lunes, 20 de diciembre de 2010

Predicciones en Seguridad de la Información 2011

Cada vez más se hace más exigente tratar de predecir qué pasará con las tendencias de la inseguridad en los años venideros, pues su movimiento no probabilístico y asimétrico, deja en evidencia al mejor analista, que trate de modelar sus inciertos patrones y describir las líneas poco visibles de su trayectoria.

Considerando lo anterior y con la alta probabilidad de andar por caminos insospechados, trataremos de hacer una visión propositiva sobre las variaciones y efectos de la inseguridad de la información considerando las tendencias actuales reportadas hasta el momento y que prometen seguir o variar en el 2011.

A continuación cinco predicciones de lo que puede pasar durante 2011 en temas de inseguridad de la información.

1. Bienvenida la era Post PC
Comenta el analista de Forrester Research, Andrew Jacquit, que cada vez más estamos pasando de la era del computador de escritorio a una computación móvil, ágil y sin fronteras. Definir la era Post PC es considerar dispositivos inteligentes pequeños, con sistemas operativos propios, con aplicaciones prácticas para tener acceso a la información en tiempo real y una lucha entre los diferentes proveedores de dispositivos móviles, que siempre buscan una mejor experiencia para el usuario, aún a costa de la seguridad de la información que se encuentra almacenada en el dispositivo o transita en medio de las redes a las cuales tiene acceso. En este contexto, de acuerdo con diferentes informes de seguridad se verá un incremento de la inseguridad en los dispositivos móviles, como un reflejo del impulso de las transacciones por este medio y el privilegiar una interacción en línea, virtual y sin intermediarios.

2. Repensando los modelos de confianza: Identidad centrada en los datos
El interés creciente en los retos de la nube y el acceso a la información disponible, así como el desafío de alcanzar una trazabilidad más certera y verificable sobre la información y sus transacciones asociadas, será un requerimiento cada vez más evidente. La necesidad de atender con claridad los requisitos de cumplimiento, obligará a las organizaciones a repensar sus modelos de confianza, ahora basados en el control de acceso efectivo y real sobre sus datos, lo que hará que las organizaciones reaccionen y comiencen a buscar formas integrales para darle mayor confianza a los ejecutivos sobre quién ingresa a sus locaciones físicas, qué se hace sobre sus sistemas de información y quién hace uso de los beneficios de la empresa. Para lograr este nuevo salto, las corporaciones deberán pasar por no tener una clara perspectiva de quién hace qué y ni cómo, momento donde los atacantes, conocedores de esta realidad, pondrán a prueba la forma como se reconstruyen las transacciones y retarán los mejores equipos de atención de incidentes e investigadores forenses en informática.

3. La ciberseguridad como estrategia gubernamental
Los recientes hechos internacionales donde se pone a prueba la respuesta técnica, diplomática y administrativa de las naciones, frente a ataques informáticos que afectan organizaciones y revelan información restringida de éstas, así como, la exposición de secretos industriales y ataques contra la propiedad intelectual de los países y sus nacionales, son eventos que no han pasado inadvertidos por los estados, razón por la cual se vienen tomando medidas que permitan una acción más controlada y confiable frente a estos retos que muestra cada vez más el mundo interconectado. Todo esto necesariamente conlleva a una renovación de las tácticas y acciones de la seguridad nacional, que ahora concibe un estado extendido en las redes informáticas y unos ciudadanos digitales y móviles, que requiere atención por parte del estado y la generación de una paz digital frecuentemente amenazada por actores que quieren tomar ventaja o inclinar la balanza para su conveniencia. Así las cosas, 2011 será un año de revisión y consolidación de la ciberseguridad como parte de la gobernabilidad de una nación.

