Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Jeimy J. Cano

Ingeniero de Sistemas y Computación por la Universidad de los Andes.
Magíster en Ingeniería de Sistemas y Computación por la Universidad de los Andes.
Especialista en Derecho Disciplinario por la Universidad Externado de Colombia
Doctor en Filosofía de la Administración de Empresas por Newport University, California

Profesor del área de seguridad informática y computación forense.GECTI.
Facultad de Derecho. Universidad de los Andes.Bogotá(Colombia).

BLOG PERSONAL: http://insecurityit.blogspot.com

AUTOR DEL LIBRO:
Inseguridad de la Información. Una visión estratégica. Disponible en:
http://www.alfaomega.com.mx/magento/co/index.php/novedades/novedades/inseguridad-de-la-informacion.html

Es miembro investigador de la Red Iberoamericana de Criptología y Seguridad de la Información CRIPTORED de la Universidad Politécnica de Madrid

jcano@uniandes.edu.co

Dilemas en la protección de la información. Contradicciones, interrogantes y nuevas oportunidades para leer la inseguridad de la información


Introducción

Los desafíos de las empresas modernas, inmersas en la dinámica de un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009), con flujos de información semiautomáticos (y automáticos), instantáneos y constantes, establece una referencia de los retos y exigencias que los ejecutivos de las empresas tienen respecto de la protección del valor de las corporaciones ad portas de concluir la segunda década del nuevo milenio.

La información cada vez más se convierte en la moneda real (no virtual) que representa los intereses de las empresas y sus credenciales para fundar nuevas posibilidades de mercados y oportunidades, que le permitan posicionarse y abrir nuevas fronteras en sus capacidades para crear movimientos disruptivos que afecten la estabilidad de sus sectores de negocio u otros emergentes. En este escenario, las prácticas de seguridad y control de la información no pueden seguir concentradas (exclusivamente) en los controles de acceso y deben evolucionar con la dinámica social propia de las organizaciones de este nuevo milenio.

En este sentido, los programas de seguridad de la información y aquellos relacionados con la privacidad o protección de los datos personales, deben consultar la dinámica social de la empresa, la forma como se entiende la información y los significados que ella tiene para los empleados y colaboradores de la organización. Amén de lo anterior, las iniciativas de protección que se decidan implementar deben estar fundadas en ese tejido de conversaciones identificado para conjugar las prioridades empresariales con estrategias socialmente significativas y válidas, que aumente la efectividad de las propuestas técnicas livianas, sencillas y efectivas.

Frente a esta realidad cambiante de las relaciones sociales y las condiciones del entorno empresarial, se hace necesario conceptualizar algunos dilemas propios de la seguridad de la información (igualmente aplicables a la privacidad de los datos) que procuren fundar una agenda de investigación de mediano y largo plazo, que ofrezca luces sobre la forma como se deben articular los esfuerzos corporativos desde el tenor de los procesos y las lecturas concretas de las personas sobre el aseguramiento de la información, y así complemente los esfuerzos que en el contexto tecnológico y de prácticas técnicas emergentes se vienen efectuando.

Los dilemas son posiciones encontradas, naturales y propias de las relaciones humanas, así como de las situaciones y actuaciones excepcionales que se pueden tener en el contexto de la operación de un proceso organizacional o en la vida en general. De esta forma, se busca ilustrar las posiciones que se advierten en el escenario de la protección de la información y establecer provocaciones académicas y prácticas que abran rutas alternas de discusión y cambien la dinámica de las discusiones actuales alrededor de los temas de seguridad y privacidad de la información.

Así las cosas, este documento establece un conjunto de cinco (5) dilemas de la seguridad y privacidad de la información como una plataforma académica que permita comprender los referentes actuales sobre la protección de la información y promueva una mayor comprensión de la inevitabilidad de la falla desde diferentes tensiones provocadas por la imaginación e imaginarios de los individuos y sus posibilidades.

