domingo, 14 de agosto de 2011

Inseguridad de la información: Maestra en la ciencia de la protección de la información

Conforme avanzamos en el desarrollo de esta nueva década del segundo milenio, notamos con preocupación que no estamos capitalizando las lecciones que la inseguridad de la información nos ha impartido con suficiente ilustración y detalle. La inseguridad de la información nos ha demostrado que existen elementos tanto en las personas, como en los procesos y en la tecnología donde puede actuar y renovar nuestro entendimiento de la protección de la información.

Avanzar en una propuesta de una “ciencia de la seguridad” (STOLFO, S., BELLOVIN, S. y EVANS, D. 2011) o en una “ciencia de la protección de la información” (COHEN 2011) es profundizar en los terrenos de la formalidad académica y científica para encontrar allí mejores referentes que nos permitan superar una posible vista artesanal de nuestro proceso de toma de decisiones frente a los retos de la inseguridad en las organizaciones.

Siguiendo los argumentos de STOLFO, BELLOVIN y EVANS (2011), hablar de una ciencia requiere al menos revisar tres elementos fundamentales: sistematización y generalización del conocimiento, desarrollo de leyes universales para hacer predicciones confiables y, conducción de investigaciones para verificar hipótesis y elaborar experimentos. En este sentido, los retos propios de la seguridad de la información se ven avocados a pasar por el filtro de la ciencia, para procurar tener mejores elementos de juicio y así formalizar nuestras acciones, de tal forma, que no sea solamente nuestro instinto o mejor estimación la que prime, sino una profunda revisión de los impactos y consecuencias de los análisis de las situaciones a asegurar, la que afine los criterios de toma de decisión de los analistas de seguridad de la información.

Si bien a la fecha, existe mucho conocimiento acumulado en los temas de seguridad de la información que nos permiten hablar en dominios específicos de temáticas como los son seguridad en redes, gestión de la seguridad, análisis de vulnerabilidades, arquitecturas de seguridad, entre otros, continúan apareciendo temas novedosos como son entre otros seguridad en la nube, seguridad embebida en dispositivos, geolocalización, que nos permiten seguir pensando y soñando con nuevas posibilidades para continuar construyendo la disciplina de la seguridad de la información. (COSTELLO 2011)

Bien dice un practicante de la seguridad, militante de la academia y de la industria, Bruce Schneier, que “en teoría existen sistemas seguros, pero en la práctica no”, denotando que mientras en los diseños y ecuaciones formales, es posible probar la confiabilidad de la seguridad de la información, asegurando la mayor certeza de sus propuestas; una vez se pasa a la aplicación de los mismos, la inevitabilidad de la falla se hace presente en la operacionalización de éstas, dado que en el mundo real, las condiciones no son igualmente replicables a las consideraciones teóricas que sustentan los conceptos. En este sentido, tener leyes universales que nos permitan un comportamiento predecible en seguridad, es enfrentar las mejores estimaciones matemáticas, con las condiciones inesperadas de una realidad llena de efectos colaterales y condiciones disímiles.

Lo más frecuente que se observa en seguridad es el desarrollo de investigaciones y experimentos controlados y no controlados, como la fuente primaria de reflexiones y propuestas para encontrar respuestas a nuestras preguntas, o mejor aún, como la estrategia para plantearnos mejores interrogantes. En este sentido, la seguridad de la información es una búsqueda permanente de un “grial” esquivo y deseado, que si bien todos saben que es inalcanzable, hacemos todo lo que está a nuestro alcance para experimentar, así sea de manera momentánea, un poco de su luz y de sus enseñanzas sobre la protección formal y confiable de la información en cualquier contexto.

Sin embargo, como bien anota COHEN (2011), los científicos o los hombres de ciencia son humanos y cómo seres vivientes, se equivocan, por tanto, la ciencia hace lo mismo. En este sentido, alcanzar confiabilidad de la disciplina científica en seguridad de la información, es entrar en un círculo vicioso donde tanto el hombre como la ciencia, se contaminan mutuamente para producir o generar un resultado que esperamos sea “seguro”, “confiable” y “libre de errores”.

Así las cosas, avanzar en una ciencia de la protección de la información, es reconocer que la inseguridad de la información es la maestra y educadora de los practicantes y académicos; es decir, aquella realidad que induce un aprendizaje, promueve la generación de mejores preguntas y encontrar nuevas respuestas; estimula el pensamiento independiente entre sus estudiantes, suscita la innovación, la creatividad y los retos intelectuales. (ACKOFF 2011)

Si lo anterior es correcto, no es suficiente que continuemos sencillamente comprendiendo los avances tecnológicos y su adecuada implementación en las organizaciones, sino cuestionando las diversas variables y condiciones de las corporaciones, para hacer de la seguridad de la información una forma de repensar la empresa y sus procesos, no como una meditación basada en un discurso restrictivo, sino como aquello que cada uno de nosotros entiende, cuando de cuidar un activo se trata.

En este sentido, FENZ, PARKIN y VAN MOORSEL (2011) aciertan cuando detallan que desarrollar un modelo de conocimiento en seguridad de la información requiere considerar, entre otros elementos, aquellos que hacen referencia a los aspectos sociales, tecnológicos y de negocio, como base para encontrar en el ejercicio de toma de decisiones de los gerentes de seguridad de la información, la información, las relaciones y la prospectiva necesaria para identificar patrones de acción que les permitan estar más cerca de las causas y no solamente de la experiencia de las consecuencias de las fallas.

Por tanto, desarrollar una ciencia de la protección de la información, exige como bien anota el profesor COHEN (2011), un encuentro con las disciplinas sociales y del comportamiento humano asociados con la protección de los activos, como fuente misma de nuestro entendimiento de la complejidad propia de las relaciones entre la tecnología y los procesos de la organización, donde los individuos son la parte activa de éstas, frente a las vulnerabilidades y fallas propias de los artefactos tecnológicos.

Finalmente, considerando y aceptando que la inseguridad de la información es nuestro mejor aliado para crear el futuro, mantenga su vista afinada en el camino y sus señales, para continuar haciendo la diferencia en el ejercicio permanente y renovado de lanzarnos en las “aguas profundas” de la incertidumbre y creer que siempre es posible ir más allá de los datos que representan las propiedades de los objetos y sus eventos, y alcanzar en la sabiduría del error, la forma anticiparnos cada vez más a los retos de la inevitabilidad de la falla.

Referencias
COSTELLO, T. (2011) 2011 IT Tech and strategy trends. IEEE IT Professional. January/February.
FENZ, S., PARKIN, S. y VAN MOORSEL, A. (2011) A Community Knowledge Base for IT Security. IEEE IT Professional. May/June 2011
STOLFO, S., BELLOVIN, S. y EVANS, D. (2011) Measuring Security. IEEE Security and Privacy. May/June 2011
COHEN, F. (2011) Toward information Science protection. Disponible en: http://all.net/Talks/2011-06-15-Keynote-Toward-IP-Science.pdf (consultado: 14-08-2011)
ACKOFF, R. (2011) Differences that make a difference. Triarchy Press.