4. Explosión de la información: una realidad innegable
En un mundo donde la información se ha convertido en la moneda para tener acceso a múltiples escenarios y posibilidades, se advierte un riesgo inminente como es el de la pérdida de la privacidad. Mientras más se intercambia, registra y comparte información mayor es la huella digital que dejamos en la red, donde algunos inescrupulosos hacen mal uso de la misma. Tener huella digital en internet no es malo en sí mismo, es una forma de advertir una presencia en la red, que muestra tu grado de interacción y visibilidad que es posible alcanzar con un adecuado uso de los recursos disponibles. Sin embargo, desafiar el poder multiplicador y propagador de internet y sus sistemas conexos, cuando de compartir información se trata, sin medir las consecuencias de este acto, es despertar la furia del “Poseidon Informático” que se esconde en el mar de registros disponibles en internet, con lo cual tu vida, tus acciones y obras, serán objeto de revisiones, interpretaciones y actualizaciones algunas autorizadas y otras no, que dejarán entredicho si lo que haces corresponde o no con la realidad. Durante el año siguiente, las olas de información y los servicios implementados agitarán el mar de internet para generar nuevas mareas de pérdidas de privacidad y desequilibrios en el manejo y clasificación de la información.

5. De los logs a la ciberinteligencia
Si bien la información ha tenido una connotación importante para las organizaciones en más de una década, la pregunta es ¿qué están haciendo con ella? Para algunos la respuesta está en los modelos y avances en la generación de valor para los negocios con estrategias desequilibrantes y para otros, una manera de mantener los registros de las actividades de las empresas. Algunos investigadores hablan de inteligencia de negocios, como esa manera de explorar en los datos patrones y tendencias que te permitan ver comportamientos y acciones para responder de manera temprana a los mercados y otros, ven en los registros de información modelos históricos de eventos que hablan del pasado y de las lecciones aprendidas en el campo de batalla.

Así las cosas, el encontrar en la información una manera de anticiparse a los riesgos, una estrategia de validar y revisar tendencias, un forma de evidenciar las huellas del pasado y la generación de escenarios para predecir el futuro, es abrir la puerta a una nueva disciplina, que heredera de las tradicionales técnicas de inteligencia, es capaz de navegar en las aguas inestables de internet, para recabar propuestas innovadoras y anticipatorias que permitan estar un paso delante de los eventos, mostrar caminos alternativos para enfrentar a los mismos ciberdelicuentes y mantener una posición vigilante y privilegiada frente a los retos de los atacantes. Aunque este nuevo ejercicio de seguridad nacional e informática, aún está en sus inicios es bueno mantener la humildad y la distancia, pues sabemos que la inseguridad cuando menos lo esperemos nuevamente podrá sorprendernos.

Reflexiones finales
La seguridad de la información es un proceso exigente y dinámico que requiere la habilidad de sus responsables para mantener en movimiento su ojo crítico frente la dinámica de la inseguridad, no sólo para crear la sensación de confiabilidad requerida por los usuarios de las tecnologías, sino para que vinculando, a estos últimos en la conquista de la asimetría de la inseguridad, se construya de manera conjunta una distinción concreta y evidente de un ambiente controlado y confiable, mas no seguro.

Sólo nos queda observar el desarrollo del 2011, para ver cómo la inseguridad de la información nos sorprende y nos hace meditar nuevamente y así, pensar de manera distinta para abrirle la puerta a las posibilidades, esas que no son otra cosa que el insumo de la inevitabilidad de la falla, contexto que debe alimentar permanentemente el instinto y la mente del responsable de la seguridad de la información.

Referencias
PRICEWATERHOUSECOOPERS (2010) Revolution or Evolution? Information Security 2020. Disponible en: http://www.pwc.co.uk/eng/publications/revolution_or_evolution_information_security_2020.html (Consultado: 14-12-2010)

DELOITTE & TOUCHE (2010) Cybercrime: A clear and present danger. Disponible en: http://www.deloitte.com/assets/Dcom-UnitedStates/Local%20Assets/Documents/AERS/us_aers_Deloitte%20Cyber%20Crime%20POV%20Jan252010.pdf (Consultado: 14-12-2010)

JACQUIT, A. (2010) Security in the Post-PC Era. Forrester Research. Revisión del autor en: http://blogs.forrester.com/andrew_jaquith/10-10-15-whats_next_for_it_security_post_pc_devices (Consultado: 14-12-2010)

CANO, J. (2010) Fuga de la información. Revelando la inseguridad de la información en el factor humano. Disponible en: http://insecurityit.blogspot.com/ (Consultado: 14-12-2010)

KARK, K. (2010) The new threat landscape: Proceed with caution. Forrester Research. Disponible en: http://www.federalnewsradio.com/docs/The_New_Threat_Landscape.pdf (Consultado: 14-12-2010)

domingo, 12 de diciembre de 2010

Fuga de la información: Revelando la inseguridad de la información en el factor humano

