ISACA Journal
Volume 5, 2,016 

Translated Articles 

Ciber ataques—La inestabilidad de lo que hemos aprendido en seguridad y control 

Jeimy J. Cano, Ph.D., CFE 

En un mundo de cambios acelerados y tendencias digitales, las prácticas de seguridad y control se convierten en un ejercicio permanente de reinvención. Generar valor, sorprender positivamente al cliente y crear discontinuidades de forma periódica son los “mantras” empresariales que dominan la literatura disponible sobre la gerencia en el siglo XXI, que no son ajenos a la realidad de los ejecutivos de seguridad y ciberseguridad de la información.

Alineados con lo que indica Diego Esteban, socio de la consultora internacional Russell Reynolds, sobre la importancia de la ciberseguridad en las empresas podemos afirmar: “Hay dos tipos de empresas: las que han sufrido un ataque informático y las que no se han enterado”,1 reflexión que pone de manifiesto por lado, una realidad empresarial donde los directorios empresariales si bien están preocupados por los ciberataques, pocos tienen conocimiento de esta realidad1 y por otro, la confianza excesiva en aquello que se conoce de las prácticas y estándares de seguridad y control.2

Mientras los esfuerzos para comprender cada vez más los patrones de los atacantes y sus acciones se consolida en la dinámica táctica y operacional de la empresa, particularmente centrada en las áreas de seguridad tecnológica, las implicaciones e impactos sobre la dinámica del negocio sigue rezagada de las discusiones de los cuerpos de dirección empresarial. Esta realidad, contrasta con los continuos reportes internacionales3, 4 que manifiestan la necesidad de concretar espacios para aumentar la capacidad de las empresas para construir una postura vigilante y proactiva a nivel estratégico en esta temática como factor definitivo para crear un entorno resiliente, basado en escenarios posibles y probables.

Desarrollar una visión de ciberseguridad no es fácil5 pues consolidar una puesta en operación de acciones básicas de seguridad y control como aislamiento, control de acceso, cifrado, autenticación y monitorización permanente, no es suficiente, ya que muchas de las acciones de los atacantes se centran en vulnerar las tecnologías en sí mismas, cambiando parámetros de forma ligera, sin afectar la funcionalidad completa, dejando el menor rastro de presencia y aumentando la invisibilidad de sus acciones.

Adicional a lo anterior, la necesidad permanente de aumentar la digitalización tanto de las operaciones como de los productos en las empresas, establece un nuevo ámbito de análisis para los profesionales de seguridad y ciberseguridad, habida cuenta que los negocios requieren mayor conexión y contacto con sus clientes, para crear alternativas novedosas, incluso antes de que ellos las determinen.6 En consecuencia, la conectividad sirve como un imán para los ataques emergentes como quiera que las interfaces crean puentes que conectan mundos digitalizados, con prácticas de protección no homogéneas e inciertas que pueden materializar impactos operacionales y económicos desconocidos.

En este sentido, esta reflexión plantea la necesidad de actualizar los conocimientos y saberes acumulados por la práctica de seguridad de la información, para renovarlas a la luz de un mundo digitalmente modificado e hiperconectado.

Saberes estandarizados para un mundo conocido

El mundo digital estresa los modelos de seguridad y control conocidos, establece una propuesta de conceptos emergentes como la resiliencia, la supervivencia y la reinvención, que son palabras y retos que deben motivar la resignificación de las prácticas conocidas y su adaptación a las nuevas exigencias del entorno actual.

Cuando se observa el documento de seguridad y control recientemente desclasificado del Departamento de Defensa de los Estados Unidos con las prácticas de protección correspondientes se advierte que los estándares que tenemos a la fecha han seguido una ruta concreta y focalizada para mantener una confianza en la infraestructura tecnológica que aún permanece y se aplica, con cierta regularidad.7

No obstante, también se puede observar que se han descuidado otros ámbitos de protección como la emisión de frecuencias de los dispositivos electrónicos y cables de conexión, los cuales hacen parte de la dinámica de la operación tecnológica y por lo general se asumen asegurados desde su configuración e instalación. Es posible que esta categoría vuelva a tener la relevancia del pasado, como quiera que ataques recientes sobre dispositivos móviles y tecnologías inalámbricas recrean este tipo de actividades que ya en los 70’s era parte natural de los análisis de riesgos en las instalaciones militares.

