Dos. Gestión de la inseguridad de la información

Escrito por  Lunes, 09 Junio 2014 20:57

De una mentalidad táctico-operativa a una estratégico-defensiva.

En un mundo hiperconectado, de economía digital, de información instantánea, de múltiples identidades y cambios inesperados, el reto de la protección de la información es una realidad que exige mantener un balance entre la versatilidad de las tecnologías, las exigencias de los usuarios y el aseguramiento de la información -no tanto por su acceso, como por su uso- (Chinn, Kaplan y Weinberg 2014). En este escenario, cualquier iniciativa que se proponga para un adecuado tratamiento de la información deberá sujetarse a tres características, que las organizaciones demandan para aprovechar las oportunidades del entorno y sintonizar sus exigencias de cumplimiento normativo: liviana, sencilla y efectiva – LSE.

En este sentido, sabiendo que los mecanismos tradicionales de control serán superados, la fuga de información sensible se va a presentar y, cada vez más, el área de TI pierde el control de los dispositivos que se conectan o consumen servicios (MacDonald 2013); tenemos que acostumbrarnos a suponer que el atacante ha comprometido nuestras defensas. Es decir, es necesario destruir la falsa sensación de seguridad que hemos construido alrededor de nuestros controles, para mantener una postura de monitoreo y respuesta activa que nos permita mantener el nivel de riesgo residual que hemos declarado.

En consecuencia, de acuerdo con Kindervag y Shey (2012), la brecha de seguridad entre los nuevos métodos de ataque y los controles tradicionales continúa a favor de los atacantes.

De acuerdo con lo anterior, el surgimiento de organizaciones criminales formalmente establecidas, algunas veces patrocinadas por Estados, establecen desafíos importantes para las organizaciones y naciones, toda vez que las motivaciones y objetivos de sus acciones requieren, no solamente utilizar herramientas conocidas, sino el desarrollo de nuevas con diferentes alcances y matices, los cuales alimentan la entropía de la inseguridad, superando las reflexiones actuales de los analistas de seguridad de la información.

De otra parte, el concepto de perímetro, heredado de las buenas prácticas de seguridad física y de la guerra tradicional, se desvanece con la incorporación acelerada de los dispositivos móviles. La apropiación y el uso intensivo de la movilidad representan un motivador altamente atractivo para las empresas, como quiera que facilitan el acceso a aquello que se requiere y la interacción oportuna con un contacto clave. Sin embargo, configuran un perímetro poroso, en el que  no es fácil distinguir quién es, qué está haciendo y desde dónde.

Así las cosas, el concepto de detección se debilita frente al nivel de sofisticación de los ataques, a la capacidad de los atacantes para mimetizarse entre diferentes tipos de vectores de ataque, a los diversos recursos usados para enumerar, analizar, comprometer, destruir y tomar control, para retomar el concepto de defensa, que no es otra cosa que la capacidad que debe desarrollar una organización o infraestructura, para hacerse resistente a los ataques y aprender de ellos.

Incorporando nuevas técnicas de operación

Lo anterior exige nuevas disciplinas de operación en la seguridad de la información, que incorporen y desarrollen el concepto de inteligencia, engaño, contrainteligencia, agentes encubiertos, entre otros; muy propios de los cuerpos militares, como prácticas extendidas de los conceptos de seguridad de la información, que ahora juegan en un nuevo escenario de confrontación propuestos por los atacantes, lo que se ha denominado el ciberespacio.

Por tanto, las habilidades y competencias de los oficiales de seguridad de la información, deberán ajustarse para comprender este nuevo escenario de actuación, que no solamente les exige conocer lo que ocurre en su propio dominio, sino reconocer la nueva realidad extendida, persistente, avanzada y silenciosa de los enemigos digitales que van a comprometer sus defensas, engañarlos con sus propios controles y esconderse dentro de su propio patio.

Esto significa que la seguridad de la información debe regresar a lo fundamental, a la esencia que la motiva y la guía, la información y las personas. En consecuencia, las estrategias que se planteen en este “nuevo teatro de operaciones” deberán moverse: (MacDonald 2013)

 

DE UN:

A UNO:

Modelo centrado en la tecnología

Centrado en la información

Modelo de control centralizado

Centrado en la persona

Modelo centrado en procesos

Centrado en monitoreo y respuesta activa

Modelo de correlación de eventos

Centrado en inteligencia y defensa activa

 

Tabla No.1Cambios en la práctica de la seguridad de la información

Habida cuenta de lo anterior, moverse tan rápido como los cambios tecnológicos y las asimetrías de la dinámica de los negocios, demanda del ejecutivo de seguridad de la información, comprender lo importante de aquello que requiere proteger la empresa y motivar una propuesta de seguridad y control, liviana en su ejecución, sencilla en su operación y efectiva en su aplicación.

Para lograr lo anterior, el cambio sugerido requiere previamente un desarrollo en profundidad de una transformación de la cultura organizacional de seguridad de la información, que no solamente pregunte: “dígame que tengo que hacer”, sino “cómo lo hago de manera confiable”. Mientras la primera aseveración se entiende como una imposición, algo que se exige desde afuera, la segunda es una afirmación y convencimiento propio que ha conectado lo que la persona cree, hace y ve.