Revisando la etimología de la palabra fuga, encontramos que viene de la palabra fugare (en latín espantar, hacer huir), deriva de fugere (huir), por esta razón en latín fuga significa las dos cosas: persecución y huída. (Tomado de: http://etimologias.dechile.net/?fugar)

Considerando el origen de la palabra en español y su origen latino, la fuga es un acto en el cual se da una huída y a la vez una persecución. Podría decirse que no existe la huída sin una persecución. Necesariamente el acto de huir, exige una causa que anima a una de las partes a desaparecer del escenario y tratar de evitar ser visto o identificado para hacer más exigente la persecución por la otra parte interesada.

Con los recientes acontecimientos relacionados con la fuga de información (en inglés infomation leakage) se revelan muchos de los secretos mejor guardados de las naciones y la agenda paralela que se mantienen entre los gobiernos para mantener los lazos diplomáticos y acuerdos estratégicos. Si revisamos con cuidado, lo que ha ocurrido, podemos tener diferentes lecturas y motivaciones para calificar los hechos, bien como la mayor brecha de seguridad que se haya realizado o un acto de real libertad de información.

En cualquiera de los dos casos tenemos una fuga de información, que necesariamente genera una persecución, bien por haber expuesto información clasificada como secreta o altamente secreta, o bien por publicar y mancillar la privacidad natural y propia de tanto de las personas naturales como jurídicas. En este contexto, todos tenemos cosas que sabemos son restringidas y propias de nuestra intimidad, que estamos dispuestos a preservar de la mirada de otros, no porque sean ilegales o prohibidas, sino porque hacen parte de nuestra realidad y personalidad muy propia. Por tanto, todas las acciones que emprendamos para defendernos ante esta situación estará justificada frente a la magnitud de los hechos, sabiendo que las consecuencias de estas acciones tendrán efectos a corto, mediano y largo plazo e impactos en la reputación y buen nombre de los involucrados.

Si nos remontamos a otras épocas (la famosa guerra fría) donde la inteligencia y el espionaje era la norma natural a través de la cual las naciones generaban su posición Info-estratégica, encontramos que todas las personas involucradas en estas actividades reconocían en la información una de las formas a través de la cual era posible anticiparse o tener una perspectiva ventajosa frente a situaciones inesperadas en el corto o mediano plazo. Estos ejercicios realizados en el contexto de la seguridad nacional daban mayores márgenes de maniobra o negociación ante situaciones críticas, mientras que en el escenario de la industria privada fue la manera de anticiparse a la crisis de los mercados, reconociendo el valor de los ejercicios prospectivos y de inteligencia competitiva como apalancadores de la visión y la administración de los riesgos de los negocios.

Cuando somos testigos de uno de los hechos más representativos de fuga de información de la última década, son múltiples las visiones y afirmaciones que se advierten, frente a un hecho que naturalmente ocurre, como bien dice una señora casada: “de las puertas hacia adentro, yo si sé como son las cosas”. Dicho de otra manera, de las puertas hacia adentro, cada nación, empresa y persona, tiene detalles de los asuntos y acciones que han emprendido para mejorar y tener una posición práctica y relevante frente a eventuales vulnerabilidades propias de sus procesos de negocio y su estatus frente a su competencia en el entorno.

Por mucho que las naciones, organizaciones y personas se esfuercen para evitar una fuga de información, se hace necesario contar con la esfera inabarcable de los seres humanos, que quieran o no, están expuestos constantemente a guardar o revelar secretos como parte natural de su relacionamiento con otros. Si el secreto que se guarda le implica sanciones o efectos negativos posteriores, la persona estará persuadida de no hacerlo, aunque muchos podemos ser lo suficientemente osados para desafiar lo que haya por venir. Así las cosas, nadie puede vivir sin relacionarse con otros, por tanto la revelación de la información propia de nuestras relaciones estará enmarcada en la confianza y protección que al menos dos puedan hacer de ella, siempre y cuando no exista la intimidación o presión que se pueda tener por ésta.