El documento en mención fundamenta el problema de la seguridad desde tres puntos de vista:

  • No es único o particular a un sistema computarizado o su configuración, aplica a un amplio espectro de tecnologías computacionales.
  • Un usuario debe protegerse de la interferencia de otro o por el sistema mismo, para preservar la integridad de sus datos y sus programas.
  • La información clasificada exige de los proveedores de hardware y software incorporar niveles de protección adicional para aquellas máquinas que operan en ambientes seguros.8

Estas tres declaraciones, que confirman que las medidas de seguridad física no son suficientes para asegurar un nivel mínimo de penetración de los sistemas computarizados, establecen las reglas que permitían, en su momento, aumentar la dificultad de un tercero para comprometer los ambientes computarizados, físicamente distribuidos y con recursos compartidos.

Se revisamos en detalle la publicación de 1970 muchas organizaciones a la fecha se mantienen con la misma base de controles y verificaciones, las cuales se han acuñado en múltiples listas de chequeo, que son ejecutadas de manera sistemática y validadas respecto de la evidencia exigida, que indique su adecuada aplicación y funcionamiento de acuerdo con lo esperado.9

Llama la atención de documento del Departamento de Defensa, una práctica que se denomina “aseguramiento contra condiciones imprevistas”, que en las investigaciones10, 11 más recientes se conceptualiza como “postura de falla segura”. Esta distinción busca tener una respuesta conocida ante eventos inesperados, con el fin de mantener un escenario de falla controlado, que responda a las especificaciones del entorno de programación y diseño de la solución informática.

Lo anterior debería ser un procedimiento natural de cualquier diseño de sistema digital, como quiera que la inevitabilidad de la falla, es la constante que nos condiciona para efectuar un desarrollo informático que sea resistente a las fallas y aun, cuando estas se presenten, podamos tener claridad de la respuesta que se puede tener y dar cuenta de la condición y estado en que se asume y concluye la ejecución de un programa o servicio.

De igual forma, el ejercicio de los registros de auditoria y su funcionalidad, cuyo objetivo en se centraba en “verificar que el sistema funcionaba correctamente y, más importante, que está siendo usado adecuadamente”,12 establece una lectura de monitoreo y control que buscaba:

  • Identificar plenamente el usuario dentro del sistema que se opera (nombre, identificación y terminal del acceso)
  • Registrar de todas las funciones del operador, incluyendo su nombre y la función que ha utilizado.
  • Registrar de los accesos no autorizados sobre los archivos incluyendo el nombre del usuario, su terminal y la identificación del programa.
  • Usar funcionalidades especiales del sistema como: generación de contraseñas, cambios de clasificación de la información, modificación de parámetros de seguridad, registros de transacciones.
  • Reinicios del sistema, fallas de los chequeos internos, ejecución de programas privilegiados sin autorización, operaciones manuales, fallas ambientales.13

Hoy los registros de auditoría generalmente se requieren cuando alguna condición contraria se presenta, con el fin de explicar qué pasó, pero no como información relevante para anticipar comportamientos en el sistema objetivos, que permitan afinar el funcionamiento del mismo o mejor, motivar cambios claves que prevengan situaciones futuras que afecten su correcto funcionamiento. Los archivos de auditoría en la actualidad son tratados como archivos de segunda, que por lo general hacen parte de la lista de archivos que son candidatos para ser eliminados.

En resumen, podemos indicar que por más de 40 años las lecciones aprendidas de la aplicación de estas prácticas, se han capitalizado tanto por los profesionales de seguridad de la información como por los auditores de tecnologías de información, configurando los conocidos controles generales de tecnología, que en la actualidad siguen haciendo parte de la forma como se mantiene la razonabilidad de la seguridad de un sistema y el reporte que tranquiliza a la alta gerencia, al saber que ha cumplido con su deber de cuidado.

Saberes complementarios para un mundo volátil, incierto, complejo y ambiguo

¿Todo lo aprendido y aplicado desde 1970 en materia de seguridad y control genera tranquilidad para las organizaciones hoy en un mundo volátil, incierto, complejo y ambiguo? Posiblemente la respuesta no sea concreta, pues entra en contradicción con la variable costo-efectiva del control, que media frente a la probabilidad y el impacto de una falla, para asumir una postura razonable que permita una inversión eficiente en mecanismos de seguridad alternos.

Esta tensión inherente frente a la realidad inestable y los movimientos inesperados de los atacantes, que en cualquier momento pueden someter y desvanecer los mecanismos de protección previstos, debe motivar un cambio de aproximación sobre los saberes consolidados alrededor de la protección de la información, y movilizar reflexiones complementarias que incorporen lo que es conocido y practicado, con aquello que es incierto y aún no experimentado.