Figura 1. Dilemas en la protección de la información

Dilema No.1 - Funcionalidad y seguridad, uno implica el compromiso del otro.
Este primer dilema es una discusión que ha acompañado a la seguridad de la información desde sus inicios. Para algunos, esta situación ha sido una realidad donde encontrar el famoso punto medio no ha sido fácil y continúa siendo uno de los retos donde tanto empresarios como especialistas en protección de la información no establecen puntos de encuentro.

Cuando se privilegia la funcionalidad sobre la seguridad en los diferentes ámbitos de la vida empresarial, es claro que habrá mayor movilidad y celeridad para tomar decisiones, sabiendo que habrá riesgos (algunos conocidos y otros no) los cuales serán asumidos por la corporación si se llegan a materializar. En un mundo de cambios constantes, moverse a la velocidad del mercado es una virtud y ventaja, que todos quieren alcanzar, como quiera que quien primero lograr conquistar la dinámica del entorno, es el que tiene el sitio más privilegiado para actuar y tomar posición de las oportunidades.

Cuando es la seguridad es la escogida, la organización entiende que tendrá que establecer protocolos y formalidades que le darán una mayor capacidad y fortaleza en sus actuaciones. Estará menos expuesta a los vaivenes de los escenarios adversos y si algo no esperado ocurre, tendrá la capacidad de responder y sobreponerse, limitando sus posibles pérdidas y movilizando sus estrategias para posicionarse en medio de la crisis, cuando otros sólo pueden estar concentrados en atender la situación no prevista y perder de vista el movimiento del entorno.

Si la respuesta es que se requieren la dos, cada uno deberá ceder parte de su protagonismo y limitar sus posibilidades. Bien dice la sabiduría popular, que “no podemos tener lo mejor de los dos mundos” y, por tanto, habrá concesiones que cada distinción deberá hacer y por tal motivo la propuesta final estará limitada en su ejecución y habrá que mirar, de las alternativas y posibilidades que se han eliminado, cuánto es capaz de aceptar y operar tanto una organización como las personas, sabiendo de antemano el nivel de exposición al riesgo que esta decisión implica.

En esta encrucijada, se advierte un rango de posibilidades y tonos de grises que pueden ser explorados y explotados por las empresas, para privilegiar decisiones que aumenten bien la resiliencia de las empresas y sus procesos, o bien se lancen a conquistar entornos altamente dinámicos e inestables, asumiendo riesgos operativos y estabilidades empresariales, los cuales si salen como lo han planeado, pueden alcanzar importantes posicionamientos estratégicos o por el contrario, aterrizajes forzados que afecten la viabilidad de la empresa en el mediano y largo plazo.

Tomar posiciones extremas en estas temáticas, dejan de lado el buen criterio del “hombre negocios”, el cual debe velar por una visión equilibrada y ajustada a la realidad, que le permita a la empresa, asumir su liderazgo en el contexto de su sector negocio y mantener el debido cuidado que caracteriza a todos aquellos que han entendido el reto de la protección de la información.

Dilema No. 2 - Costos e inversiones en seguridad, una realidad implica la dinámica de la otra.
Bajo este dilema encontramos la tensión propia de las decisiones sobre la protección de la información. Estas decisiones están generalmente fundadas en el imaginario que las juntas directivas tienen de la temática. Mientras el imaginario de la seguridad y el control se encuentre en el campo de la operación, el tema será costo que debe ser optimizado y tener lo estrictamente necesario.

Si la vista de la seguridad es costo, la lectura de la información y su protección no pasará de ser un tema del área de tecnología, donde son ellos los responsables de proteger los flujos de información con la incorporación de soluciones tecnológicas. Si algo se sale de los límites establecidos y los controles fallan en su aplicación, las explicaciones deberán darlas los personajes de tecnología de información. La responsabilidad por la protección de la información está en manos de los “técnicos” y los “juguetes caros” que requieren deben ser bien seleccionados y medidos, para ver con claridad su efectividad. En este sentido la seguridad de la información se vuelve un reto por alcanzar el ciento por ciento, aun cuando en la realidad se tenga claro que no se puede.