Con los avances tecnológicos y una alta interactividad de los usuarios finales a través de medios inalámbricos, la información fluye tan rápido como ella se produce. Es así que tenemos ahora ciudadanos digitales empoderados y exigentes, que demandan estar “informados”, para tener una posición al respecto y por qué no incidir en la toma de decisiones que implica la situación. En este contexto, al compartir cada vez más información a través de las redes, perdemos espacio en nuestra privacidad, ese principio fundamental propio de la esfera personalísima que nos define y realiza, más allá de nuestras acciones y labores diarias, pues allí está la esencia misma de nuestra personalidad y razón de ser.

En razón con lo anterior, cada vez más tenemos escenarios para materializar una fuga de información, más allá de un acceso físico a documentos, o generación de grabaciones analógicas o digitales de conversaciones, ahora en un mundo interconectado y con múltiples plagas informáticas, vulnerabilidades y fallas de seguridad, los cuales no avizoran un mejor escenario para las naciones, organizaciones y personas. En consecuencia, las acciones que se emprendan para mitigar la fuga, deberán articular los aspectos tecnológicos, jurídicos, procedimentales y culturales para establecer una red de estrategias, que reten las motivaciones propias de aquellos que “buscan revelar” lo que está oculto y generar los impactos que satisfagan sus “intenciones” primarias.

Establecer estrategias en este sentido, es reconocer al ser humano como el eslabón más débil de la cadena y el elemento táctico más efectivo para enfrentar al mismo hombre. Dicho de otra forma, nosotros somos la causa y el control de la fuga de la información, razón por la cual los teóricos y practicantes de la seguridad se encuentran en una encrucijada, para poder enfrentar con efectividad este riesgo. Cuando la protección de la información corporativa se hace como parte extensiva de la custodia misma de la información personal y sus impactos, se confronta el entendimiento colectivo de la cultura y se hace evidente que nuestros comportamientos deberán ser los esperados por la empresa, así como nosotros los esperamos con nuestros datos.

Es claro que, como reza la realidad de los hackers o “aquellos que van más allá del manual” (no hablo de aquellos que han usado lo que saben para afectar o dañar a otros), la información es la materia prima para hacer que las cosas avancen: un mundo informado es un mundo que tiene una posición crítica y acciones concretas frente a la situación, pero de igual forma hay registros que no deben estar a la luz pública, so pena de generar inestabilidades sociales o malos entendidos que no ayudan a la construcción de un mundo mejor y con oportunidades para todos.

Cualquiera sea su posición frente a los hechos revelados recientemente, es importante que se cuestione sobre “su derecho a estar informado”, al “derecho que tiene a cada persona a su privacidad”, a la revisión de los impactos propios de este tipo de hechos y sobre manera a la protección de su información, como elementos básicos para tomar una posición balanceada, firme y concreta frente a ese activo que representa o tiene un valor para alguien, quien generalmente conoce y sabe lo importante que es para esa persona u grupo de individuos: la información.

Finalmente y sabiendo que toda fuga lleva consigo una persecución, evalúe con cuidado de qué lado quiere estar: ser un “fugitivo o perseguido” con causa o sin causa, o ser el “fiscal acusador y perseguidor” que hará defender sus derechos bien por una causa o razón para salvaguardar una reputación, o por conveniencia, cuándo él mismo se encuentra involucrado. A final la decisión no admitirá puntos medios, sino la realidad propia de los intereses de las partes comprometidas.


Referencias
GORDON, P. Data leakage. Threats and mitigation (2007) GSEC Gold Certification. Disponible en: http://www.sans.org/reading_room/whitepapers/awareness/data-leakage-threats-mitigation_1931
BORTNIK, S. (2010) ¿Qué es la fuga de información? Parte II. Disponible en: http://blogs.eset-la.com/laboratorio/2010/04/22/%C2%BFque-es-la-fuga-de-informacion-parte-ii/. Blog - ESET.

domingo, 5 de diciembre de 2010

Inseguridad de la información. Fuente de la innovación en seguridad de la información

Introducción
Parafraseando al Jesuíta González Vallés en su libro “El secreto de oriente. Respirar”, “(…) bastó un soplo para que el hombre tuviese vida. Un delicada y suave expiración de DIOS, para que fluyese la semejanza del Eterno en nuestra esencia”. Una frase que verifica con una decisión la transformación de la creación, la puesta en escena de una nueva criatura, un nuevo orden que somete bajo el mandato del hombre, todas las cosas como administrador de la tierra.