Lo anterior significa pasar de lo conocido a lo desconocido y finalmente a lo incierto, donde reina lo transitorio y cambiante.14 Por tanto, las herramientas tradicionales, como análisis costobeneficio, programación lineal, árboles de decisión, modelos estocásticos, seguros y coberturas, entre otros, si bien configuran un portafolio de conocimiento clave y relevantes para conquistar y tratar de predecir la realidad, no cuentan con la variedad requerida para dar cuenta de la variabilidad de un entorno cada vez más orientado por la complejidad y el caos.

Así las cosas, los profesionales de seguridad de la información y de la ciberseguridad, deben consultar nuevos enfoques que privilegien la construcción de competencias de pensamiento superior asistidas por la planeación por escenarios, el pensamiento de sistemas, la teoría de la complejidad, los errores deliberados, la intuición estratégica, entre otras, que le permitan reconocer patrones y posibilidades disponibles en el entorno, para actuar de manera anticipada y proactiva, frente a la inevitabilidad de la falla.

Es por esto que, las tecnologías recientemente liberadas responden a estos enfoques, para que la sabiduría del analista, lo contradictorio e inesperado del atacante y la capacidad computacional disponible, creen escenarios de correlación y análisis que permitan abordar la realidad de la falla, como una opción relevante que aprende y reconfigura las reglas de actuación conocidas, validan la fortaleza de los controles y confrontan la efectividad de los mismos.

En consecuencia, los indicadores de efectividad de las tecnologías de seguridad informática basado en una vista de retrovisor, es decir, fundados sobre hechos cumplidos, retroalimentación y análisis de causa raíz, se deben complementar con otros de potencial, orientado por capacidades que se deben desarrollar, errores anticipados y aprendizaje permanente, que hagan de la toma de decisiones un espacio dinámico para comprender el escenario y la fuente natural de contradicción que desarrolle un pensamiento sistémico15 y por fuera de la caja, semejante al del atacante.

La realización del valor de un ciber ataque

Un ciber ataque, como se ilustra en la figura 1, es un ejercicio de creación y aprovechamiento de vulnerabilidades convergentes entre lo físico y lo digital, que considerando los activos de información valiosos en línea, las redes digitales abiertas e interconectadas y las capacidades desestabilizantes de los atacantes, son capaces de producir cambios de percepción en el entorno (incertidumbre e inestabilidad) asistidos por una absorción ágil de las discontinuidades tecnológicas, que resultan difíciles de detectar y enfrentar, dada su invisibilidad y poca disponibilidad de rastros, muchos de ellos inconsistentes, modificados o inexistentes.

Un ciber ataque confirma la responsabilidad fragmentada que se advierte cuando la convergencia tecnológica entre la tecnología de información y la tecnología de operaciones se funde en un producto digitalmente modificado. Esto es, que tanto los encargados de mantener el control de los procesos industriales o de fabricación, es decir, aquellos que aseguran que las fallas de la operación no afecten el mundo exterior, así como los profesionales de seguridad de la información, cuyas actividades están concentradas en evitar que entes externos comprometan los equipos internos, no comparten un nuevo dominio de protección denominado resiliencia digital.

La resiliencia digital es una práctica que combina lo mejor de la disciplina operativa con la resistencia de las protecciones perimetrales, de tal forma que, articulando las personas, los procesos, la tecnología y el marco normativo, es capaz de crear un esfuerzo conjunto que defienda no la infraestructura tecnológica, ni la operación de la planta, sino el valor de los procesos de negocio, creando y desarrollando una cultura de prevención y anticipación frente lo inesperado y lo incierto.16

Mientras el ciber ataque encuentre una vista especializada o parcial de la defensa y anticipación en la estrategia de protección, la efectividad de sus acciones hará evidente la falta de comunicación entre las áreas, la debilidad de las interfaces disponibles, la inexperiencia del directorio, la desalineación de los objetivos estratégicas y sobre manera, la ausencia de lecciones aprendidas por condiciones semejantes sobre la infraestructura o información relevante para la organización.

Si aceptamos el hecho que los ejecutivos corporativos de más alto nivel están más preocupados por los ataques internos, las brechas de seguridad externas y los empleados desinformados y dicha vista no se alinea con las prioridades de los profesionales de seguridad en la operación: los ataques externos, la seguridad en la nube y el malware a la medida, estamos creando un caldo de cultivo relevante para las pretensiones de los “chicos malos”: un contexto apto para crear la confusión y actuaciones erróneas que invisibilizan las intenciones del ataque y motivan procedimientos de contención y erradicación que comprometen la evidencia del mismo.

