viernes, 7 de marzo de 2014

Gestión de la Inseguridad de la información. De una mentalidad táctico-operativa a una estratégico-defensiva.



En un mundo hiperconectado, de economía digital, de información instantánea, de múltiples identidades y cambios inesperados, el reto de la protección de la información es una realidad que exige mantener un balance entre la versatilidad de las tecnologías, las exigencias de los usuarios y el aseguramiento de la información (no tanto por su acceso, como por su uso) (CHINN, KAPLAN y WEINBERG 2014). En este escenario, cualquier iniciativa que se proponga para un adecuado tratamiento de la información deberá sujetarse a tres características, que las organizaciones demandan para aprovechar las oportunidades del entorno y sintonizar sus exigencias de cumplimiento normativo: liviana, sencilla y efectiva – LSE. 

En este sentido, sabiendo que los mecanismos tradicionales de control serán superados, la fuga de información sensible se va a presentar y que cada vez más el área de TI pierde control de los dispositivos que se conectar o consumen servicios (MacDONALD 2013), tenemos que acostumbrarnos a suponer que el atacante ha comprometido nuestras defensas. Es decir, es necesario destruir la falsa sensación de seguridad que hemos construido alrededor de nuestros controles y mantener una postura de monitoreo y respuesta activa que nos permita mantener el nivel de riesgo residual que hemos declarado. 

En consecuencia, de acuerdo con KINDERVAG y SHEY (2012) la brecha de seguridad entre los nuevos métodos de ataque y los controles tradicionales continúa a favor de los atacantes. En línea con lo anterior, el surgimiento de organizaciones criminales formalmente establecidas, algunas veces patrocinadas por estados, establecen desafíos importantes para las organizaciones y naciones, toda vez que las motivaciones y objetivos de sus acciones, requieren no solamente utilizar herramientas conocidas, sino el desarrollo de nuevas con diferentes alcances y matices, los cuales alimentan la entropía de la inseguridad, superando las reflexiones actuales de los analistas de seguridad de la información. 

De otra parte, el concepto de perímetro, heredado de las buenas prácticas de seguridad física y de la guerra tradicional, se desvanece con la incorporación acelerada de los dispositivos móviles. La apropiación y uso intensivo de la movilidad, representa un motivador altamente atractivo para las empresas, como quiera que se pueden tener acceso a aquello que se requiere o interactuar de manera oportuna con un contacto clave, sin embargo, configura un perímetro poroso donde no fácil distinguir quién es, qué está haciendo y desde dónde. 

Así las cosas, el concepto de detección se debilita frente al nivel de sofisticación de los ataques, a la capacidad de los atacantes para mimetizarse entre diferentes tipos de vectores de ataque, a los diversos recursos que se pueden usar para enumerar, analizar, comprometer, destruir y tomar control, para retomar el concepto de defensa, que no es otra cosa que la capacidad que debe desarrollar una organización o infraestructura para hacerse resistente a los ataques, aprendiendo de éstos. 

Lo anterior exige nuevas disciplinas de operación en la seguridad de la información, que incorporen y desarrollen el concepto de inteligencia, engaño, contrainteligencia, agentes encubiertos, entre otros, muy propios de los cuerpos militares, como prácticas extendidas de los conceptos de seguridad de la información, que ahora juegan en un nuevo escenario de confrontación que proponen los atacantes, lo que se ha denominado el ciber espacio.

Por tanto, las habilidades y competencias de los oficiales de seguridad de la información, deberán ajustarse para comprender este nuevo escenario de actuación, que no solamente les exige conocer lo que ocurre en su propio dominio, sino reconocer la nueva realidad extendida, persistente, avanzada y silenciosa de enemigos digitales que van a comprometer sus defensas, engañarlos con sus propios controles y esconderse dentro de su propio patio. 

Esto significa que la seguridad de la información debe regresar a lo fundamental, a la esencia que la motiva y la guía, la información y las personas. En consecuencia, las estrategias que se planteen en este “nuevo teatro de operaciones” deberán moverse: (MacDONALD 2013)



DE UN:
A UNO:
Modelo de seguridad centrado en la tecnología
Centrado en la información
Modelo de control centralizado
Centrado en la persona
Modelo centrado en los procesos
Centrado en el monitoreo y respuesta activa
Modelo de correlación de eventos
Centrado en inteligencia y defensa activa
Tabla No.1 Cambios en la práctica de la seguridad de la información

Habida cuenta de lo anterior, el moverse tan rápido como los cambios tecnológicos y las asimetrías de la dinámica de los negocios, demanda del ejecutivo de seguridad de la información, comprender lo importante de aquello que requiere proteger la empresa y motivar una propuesta de seguridad y control, liviana en su ejecución, sencilla en su operación y efectiva en su aplicación.

