sábado, 24 de agosto de 2013

Inseguridad de la información. La estrategia antifrágil de la seguridad de la información



Introducción
Considerando las reflexiones de los analistas de Gartner (HOWARD, PLUMMER, GENOVESE, MANN, WILLIS y MITCHELL 2012) la información, la computación móvil, la computación en la nube y las redes sociales, establecen el nuevo ecosistema tecnológico y empresarial que motiva y establece las nuevas estrategias para cautivar al cliente y posicionar la organización en el contexto de una realidad abierta y digital.

En este contexto, la información es el insumo fundamental para crear una experiencia social aumentada, muchas veces sobrecargada y siempre movimiento. Las plataformas móviles establecen la plataforma efectiva para la interacción y promover nuevas formas de trabajar. Las redes sociales enlazan expectativas, oportunidades e interacciones entre las personas de formas inesperadas, repensando la manera como percibimos al otro y finalmente la computación en la nube, facilita la entrega de la información y la funcionalidad requerida por las personas y los sistemas de información.

Habida cuenta de lo anterior, la forma como se crea riqueza y genera valor cambia dramáticamente, pues lo que antes se concebía desde un trabajo eminentemente físico, se transforma en una experiencia y paisaje digital que, demanda una nueva forma de entender el mundo, no desde los productos y servicios tradicionales, sino desde el estilo personal y particular de cada individuo, donde sus preferencias e identidad se materializa en cada interacción con la realidad expuesta en la red.

Esto significa que cada vez más se advierte una mayor exposición de la realidad empresarial e individual a través de los medios digitales, aumentando el conocimiento detallado de cada uno de ellos, el cual puede y será explotado por parte de los terceros interesados, algunos con buenas intenciones, otros no. Así las cosas, la pérdida acelerada de la privacidad, de los dominios de control empresarial y la demanda de mayor transparencia y participación ciudadana, establecen un reto corporativo que exige una vista sistémica de la gerencia para navegar en medio de un entorno dinámico, asimétrico e inestable.

En consecuencia, lo que inicialmente conocíamos de la realidad de los riesgos empresariales, se desdibuja rápidamente, dejando de un lado las certezas en las que creemos, para darle paso a la incertidumbre, como el nuevo insumo de las estrategias corporativas, donde se introduce la “idea peligrosa” de la “antifragilidad” (TALEB 2013) como ese proceso de entender y alimentarse de la aleatoriedad, el azar, los errores y las fallas como forma de fortalecer su posición en el entorno de negocios y sobrevivir aún las amenazas se materialicen en el ejercicio y aplicación de su modelo de generación de valor.

Esto es, consultar los estudios de entorno disponibles, las tendencias que se identifican en los mercados emergentes, pero como anota TALEB (2013, pág.217) de Steve Jobs, “no fiarse de los estudios de mercado ni de los grupos de sondeo y dejarse guiar por su imaginación”, buscando navegar en los eventos inesperados, con el fin de “domesticar” la incertidumbre, lo que se traduce en: “reducir los riesgos perjudiciales y mantener el beneficio de las posibles ganancias” (Idem, pág. 214)

Por tanto, el futuro de los encargados de la seguridad de la información, o mejor de la inseguridad de la información, estará en aprender tanto como puedan de la fallas y/o vulnerabilidades conocidas, para que en el ejercicio de establecer el modelo de protección de información empresarial, encuentre nuevas formas de comprender las ventajas de los riesgos inherentes y emergentes (CANO 2013) de las propuestas de aseguramiento en las personas, los procesos y la tecnología.

Lo antifrágil en las personas
Si bien la exigencia actual para los Chief Information Officers (CIO) en el mundo, es como mínimo, proveer y mantener servicios excelentes de información, tecnología y comunicaciones a precios competitivos (WEILL y WOERNER 2013), no así es la exigencia para los Chief Business Information Security Officers (CBISO). (CANO 2012)

La responsabilidad y demanda de los niveles ejecutivos para el oficial de seguridad de la información no es consistente con el mundo que debe conocer y anticipar. Mientras la alta gerencia quiere un ambiente tranquilo y controlado frente a las amenazas del entorno empresarial, la realidad para el ejecutivo de la seguridad de la información le enseña que sólo la inestabilidad y lo imprevisto es lo que manda en el ejercicio de su labor.