Si la inversión es la lectura que se hace de la seguridad, el imaginario de la junta directiva no está concentrado necesariamente en la eficiencia de la misma, sino en el desarrollo de capacidades de mediano y largo plazo. Una inversión generalmente se hace con margen de riesgo, con una revisión en perspectiva, que le permite tener una vista de lo que puede ocurrir. Ninguna inversión se hace sin riesgo y en seguridad de la información no es la excepción. En esta lectura la seguridad es una apuesta de la organización para aumentar su resistencia a los eventos inesperados y abrir la oportunidad para la preparación para actuar de la mejor forma cuando algo no previsto se manifieste.

Como todo en las organizaciones termina siendo un balance entre inversiones y costos, entre “Capex y Opex”, como afirman los de finanzas, la seguridad de la información tiene una realidad compleja para concertar (Krausz y Walker, 2013), pues entrar a medir su efectividad basada en niveles de protección o efectividad de las plataformas instaladas, no muestra con claridad la disminución de la incertidumbre del entorno, sino la capacidad instalada para contener lo conocido. De igual forma, las inversiones basadas en el nivel de riesgo proyectado, tienen la inestabilidad de situaciones como las vulnerabilidades de “día cero” no advertidas por los mejores pronósticos, que comprometen los mejores análisis que se tengan disponibles.

Así las cosas, la vista de costos e inversiones en seguridad de la información deberá estar asistida por el entendimiento de la inevitabilidad de la falla, por un umbral permitido de riesgo, de falla y de situación incierta, sobre la cual se construya una vista, que no puede ser estática, sino que debe responder a una evaluación periódica de las tendencias estructurales vigentes y emergentes que permitan afinar la brújula de la inversión requerida y así actualizar los retos propios de los costos, muchos de ellos no solamente en artefactos tecnológicos, sino en cambios de comportamientos humanos.

Dilema No.3 - La evolución de las tecnologías de información y el cibercrimen, una bondad que puede ser aprovechada por su contraparte.
Los avances tecnológicos establecen las nuevas fronteras del conocimiento y las novedosas formas alternas de hacer que las cosas pasen. Conforme la tecnología aparece y sus usos convencionales se revelan, existen mentes asistidas por “el lado oscuro de la fuerza” que se preguntan por usos “poco convencionales” de las soluciones tecnológicas, que violentan y quiebran el modelo sobre el cual fueron concebidas para recrear nuevas posibilidades que, cuando son utilizadas para fines positivos en la sociedad establecen puntos disruptivos que cambian la forma de hacer la cosas, o de lo contrario, crean contextos de zozobra e inquietud por los efectos contrarios que pueden darle a su propuesta, afectando los derechos y dignidades de los individuos (Goodman, 2015).

Es claro que el hombre, como naturaleza caída, tiene la tendencia natural hacia aquello que no es lo más generoso y santo, sin embargo en su lucha permanente con el reconocimiento del otro, encuentra momentos que le permiten conectarse con esa realidad y es allí, donde la tecnología puede favorecer los mejores instantes para construir y desarrollar productos y servicios que cambien la forma de hacer las cosas y crear condiciones de comunicación y encuentro superiores a las que se tienen en el momento.

Sin perjuicio de lo anterior, las conductas contrarias a la ley y aquellas que confrontan el orden establecido a través de artimañas informáticas, que terminan afectando a los individuos en sus libertades y derechos, establecen una referencia nueva para la sociedad y el derecho, que implica no solamente comprender los acuerdos sociales de convivencia vigentes, sino las técnicas que son utilizadas por los nuevos delincuentes informáticos para desestabilizar la armonía y la concordia en medio de la sociedad. Sus actuaciones, generalmente focalizadas con fines poco conocidos, dejan en evidencia no sólo las fallas de las tecnologías, sino la debilidad y limitación de los comportamientos humanos frente a los engaños e intimidaciones.