Esta misma condición y mandato natural, se quiebra por la desobediencia del hombre, lo cual trae como consecuencia todas las vicisitudes y limitaciones que experimentamos a diario. De igual forma en la seguridad de la información la desobediencia y la arrogancia de nosotros es causal de la innovación permanente de la inseguridad de la información. Al no tener claridad sobre el ejercicio de protección de la información, cualquier escenario que se plantee será válido y las respuestas ante los incidentes serán inesperadas, sin planeación y posiblemente erráticas.

En este escenario ahora natural y normal, no resulta muy sofisticado tratar de inferir las tendencias en la inseguridad de la información el próximo año o 10 años, pues de lo que se trata es de identificar “los nuevos juguetes tecnológicos” que están disponibles, su popularidad en el uso, advertir los nuevos desarrollos tecnológicos y malas prácticas aplicadas, que generan el escenario ideal para que la creatividad, esa ausencia de autorestricciones, fluya con sencillez entre las rendijas desatendidas de las relaciones entre la tecnología, las personas y los procesos.

Revelando las fuentes de la innovación
Trata de comprender la inseguridad de la información y un escenario plausible para su evolución, es tratar de comprender algunas variables generalmente aceptadas para comprender la innovación. De acuerdo con Peter Drucker, las fuentes básicas de la innovación se encuentran en: las ocurrencias inesperadas, las incongruencias, las necesidades de los procesos, la industria y cambios en los mercados, en los cambios demográficos, en los cambios de percepción y en el nuevo conocimiento.

Cada una de estas variables representa todo un reto de análisis y revisión que con el paso del tiempo, es posible ver un marcado liderazgo de una u otra. Las dos primeras están más relacionadas con el factor sorpresa, ese momento o reflexión que surge sin estar previsto, que desequilibra la comprensión actual y compromete el statu quo de lo que se conoce y sabe. Esta incertidumbre, se convierte en el insumo fundamental para que un nuevo paradigma surja y nuevas propuestas para aproximarse a la situación problemáticas se hagan presentes.

Las dos siguientes variables, las necesidades de los procesos, así como la industria y sus cambios en los mercados, están relacionadas con la manera como la empresa entiende lo que hace y en qué contexto lo materializa. El estar avocada a la constante renovación de los mercados y las reiterativas necesidades del negocio para obtener mejores resultados, genera una ambiente de alta presión, mucha responsabilidad y decisiones oportunas. En este contexto, la inestabilidad de la situación nos revela nuevamente la incertidumbre, como ese factor común que lanza al tomador de decisiones a advertir sus riesgos y evaluar su posición frente al reto que se le sugiere.

Cuando de cambios demográficos y cambios de percepción se trata, el ser humano es el protagonista principal. Los cambios en la composición de la sociedad, edades, perfiles de las personas, variaciones de sus percepciones, propensión al riesgo, nuevas necesidades y exigencias, hacen de estas variables elementos desafiantes, pues comprender este tipo de desviaciones, exige una permanente valoración de la comprensión del riesgo de las personas, sus gustos y tendencias de los mercados, permitiendo el surgimiento de nuevos entendimientos de la realidad o retos novedosos para la industria o su entorno de negocio.

Finalmente la creación de nuevo conocimiento, necesariamente pasa por la ruta de la incertidumbre y contradicción, pues sólo en este entorno se abre la posibilidad de correr el velo de la rutina y se cae el telón del “eso ya lo hemos probado”, para que los nuevos lentes tallados desde la mente individual y colectiva, muestren a la sociedad una sorpresa que mueva elementos dormidos o aún desconocidos para sus participantes.

La innovación y la inseguridad de la información
Revisando cada uno de estos elementos de la innovación, encontramos en la inseguridad toda una maestra que revela en cada variable analizada una lección propia que debemos reconocer e incorporar en nuestra práctica de seguridad como estrategia para anticiparnos a los posibles riesgos que son propios en cada una de ellas.