En este entendido, las personas se convierten en cuerpos de defensa digital entrenados para resistir diferentes escenarios, con la claridad de que en algún momento, el incidente o la brecha se van a presentar.

Esto es, la construcción de una inteligencia colectiva, basada en una doctrina de protección, que de manera conjunta y coordinada sea capaz de responder y notificar patrones anormales de acciones, tanto informáticas como físicas.

Lo anterior significa que debemos desarrollar un enfoque de gestión de riesgos enriquecido, que incluya la disuasión y la defensa, los servicios críticos y los costos de protección, que permitan no solamente tratar los riesgos conocidos, sino que dicho ejercicio se enriquezca con los riesgos latentes, los focalizados (de su industria) y los emergentes. (Hathaway, 2014, Cano 2013)

 

Repensando el enfoque preventivo

Por tanto, el llamado permanente de la prevención, que ha sido el enfoque tradicional de las auditorías, se debe revisar ante las amenazas elaboradas y sofisticadas, de las cuales son víctimas las organizaciones hoy.

No es suficiente mantener concientizadas a las personas sobre el tratamiento de la información; es necesario efectuar acciones informadas, que respondan a una estrategia coordinada para tomar control de la situación, con la claridad de los roles que intervienen y el alcance de los mismos.

Si bien en este escenario agreste y espinoso que tenemos hoy, no existe espacio para la comodidad o pasividad, sí debemos habituarnos a nuevas prácticas de seguridad y control que busquen una postura de falla segura, una capacidad de respuesta ante fallas, simulacros permanentes de fallas totales o parciales, operaciones informáticas encubiertas, que mantengan la atención y afinen nuestro olfato, para cerrar la brecha de la respuesta frente a eventos inesperados.

En síntesis, se puede anotar que estamos cruzando el umbral de una práctica de seguridad de la información basada en probabilidades y ciclos conocidos, a una basada en posibilidades y pronósticos de realidades inciertas, que busca complementar los referentes y estándares actuales.

 

Reflexiones finales

Como quiera que las fronteras del tratamiento de la información se expanden dentro y fuera de las empresas, es necesario cambiar la mentalidad táctica-operativa del responsable de seguridad, a una de pensamiento estratégico-defensivo, donde todo lo que ha aprendido, se convierta en insumo para anticiparse al siguiente escenario de riesgos y amenazas emergentes.

Si esto es así, el ejecutivo de seguridad de la información deberá esforzarse para pensar no solamente en aquello que puede ver y observar, en el ejercicio de su gestión sobre los activos críticos de una organización, sino advertir aquello que no se ve y que duerme en medio de los linderos conocidos, esperando no ser notado, para actuar cuando menos se espere.

Por tanto, convertirse en un estudiante y analista permanente de la inseguridad de la información, debe entrenar al ejecutivo de la seguridad de la información, para crear dudas en su adversario y desequilibrar a su favor las condiciones del juego de defensa y ataque.

Esta postura -por demás temeraria y disruptiva- demanda entender la seguridad de la información más allá de un formalismo de cumplimiento basado en controles, como una doctrina de combate estratégico donde, el oficial de seguridad de la información, esté dispuesto a violar sus propias contramedidas para hacer visible en la realidad de la operación, aquello que es invisible en la cotidianidad de la acción.

 

Referencias

[1] MacDONALD, N. (2013) Prevention Is Futile in 2020: Protect Information Via Pervasive Monitoring and Collective Intelligence. Gartner Research.

[2] KINDERVAG, J. y SHEY, H. (2012) Defend your business from the mutating threat landscape. Forrester Research.

[3] HATHAWAY, M. (2014) Advanced Research Workshop Findings. Publicado en HATHAWAY, M. (Ed.) (2014) Best Practices in Computer Network Defense: Incident Detection and Response. IOS Press.

[4] CHINN, D., KAPLAN, J. y WEINBERG, A. (2014) Risk and responsibility in a hyperconnected world: Implications for enterprises. Mckinsey Report. January. Disponible en:

http://www.mckinsey.com/insights/business_technology/risk_and_responsibility_in_a_hyperconnected_world_implications_for_enterprises (Consultado: 7-03-2014)

[5] CANO, J. (2013) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Publicación en Blog. Disponible en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html (Consultado: 7-03-2014)

 

Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Facultad de Derecho y profesor distinguido de la misma Facultad, Universidad de los Andes, Colombia. Ingeniero y Magíster en Ingeniería de Sistemas y Computación de ese mismo ente educativo.  Especialista en Derecho Disciplinario de la Universidad Externado de Colombia. Ph.D in Business Administration de Newport University, CA. USA. Executive Certificate in Leadership and Management de MIT Sloan School of Management, Boston. USA. Egresado del programa de formación ejecutiva Leadership in 21st Century. Global Change Agent, de Harvard Kennedy School of Government, Boston. USA. Profesional certificado como Certified Fraud Examiner (CFE), por la Association of Certified Fraud Examiners.

 

Califique este elemento
(0 votes)
Leido 5615 veces Modificado por ultima vez Domingo, 15 Junio 2014 21:45

Ingrese su comentario

Por favor confirme que ingreso la informacion requerida. Codigo HTML no esta permitido

EDICIÓN EN CIRCULACIÓN (131)

Patrocinadores Edición 131

        

Actividades Académicas

 

Sobre ACIS

La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Más información