En este sentido, las personas y sus actividades, sus percepciones y motivaciones establecen la realidad de los modelos de protección de la información. Por tanto, cuando se trata de establecer niveles de aseguramiento de prácticas de resistencia a los ataques, sólo es viable comprender con claridad las mismas, cuando los eventos adversos se han materializado, es decir, cuando la inseguridad de la información, nos enseña y advierte que aún tenemos mucho que aprender.

Cuanto más dolor se sienta por una pérdida y/o fuga de la información, mayor será el dilema de control que enfrente la organización. Esto es, querrá conocer los detalles del flujo de información técnica que tienen los mecanismos de seguridad informática, su nivel de aseguramiento y efectividad para detener futuros ataques. Sin embargo, esta preocupación durará poco, pues al “delegar la protección” en la vista de la tecnología, nuevamente se expone a situaciones que pudiesen ser peores a las que ya han ocurrido.

Como quiera que tendemos a “relajarnos” y al “confort” cuando no somos estresados por condiciones ambientales adversas, nuestra capacidad de acción frente a situaciones críticas, se reduce y no podemos capitalizar la disrupción, como fuente de “desaprendizajes” para hacer más resistente nuestra estrategia de anticipación a los riesgos emergentes.

Así las cosas, en el ser humano se hacen realidad todas las razones y sinrazones de la protección de la información. Podemos desarrollar la capacidad para asegurar sus comportamientos, pero no asegurar su compromiso para efectuar dicho ejercicio. En consecuencia, se hace necesario comprender de manera personal la severidad de una falla seguridad de la información, no como forma de motivar su compromiso, sino como una estrategia para promover el sentido de alerta permanente, que incentive sus acciones preventivas sabiendo que la inevitabilidad de la falla siempre está presente en todas sus actividades.

Esto significa que el riesgo residual que aceptamos, nos habla del nivel de exposición que podemos tener frente a una falla, es decir, las actuaciones que podemos tener frente a la materialización de la inseguridad de la información. A mayor aceptación de riesgo residual, menor valoración de futuros incidentes e impactos de ante las fallas, lo que necesariamente nos dice que a menor aceptación de este riesgo, mayor sensibilidad a los incidentes e impactos de los mismos.

En consecuencia, hacer resistente a los incidentes de seguridad de la información a las personas, implica mantener un “mínimo de paranoia debidamente administrada”, es decir, que no tenga “ansiedad por el futuro y las vulnerabilidades emergentes”, y que igualmente no “subestime las condiciones actuales de su operación”.

Lo antifrágil en los procesos
Cada vez más los procesos empresariales cruzan las fronteras físicas de las organizaciones. Empiezan en las oficinas reales de la empresa y terminan en comunicaciones digitales, en servidores distantes, que generalmente no sabemos dónde se ubican o bajo qué condiciones operan, claro está, muchas veces confiando en las prácticas de quien las opera y administra.

En este contexto, la incertidumbre es la forma natural en la que las organizaciones trabajan con sus terceros, confiando en la promesa de valor de sus socios estratégicos y aprendiendo a crear prácticas, que a diferencia de los que sugiere la sabiduría convencional, no busquen la serenidad y predictibilidad de la operación, sino la preparación permanente y constante para enfrentar la materialización de riesgos conocidos y desconocidos.

En la medida que los procesos de las empresas, aprenden sobre la inestabilidad del entorno donde operan, son capaces de reconocer las trazas de la inseguridad de la información, para disminuir las consecuencias de la materialización de eventos contrarios y aumentar su resistencia para entender y confrontar eventualidades mayores. Esto no hace referencia a la característica de resiliencia, sino a la forma como el proceso se preparar para comprender e interiorizar la falla, para rediseñar su propia dinámica interna y aumentar su capacidad de respuesta ante lo inesperado.

El valor de la información como un activo y la alta interconectividad de las empresas a través de los móviles, las redes sociales y la computación en la nube, genera un escenario potencial de falla que se hace necesario analizar y entender, no para inhibir las potencialidades de la empresa, sino para capitalizar las oportunidades que esta realidad le propone, disminuyendo los impactos de la materialización de la inevitabilidad de la falla.