Cuando de hablamos de ocurrencias inesperadas, la inseguridad de la información se revela en la inevitabilidad de la falla, esa que está esperando el momento y la ocasión para materializarse. Cada trozo de código en cualquier programa cuenta con situaciones inesperadas que han quedado incluidas en su estructura y sólo esperan una combinación particular de la interacción con el usuario o proceso para revelarse. Una condición que denominamos inesperada es la que termina por descubrir la combinación exacta para materializar la falla de seguridad, falla que ha estado dormida en la ejecución del código y aguardando su turno para manifestarse.

Las presiones de los mercados y la exigencia de resultados exponen nuevamente a la seguridad a rendir concesiones, a generar excepciones que plantean escenarios para que la inseguridad de la información haga su aparición. Cada excepción es la respuesta a una condición de exigencia de negocio que requiere espacio para avanzar en la realización de valor de la firma o el cumplimiento de una exigencia directiva. Cuando la seguridad de la información no colabora, es estigmatizada frente al resultado, pero cuando se hace parte de la solución, es la respuesta que se espera de ella y sus responsables. La seguridad no debe ser parte del problema, sino facilitadora de la contestación al mismo.

Con el paso del tiempo se advierten cambios en la manera como percibimos el riesgo, como entendemos nuestras relaciones con los demás y sobremanera como nos aproximamos al mundo que nos rodea. No es equivalente comprender a los nacidos entre 1980 y 1990, que a los nacidos en 1970 y 1979. Cada uno de ellos tiene una manera de comprender su entorno y una realidad diferente. Mientras los nacidos en los 70’s encontraron un mundo con guerras y nacientes desarrollos tecnológicos, los cuales fueron apalancadores de grandes cambios y revoluciones, los nacidos en los 90’s son herederos de la tecnologías, del mundo de lo instantáneo y de soluciones automáticas.

Así las cosas, la distinción de la seguridad de la información para los herederos de los 70’s es una condición base para actuar, mientras para los nacidos en los 90’s es un reto para superar, una condición contradictoria frente al flujo natural de la información, pues consideran que ésta (la información) es parte natural de su entorno y realidad.

Todos estos elementos revisados previamente generan múltiples vistas de la realidad, diversos entendimientos y posiciones que terminan en explicaciones de los fenómenos estudiados, no para cuestionar el ambiente actual, sino para revelar una comprensión aún no estudiada, una vista complementaria de lo que ocurre, que nos permite construir nuevos “cómos” y desarrollar reglas novedosas para sorprendernos de lo que podemos hacer y renovar para evitar la zona de confort.

Reflexiones finales
La inseguridad de la información reconoce en la sabiduría del error, de la sorpresa, de lo inesperado, la fuente misma de conocimiento y renovación de su propia esencia. No es posible avanzar en el fortalecimiento de las tecnologías de seguridad sin la manifestación propia de la inseguridad. Es decir, que mientras más nos sumerjamos en la fuente misma de la inseguridad de la información mayor información tendremos para anticiparnos.

Cuando advertimos la aplicación de malas prácticas en la protección de la información; cuando somos capaces de destruir nuestras propias restricciones frente a las posibilidades de la interacción entre tecnología, personas y procesos, es posible generar escenarios prospectivos que nos permitan anticiparnos a ver posibilidades, antes que la inseguridad los haga reales.

Como sabemos que el riesgo cero no existe, esta reflexión busca manifestar una posibilidad para avanzar en la conquista de nuestras propias limitaciones, de nuestros inesperados comportamientos frente a las fallas, para encontrar en las condiciones base de la innovación, nuevos insumos para rastrear a la inseguridad de la información como una táctica más para continuar comprendiendo la “inevitabilidad de la falla”.

Reconocer en la inseguridad de la información una estrategia para validar las manifestaciones de la innovación sugeridas por Drucker, es caminar en un nuevo tejido de relaciones y propuestas para incorporar una función de inteligencia competitiva que nos permita una función de seguridad de la información proactiva, preventiva y retadora de la realidad: una búsqueda permanente con focos claros, esfuerzos dirigidos y trabajo dedicado.


Referencias
DRUCKER, P. (2002) The discipline of Innovation. The innovative enterprise. Harvard Business Review. August. Disponible en: http://www.engr.pitt.edu/mac/images-t/articles%20and%20docs/DisciplineofInnovation.pdf (Consultado: 6-12-2010)
GONZÁLEZ VALLÉS, C. (2006) El secreto de oriente. Respirar. Sal terrae.