Para lograr lo anterior, el cambio sugerido previamente requiere un desarrollo en profundidad de una transformación de la cultura organizacional de seguridad de la información, que no solamente pregunte: “dígame que tengo que hacer” y sino “hagámolo de manera confiable”. Mientras la primera aseveración se entiende como una imposición, algo que se exige desde fuera, la segunda es una afirmación y convencimiento propio que ha conectado lo que la persona cree, hace y ve.

En este entendido, las personas se convierten en cuerpos de defensa digital entrenados para resistir diferentes escenarios, con la claridad que en algún momento, el incidente o la brecha se va a presentar. Esto es, la construcción de una inteligencia colectiva, basada en una doctrina de protección, que de manera conjunta y coordinada es capaz de responder y notificar patrones anormales de acciones tanto informáticas como físicas.

Lo anterior significa que debemos desarrollar un enfoque de gestión de riesgos enriquecido, que incluya la disuasión y la defensa, los servicios críticos y los costos de protección, que permitan no solamente tratar los riesgos conocidos, sino que dicho ejercicio se enriquezca con los riesgos latentes, los focalizados (de su industria) y los emergentes. (HATHAWAY, 2014, CANO 2013)

Por tanto, el llamado permanente de la prevención, que ha sido el enfoque tradicional de las auditorías, se debe revisar ante las amenazas elaboradas y sofisticadas de las cuales son víctimas las organizaciones hoy. No es suficiente mantener concientizadas las personas sobre el tratamiento de la información, se hace necesario efectuar acciones informadas, que respondan a una estrategia coordinada para tomar control de la situación, con la claridad de los roles que intervienen y el alcance de los mismos.

Si bien en este escenario agreste y espinoso que tenemos hoy, no existe espacio para la comodidad o pasividad, si debemos habituarnos a nuevas prácticas de seguridad y control que busquen una postura de falla segura, una capacidad de respuesta ante fallas, simulacros permanentes de fallas totales o parciales, operaciones informáticas encubiertas, que mantengan nuestra atención y afinen nuestro olfato para cerrar la brecha de nuestra respuesta frente a eventos inesperados.

En síntesis, podemos anotar que estamos cruzando el umbral de una práctica de seguridad de la información basada en probabilidades y ciclos conocidos, a una basada en posibilidades y pronósticos de realidades inciertas, que busca complementar los referentes y estándares actuales.

Como quiera que, las fronteras del tratamiento de la información se expanden dentro y fuera de las empresas, se hace necesario cambiar la mentalidad táctica-operativa del responsable de seguridad, a una de pensamiento estratégico-defensivo, donde todo lo que ha aprendido, se convierta en insumo para anticiparse al siguiente escenario de riesgos y amenazas emergentes.

Si esto es así, el ejecutivo de seguridad de la información deberá esforzarse para pensar no solamente en aquello que puede ver y observar en el ejercicio de su gestión sobre los activos críticos de una organización, sino advertir aquello que no se ve y que duerme en medio de los linderos conocidos, esperando no ser notado, para actuar cuando menos se espere.

Es decir, ser un estudiante y analista permanente de la inseguridad de la información, debe entrenar al encargado de su protección, para crear dudas en su adversario y desequilibrar a su favor las condiciones del juego de defensa y ataque.

Esta postura (por demás temeraria y disruptiva) demanda entender la seguridad de la información más allá de un formalismo de cumplimiento basado en controles, como una doctrina de combate estratégico donde, el oficial de seguridad de la información, esté dispuesto a violar sus propias contramedidas para hacer visible en la realidad de la operación, aquello que es invisible a la cotidianidad de la acción.

Referencias

MacDONALD, N. (2013) Prevention Is Futile in 2020: Protect Information Via Pervasive Monitoring and Collective Intelligence. Gartner Research.
KINDERVAG, J. y SHEY, H. (2012) Defend your business from the mutating threat landscape. Forrester Research.
HATHAWAY, M. (2014) Advanced Research Workshop Findings. Publicado en HATHAWAY, M.(Ed.) (2014) Best Practices in Computer Network Defense: Incident Detection and Response. IOS Press.
CHINN, D., KAPLAN, J. y WEINBERG, A. (2014) Risk and responsibility in a hyperconnected world: Implications for enterprises. Mckinsey Report. January. Disponible en: http://www.mckinsey.com/insights/business_technology/risk_and_responsibility_in_a_hyperconnected_world_implications_for_enterprises (Consultado: 7-03-2014)
CANO, J. (2013) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Publicación en Blog. Disponible en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html (Consultado: 7-03-2014)