Así las cosas, la información en los procesos actuales de las empresas deberá pagar una cuota de sacrificio o dicho en términos de riesgos, contar con una tolerancia conocida a la falla, que implica reconocer en cada interacción la posibilidad del error y la revelación de vulnerabilidades. Esto es, en la medida que podamos hacer fallar el proceso, “mayor será el papel de la opcionalidad”, haciendo de cada momento en su ejecución, una forma de entender la no linealidad de las operaciones y por tanto, la capacidad para absorber y contener los efectos de la materialización del riesgo.

Lo antifrágil en la tecnología
Anota, TALEB (2013, pág.365) “Cuando no podemos expresar con exactitud lo que algo es, sí podemos decir mucho sobre lo que no es”, dicho en otra forma, muchas veces la forma de aclarar un término es definir su negación (SPRAGUE, STUART y BODARY 2010), pues de esta manera podemos explorar aquellas características que establece su opuesto, nutriendo necesariamente lo que podría llegar a ser la definición de su positivo.

Por tanto, la sabiduría en el ejercicio del estudio de la inseguridad de la información, no está en la capacidad de predecir las asimetrías que pueden generarse en la puesta en operación de una determinada estrategia de protección de información, sino en el diseño de un sistema que genere mayor o igual variedad de momentos de falla, que prepare a la organización para actuar frente a la misma, sin la angustia de la paranoia desbordada y con la tranquilidad de quien está alerta a los cambios inesperados.

Así las cosas, hablar de infraestructuras de TI seguras, es una ilusión que recaba sobre un supuesto incorrecto que dice que la seguridad de la información es una función que busca la tranquilidad en una zona controlada, cosa que es contraria a la realidad. En este escenario, la seguridad de la información será mayor en la medida que la inseguridad de la información pueda generar y manifestar opciones para estresar las propuestas de protección, las cuales no serán confiables hasta que las mismas no tengan la capacidad de resistir de manera permanente los casos de mal uso.

En este sentido, la mente del atacante y su vista no lineal de la realidad, nos permite explotar la fragilidad inherente de la tecnología, la cual se diseña y construye bajo supuestos de uso y no de mal uso. La vista desprevenida de los “chicos malos” es capaz de revelar la inevitabilidad de la falla de la infraestructura bien por una relación no prevista, un parámetro no considerado o introducción de anomalías que son inesperadas tanto para el hardware o el software.

Construir infraestructuras de TI seguras, requiere una vista enriquecida desde la inseguridad de la información, para establecer una postura de falla confiable que, reconociendo su debilidad inherente, es capaz de asumir la falla, haciendo menos dolorosa la experiencia de la misma, motivando un ejercicio de análisis y aprendizaje por parte de los analistas de seguridad de la información; más allá de un modelo de riesgos y controles, que privilegie las posibilidades de error y haga más resistente a los ataques la infraestructura disponible.

La fragilidad propia de la tecnología, llena de errores desde el diseño y aún más en su implementación, debe ser la motivación de los analistas de la “inseguridad de la información” para crear entornos hostiles y divergentes que preparen a los perímetros porosos de seguridad, para enfrentar la curiosidad y mente abierta del atacante y así, sobrevivir a la materialización de los riesgos actuales y emergentes que ponen a prueba la capacidad de anticipación que las empresas puedan tener frente a eventos inesperados.

Balancear lo frágil y lo antifrágil de la protección de la información
La información es frágil por naturaleza, como lo es el agua y otros tantos elementos en la naturaleza, que permiten efectos contrarios sobre éstos y aún así se mantienen vivos y activos.

Esta particularidad de la información, de absorber tanto lo positivo como lo no positivo, y su capacidad de restauración propia, es la característica que los analistas de la inseguridad deben conocer y explotar. Mientras los estándares de seguridad de la información, tratan de modelar la complejidad de la inevitabilidad de la falla, a través de controles definidos, los cuales deben ser ejecutados de manera “perfecta” (LAMBRINOUDAKIS 2013), las vulnerabilidades responden y siguen la corriente de las relaciones y acciones no lineales e imperfectas, que potencian virtudes (o fallas) de la información tanto en las personas, los procesos y la tecnología.