Mucho se podría hablar del cibercrimen, de la forma como actúa, de las técnicas que utiliza para concretar sus acciones, elementos que ofrecería un panorama amplio para conceptuar tendencias en este sentido (Medina y Molist, 2015), sin embargo no se alcanzaría a dimensionar sus posibilidades como quiera que la creatividad e innovación son prácticamente infinitas a la hora conjugar las intenciones del “lado oscuro de la fuerza” como los nuevos desarrollos tecnológicos.

En este entendido, el cibercrimen es una propiedad emergente del sistema social donde habita la humanidad, donde diferentes tipos de relaciones y perfiles dan cuenta de los desarrollos tecnológicos como medios para fundar nuevas oportunidades, muchas de ellas privilegiando el bien particular y no el bien general. No podemos esperar que esta realidad propia de los conglomerados sociales, se pueda eliminar por completo, pues estaríamos ante una contradicción frente a la génesis del origen de la humanidad.

Por tanto, es necesario considerar aquellas acciones contrarias que el cibercrimen pueda plantear, para efectuar una lectura diagnóstica de lo que ocurre y enriquecer los nuevos discursos de “defensa activa” que aumente la fortaleza y efectividad de los patrones de defensa y resiliencia que las organizaciones requieren en un entorno agreste y contradictorio (Goodman, 2015).

Dilema No. 4 - Regulación e innovación en seguridad, un reto de balance entre previsibilidad e incertidumbre.
Ante la divergencia de escenarios y entornos de operación que las empresas tienen a la fecha, y la necesidad de los mercados para tener una vista homogénea de la forma como las organizaciones enfrentan la incertidumbre de sus ambientes empresariales, las regulaciones y normativas aparecen como la estrategia de entes globales o multinacionales para tratar de concretar un conjunto de prácticas que les permitan valorar o medir la forma como una empresa se comporta y maneja sus condiciones corporativas, que den la confianza a sus inversionistas o motiven a otros a hacer nuevas apuestas en dicha empresa.

Las regulaciones imponen una forma particular de hacer las cosas, una práctica estándar que dice a los demás que pertenecen al mismo “club” que se está actuando de la forma adecuada y con un nivel de riesgo calculado. Cuando una empresa, se ajusta a las condiciones de su regulador, establece un régimen de actuación que exige comportamientos propios de las personas y acciones concretas cuando los procederes de los individuos se desvían de lo previsto. Todo ello lo que busca es disminuir la incertidumbre de las operaciones y aumentar la previsibilidad de los resultados, habida cuenta que los inversionistas quieren estar tranquilos con sus inversiones y la protección de sus intereses en la corporación.

Mientras las regulaciones demandan un cumplimiento de estándares de seguridad y control, que muestren el debido cuidado de la empresa respecto de los riesgos conocidos y validados desde la práctica internacional, las tendencias desconocidas o emergentes quedan relegadas a ejercicios posteriores o muchas veces inexistentes de las organizaciones. En este sentido, la innovación propia de la seguridad de la información, fundada en el cuestionamiento de los supuestos de los estándares y el reto de los modelos vigentes, es una práctica que se convierte en una apuesta arriesgada que aumenta la probabilidad de error y el compromiso de los controles actuales.

Mientras la regulación se funda un cumplimiento de una lista de controles y el aseguramiento de su efectividad, es decir en una pedagogía del éxito, donde el error es una situación contraria que compromete la efectividad de la práctica establecida; la innovación se concentra en la sabiduría del error, en la motivación de escenarios límite para probar y experimentar, donde la falla y la vulnerabilidad abre espectros de aprendizaje y renovación antes ignorados que fundan nuevas formas de entender el control y asegurar mejores niveles de protección de la información.

