más relevantes para los asistentes del ejercicio, los cuales serán documentados por cada uno de los grupos de trabajo establecidos para cada cuadrante, quienes ahora deberán desarrollar las estrategias de tratamiento de los mismos y entregar una vista consolidada de cada segmento de la ventana, para que la empresa cuente con acciones concretas y análisis claves para documentar sus decisiones.

Ajuste y revisión del ejercicio realizado

Considerando la evolución de un entorno volátil, incierto, complejo y ambiguo, es clave poder revisar los resultados del ejercicio realizado con la ventana de AREM, al menos cada seis (6) meses (los que puedan hacerlo cada trimestre, sería lo ideal) con el fin de actualizar sus reflexiones para lo cual se siguen los siguientes postulados.

• 1.      Los riesgos y amenazas latentes ahora hacen parte de los riesgos y amenazas conocidas. Esto es, se motiva a la organización a incorporarlos dentro de sus revisiones de riesgos conocidos para que se obligue a contar con planes de tratamiento que anticipen sus efectos y así la organización pueda movilizarse aún las situaciones sobrevinientes puedan impactar la operación de la empresa.
• 2.      Los riesgos y amenazas emergentes mejor estudiados y documentados, pasan al sector de riesgos y amenazas latentes, con el fin de motivar una revisión con analistas de negocio y grupos de interés empresariales, para evaluar la pertinencia de los mismos en el contexto de los planes de mediano y largo plazo de la organización. Mientras no se tengan claros los análisis de los riesgos latentes, permanecen en observación hasta que se tenga mayor claridad de forma de tratamiento.
• 3.      Los riesgos y amenazas focalizados deben nutrirse de los riesgos latentes y los emergentes para identificar “puntos ciegos de la industria”, “nuevas aplicaciones de conceptos en la industria”, “movimientos sociales inesperados”, “noticias relevantes que afecten la posición estratégica de la empresa” y “cambios políticos notables que generen nuevos cuerpos normativos” como aspectos básicos de sus revisiones.
• 4.  Los riesgos y amenazas emergentes deben estar animados de al menos tres capacidades y procesos claves: (FUNSTON y WAGNER 2010, pág.83)

a.  Detección de señales para percibir potenciales cambios relevantes. Una habilidad que combine la exploración del entorno y sensibilidad para escuchar, percibir, observar e interpretar las señales, bien como aspectos funcionales o de negocio que quiebren el entendimiento actual de lo que conocemos.

b.   Interpretación de las señales que permitan identificar tanto amenazas como oportunidades. Es decir, poder crear un radar empresarial que no solo vea los puntos en el plano, sino que pueda identificar con otras herramientas los movimientos de los puntos, sus trayectorias y posibles motivaciones de los mismos.

c.  Comunicación de las señales identificadas e interpretadas que permitan abrir espacios en las conversaciones empresariales para motivar reflexiones y análisis pertinentes y propios de la tolerancia al riesgo corporativa, los mecanismos de reporte ejecutivo, los criterios de valoración de riesgos y del lenguaje actual de la empresa frente a sus ventajas competitivas.

• 5.      La ventana de AREM no debe sobrecargar de información las revisiones de los riesgos empresariales y debe evitar generar “angustia por el futuro”, sino motivar una reflexión práctica y aplicada de la realidad empresarial, sin subestimar las tendencias que el ejercicio identifique como claves y relevantes para la soportar una toma de decisiones consciente e informada.

Siguiendo estos postulados la ventana de AREM generará una nueva capacidad de la empresa para crear un análisis de escenarios que combine lo mejor de la creatividad de sus analistas, así como la claridad y realidad de los ejecutivos frente a los retos de la empresa, que permita repensar las metas empresariales más allá de una eminente vista de mitigación de riesgos, para capitalizar las oportunidades que se advierten en la nube de amenazas y riesgos emergentes.

Reflexiones finales

Bien sabemos que podemos planear nuestra reacción frente a la inevitabilidad de la falla, pero no para aquello que es impredecible o inesperado; en este sentido las decisiones sobre los riesgos empresariales deben estar animadas por el conocimiento de aquellos aspectos que puedan afectar las operaciones y actividades que afecten particularmente la generación de los activos que posicionan a la corporación, como quiera que éstos últimos, hacen viable la estrategia y motivan la competencia en su sector de negocio.

En este sentido, podemos advertir que nuestros modelos mentales actuales generan una visión limitada de los riesgos y amenazas emergentes que afectan la capacidad empresarial para reconocer patrones emergentes que pueden perturbar bien de manera positiva o negativa la dinámica empresarial de una organización. Habida cuenta de lo anterior, se hace necesario contradecir los supuestos corporativos y la forma como ésta entiende el mundo, para sacarla de la zona de confort donde se encuentra e indicarle que es posible tener una forma diferente de entender tanto la industria como su contexto de negocio.

Así las cosas, la ventana de AREM establece una nueva forma de canalizar las reflexiones y discusiones de los riesgos empresariales fuera de la zona conocida y establecer una serie de ejercicios de análisis que amplíen la capacidad de la organización para reconocer su entorno, así como de fortalecer su proceso para consolidar la toma de decisiones informadas, que permitan a la empresa andar sobre territorios desconocidos, con una vista proactiva sobre las oportunidades y amenazas aumentada y proactiva que le proporcione margen de acción frente a las eventualidades.

Si bien la gestión de los riesgos pretende aumentar las posibilidades de supervivencia y éxito de las organizaciones, aún bajo situaciones extremas y de incertidumbre, ésta no lo podría lograr sino mantiene en su radar aquellos aspectos que no permiten lograr los objetivos, alcanzar el desempeño esperado y conquistar los resultados requeridos. En este contexto, la ventana de AREM, es una estrategia complementaria para motivar el cumplimiento de los objetivos estratégicos y tácticos de la organización sabiendo que existen formas para hacer que las cosas pasen.

Los riesgos y amenazas empresariales no deben ser fuente de “temores” frente a las exigencias cambiantes del entorno de negocio, sino la motivación para crear una plataforma de confianza inteligente que movilice una cultura institucional que cuestione la “falsa sensación de seguridad” como insumo permanente para cuestionar los estereotipos corporativos de las empresas exitosas y descubrir el arte de las organizaciones que aprenden, es decir:

Aquellas “que no temen equivocarse, saben invertir en los errores de las personas, y no encuentran en éstos formas de castigar y someter, sino insumos para afinar lo que en el futuro próximo será la nueva forma de desequilibrar su entorno. Aprender supone, declarar que no sabemos, pensar en las posibilidades y no en las probabilidades, pues sólo en el campo de la sabiduría del error, está la espiral de conocimiento disponible para crear una ventaja competitiva sostenible.” (CANO 2013b)

Referencias

FUNSTON, F. y WAGNER, S.  (2010) Surviving and Thriving in uncertainty. Creating the risk intelligent Enterprise. John Wiley and Sons.

CANO, J. (2013) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Blog IT-Insecurity. Disponible en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html (Consultado: 14-07-2013)

CANO, J. (2013b) El riesgo de aprender. Blog Frase de la Semana. Disponible en: http://frasedelaseman.blogspot.com/2013/07/el-riesgo-de-aprender.html (Consultado: 14-07-2013)