En este sentido, los estándares o prácticas de los organismos de estandarización deberían diseñar programas que habiliten a los analistas para crear condiciones límite y adversas sobre los sistemas de gestión, no para su aseguramiento, sino para crear situaciones en las cuales es inevitable la falla y crear un escenario incómodo psicológicamente frente a la sabiduría convencional de la protección, abriendo el espacio para las posibilidades más que para las probabilidades.

Por tanto, diseñar un modelo de protección de la información tradicional basado en riesgos y controles, es retar a la incertidumbre para que tome el control de aquellas situaciones no previstas y doblegar la esperanza de seguridad y control que supone el mismo. Esto es, mantener una capacidad limitada de acción frente a la falla e incrementar la incapacidad de la organización para hacerse resistente a las vulnerabilidades conocidas o desconocidas.

Elaborar un modelo de seguridad y control, basado en la antifragilidad misma del sistema que protege, esto es en el azar, los errores, la imprevisibilidad, los comportamientos no lineales y manejar los impactos de la combinación de éstos, alimenta la curiosidad y resistencia del modelo, que claramente será contrario a lo que espera un ejecutivo de alto nivel de empresa, pero estará alineado con la realidad misma, donde la incertidumbre es el referente natural para su acción.

Como quiera que el marco referencial y preponderante de lo positivo y conocido se encuentra arraigado en el colectivo empresarial y personal, se hace necesario abrir espacios de diálogo con lo asimétrico, incierto y desconocido para mantener el ejercicio de protección de la información, con un lenguaje que movilice los esfuerzos preventivos a nivel empresarial y creativos a nivel personal.

Si bien el concepto de antifragilidad, no es una invitación a mantenernos en el caos y la improvisación, si es una postura que nos advierte sobre la comodidad de lo conocido y sus consecuencias, un ejercicio que motiva la creatividad para crear una cultura de seguridad de la información saludable (LACEY 2009), es decir, aquella incorpora la inevitabilidad de la falla como parte natural de lo que la gente cree, promueve la generación de escenarios de riesgo como parte de lo que las personas hacen y se prepara para superar las situaciones críticas e inesperadas como parte inherente de lo que los individuos ven.

Así pues el balance entre lo frágil y lo antifrágil en seguridad de la información, es entender la necesidad de certidumbre de la gerencia sobre el control de la información y contraponer dichos intereses frente su capacidad de resistencia y aprendizaje ante situaciones inesperadas, aleatorias y no lineales que potencian tanto oportunidades como nuevas amenazas.

Referencias
ARTHUR, W. B. (2011) The second economy. Mckinsey Quarterly. October. Disponible en: http://www.mckinsey.com/insights/strategy/the_second_economy (Consultado: 24-08-2013)
WEILL, P. y WOERNER, S. (2013) The future of the CIO in a digital economy. MIS Quarterly Executive. June, No.12, Vol.2.
LACEY, D. (2009) Managing the human factor in information security. John Wiley & Sons.
TALEB, N. N. (2013) Antifrágil. Las cosas que se benefician del desorden. Paidos
CANO, J. (2013) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Blog IT-Insecurity. Junio. Disponible en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html (Consultado: 24-08-2013)
CANO, J. (2012) El futuro de la inseguridad de la información. El arte de imaginar lo inesperado. Blog IT-Insecurity. Agosto.  Disponible en: http://insecurityit.blogspot.com/2012/08/el-futuro-de-la-inseguridad-de-la.html (Consultado: 24-08-2013)
HOWARD, C., PLUMMER, D., GENOVESE, Y., MANN, J., WILLIS, D. y MITCHELL, D. (2012) The nexus of forces: social, mobile, cloud and information. Gartner Research. Disponible en: http://www.gartner.com/id=2049315 (Consultado: 24-08-2013)
LAMBRINOUDAKIS, C. (2013) Evaluating and enriching information and communication technologies compliance frameworks with regard to privacy. Information management and computer security. Vol.21. No.3
SPRAGUE, J., STUART, D., y BODARY, D. L. (2010). The Speaker´s Handbook. Wadsworth: Cengage Learning.