Por tanto, conjugar la regulación con la innovación, demanda una vista corporativa que sea flexible a la experimentación y pruebas de situaciones novedosas que aumenten el entendimiento de las prácticas de los atacantes, con una formulación abierta y de permanente actualización de la normativa disponible, que desacople el cumplimiento los requisitos de exigencias externas, como a base para continuar aprendiendo y fortaleciendo las prácticas de seguridad y control internas de la empresa.

Dilema No. 5 - Recolección de datos, control de armas y privacidad, implicaciones de un nuevo orden global.
Bien anotan Hagel, Brown y Wooll (2015) que no es fácil establecer los patrones de las nuevas disrupciones, identificar lo que podría ser un disruptor implica necesariamente explorar más allá de los límites de las tendencias conocidas y asumir la incertidumbre como la maestra de aquellos que quieren crear nuevas propuestas de valor. En este sentido, conquistar o revelar las oportunidades del futuro significa tener claridad de una nueva mentalidad digital (Schmidt y Cohen, 2014), que transforma todo lo que toca y posibilita las caídas de barreras autoimpuestas que dejan al descubierto aquello que era ignorado y ahora es relevante.

La mentalidad digital demanda mirar al mundo conocido desde tres puntos clave: las regulaciones, la cultura y la tecnología (Raskino y Waller, 2015, p.47). Cada uno de ellos permite interconectar las tendencias identificadas para crear un escenario posible, donde se pueda construir distinciones inéditas que establezcan potenciales fuentes de oportunidad para las empresas y movimientos de los mercados hacia zonas de crecimiento inesperado.

Este es el caso de la nueva carrera armamentista que construye “ciber armas” como fundamento de una posición vigilante y garante de las naciones frente a una amenaza informática, que se mantiene latente y activa. De igual forma, la recolección de datos a través de la red en diferentes puntos y países del globo, en donde los temas de privacidad adquieren una relevancia particular, como quiera que los derechos humanos y la protección de sus datos personales, se encuentran enraizados en regulaciones que exigen tratamientos adecuados y formales para sus titulares.

Estas tendencias tecnológicas, políticas y sociales, establecen retos particulares para la seguridad de la información y sus practicantes, como quiera que se advierten implicaciones claves en la regulación, la cultura y la tecnología. Si bien los nuevos estados-nación cuyas fronteras son imperceptibles en el contexto de lo digital, configuran propuestas de seguridad y control en un dominio que aún no se conoce en su totalidad, las regulaciones tratan de hacer lo propio con importantes limitaciones e incertidumbres y la tecnología habilita posibilidades que no pueden ser claramente delineadas y ajustada con los marcos legales existentes, es claro que estamos en terrenos movedizos que requieren una postura flexible que no renuncie a lo establecido, sino que lo potencie para anticipar el futuro.

Pensar en estas nuevas posibilidades y la manera como la información fluye y se concretan nuevas formas de crean valor para las organizaciones y las personas, es habilitar las puertas a un pensamiento relacional, que conecta las expectativas de los clientes con las plataformas tecnológicas de las organizaciones, reimaginando mundos probables que construyen nuevos imaginarios sociales donde los datos articulan e influencian las regulaciones vigentes y futuras, motivan tejidos sociales, ahora digitales, esto es, conectados con las necesidades y expectativas de las personas, que posibilitan la aparición de tecnologías disruptivas, las cuales no atentan contra lo establecido, sino que confirman la expectativa de un conglomerado social.

En este contexto, la seguridad de la información no es una limitación en sí misma, sino una dinámica inmersa en el imaginario social que se construye desde la responsabilidad de uso de los datos, desde el reconocimiento de las expectativas legítimas de los otros sobre el acceso y sobre manera, el respeto sobre el tratamiento digital de la información, como fundamento de la tecnología digital disponible, la cual no ignora los derechos y garantías individuales, sino que habilita las funcionalidades requeridas para conectar los puntos de generación de valor claves para las organizaciones y el mundo digital que acopla las regulaciones que salvaguarda las promesas de cuidado de la identidad digital de cada ciberciudadano.

Reflexiones finales
Los cinco dilemas presentados establecen un referente de las tensiones propias de la seguridad de la información y los retos que deben asumir todos aquellos que trabajan en esta área del conocimiento. Como se puede observar, cada uno de ellos es una lectura contradictoria, donde cada lado del dilema interroga al otro, como fuente de una conversación necesaria para poder motivar lecturas diferentes de la protección que permitan acompañar la evolución natural de la práctica y las posibilidades de aseguramiento que se puedan plantear.

En este escenario, por demás volátil, incierto, complejo y ambiguo (Johansen, 2009), la seguridad de la información debe concretar diálogos extendidos con diferentes disciplinas sociales y políticas habida cuenta que superar sus propios dilemas, implica reconocer que carece de las herramientas necesarias para darles forma. Esto es, habilitar una conexión con otras áreas del conocimiento para complementar el entendimiento que se tiene hasta el momento de la práctica de protección de la información y explorar nuevas opciones que potencien las propuestas actuales.

Cuando la seguridad de la información, consulta sus inicios y encuentra que su asidero conceptual se funda en elaboraciones matemáticas y tecnológicas, sabe que la ruta de evolución le exige transitar por terrenos menos definidos como consecuencia de la presencia de los individuos y sus comportamientos (Roer, 2015)  como elemento conexo de la realidad del proteger, lo cual verifica la tensión fundamental que enfrenta toda sociedad como lo es “proteger o compartir”.

Así las cosas, no es descabellado pensar que en un futuro cercano muchas de las ciencias sociales estarán volcadas al estudio de la seguridad de la información, como objeto de estudio relevante, habida cuenta que la sociedad de la información y el conocimiento, reconoce que la información es un activo y como tal demanda una serie de prácticas y comportamientos que deben estar ajustados con principios éticos y de convivencia, que necesariamente corresponden a bienes superiores de una sociedad ahora en formato digital.

En consecuencia, cada uno de los dilemas planteados establece una ventana de oportunidad para concretar investigaciones que funden nuevas formas de conocer y explorar las fronteras de la protección de la información en un mundo digital. Lo anterior, es un llamado para motivar lecturas transdisciplinares (cruzando disciplinas del conocimiento) (Huerta, Zambrano, Pérez y Matsui, 2014) de los profesionales de la seguridad de la información sobre sus propios estándares y habilitar nuevas posibilidades para repensar la dinámica de sus reflexiones alrededor del aseguramiento de la información.



Referencias
Goodman, M. (2015) Future crimes. Everything is connected, Everyone is vulnerable and what we can do about it. New York, USA: Doubleday.
Hagel, J., Brown, J. y Wooll, M. (2015) Patterns of disruption. Anticipating disruptive strategies in a world of unicorns, black swans, and exponentials. Research Report. Deloitte University Press. Recuperado de: http://dupress.com/articles/anticipating-disruptive-strategy-of-market-entrants/
Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
Krausz, M. y Walker, J. (2013) The true cost of information security breaches and cyber crime. Cambridgeshire, UK: IT Governance publishing.
Medina, M. y Molist, M. (2015) Cibercrimen. Aprende de víctimas, expertos y cibervigilantes. Barcelona, España: Tibidabo Ediciones.
Raskino, M. y Waller, G.  (2015) Digital to the core. Remastering leadership for your industry, your Enterprise, and yourself. Brookline, MA. USA: Bibliomotion Inc.
Roer, K. (2015) Build a security culture. Cambridgeshire, UK: IT Governance publishing.
Schmidt, E. y Cohen, J. (2014) The new digital age. Transforming nations, businesess, and our lives. New York, USA: Vintage Books.

Suplemento Temático: Los nuevos retos del Director de Seguridad

 


Fuente: IT-Insecurity
Fecha: 2015-12-21

   Mas artículos de Jeimy J. Cano        Otros Expertos   

Este experto ha sido visto por 619 personas.