Así las cosas, la promesa de valor del ciber ataque no es últimas la condición adversa que se puede lograr en el objetivo, sino la pérdida de atención que este provoca, para desplegar la intencionalidad real de la acción que es desestabilizar la organización y alterar su posición en el contexto de su negocio, que desestima el apetito al riesgo empresarial y aumenta la desconfianza de los ejecutivos frente al aseguramiento de los riesgos residuales.17

Si lo anterior se logra, el ecosistema digital que apalanca la acción digital adversa, cumple su promesa de valor, creando inestabilidad e innovación para los propósitos del atacante, en contraste con la inversión tecnológica prevista por la empresa que compromete su esperanza de hacerse más resistente a los ataques.

Repensando la seguridad y el control

Los saberes consolidados de muchos años de práctica y resultados positivos alrededor de las prácticas de la protección y el control, han permitido un avance fundamental para concretar patrones de aseguramiento que hoy están disponibles en las empresas;18 sin embargo, este conocimiento al enfrentar la dinámica del entorno actual deja en evidencia la necesidad de actualizar los fundamentos de sus conceptos, para concretar una vista renovada de la seguridad y la confianza en los cuerpos directivos.

Si bien no es posible determinar cuándo ocurrirá un ataque o cómo será el vector determinante del mismo, si podemos saber cómo deberá ser nuestra actuación, como quiera que la postura vigilante de la infraestructura de seguridad tecnológica disponible estará monitoreando de manera activa las particularidades del entorno y descubriendo la incertidumbre estructurada19 que allí se revele.

En una era donde el concepto de perímetro se desvanece cada vez más, que la movilidad es el fundamento de la sociedad digital e instantánea y los productos y servicios son modificados digitalmente, los temas de seguridad y control, se convierten en parte de la promesa de valor de esos nuevos bienes, habida cuenta que el flujo de información aumenta y permite conocer mejor a la persona, sus gustos y preferencias.

Por todo esto, los ciber ataques crean un doble efecto para la sociedad, las personas y las empresas. Uno que comunica la urgencia de motivar la experimentación y los errores deliberados para pensar de forma asimétrica la realidad, como el atacante, y el otro que repiensa las prácticas existentes para incrementar el retorno de las lecciones aprendidas,20 como base defender la operación y los flujos de información disponibles.

Conclusión

Los ciber ataques como lenguaje de retos y riesgos frente a la protección de la información, la infraestructura y los procesos productivos, demandan apertura y confianza con la comunidad de negocios, para construir un escenario de guerra desde donde no se hacen reproches sobre el pasado, ni apuestas sobre el futuro, sino que se concreta una vista del presente basado en el conocimiento de los otros, la vigilancia del entorno, la disciplina operativa y la reflexión personal.

Referencias

1 Florio, L.; “La ciberseguridad, una necesidad que las empresas cada vez valoran más,” La Vanguardia, 25 April 2016, www.lavanguardia.com/economia/20160418/401196827086/ciberseguridad-empresa-russell-reynolds.html
2 Ibid.
3 Deloitte, Assesing Cyber Risk: Critical Questions for the Board and C-suites, 2016, https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Risk/gx-ers-assessing-cyber-risk.pdf
4 IIARF Research Report, Cybersecurity: What the Board of Directors Needs to Ask, ISACA and IIARF, 2014, www.isaca.org/knowledge-center/research/researchdeliverables/pages/cybersecurity-what-the-board-of-directors-needs-to-ask.aspx
5 Denning, P.; D. Denning; “Cybersecurity Is Harder Than Building Bridges,” American Scientist, vol. 104, no. 3, May 2016, p. 155, www.americanscientist.org/issues/pub/2016/3/cybersecurity-is-harder-than-building-bridges
6 Pitzer, D.; A. Girdner; Addressing and Managing Cyber Security Risk and Exposures in Process Control, Society of Petroleum Engineers Intelligent Conference and Exhibition, 1-3 April 2014, The Netherlands
7 Department of Defense; Security Controls for Computer Systems (U): Report of Defense Science Board Task Force on Computer Security, 11 February 1970, USA, http://seclab.cs.ucdavis.edu/projects/history/papers/ware70.pdf
8 Ibid.
9 Ibid.
10 Axelrod, C. W; Engineering Safe and Secure Software Systems, Artech House, USA, 2013.
11 Basin, D.; P. Schaller; M. Schlapfer; Applied Information Security: A Hands-on Approach, Springer, Germany, 2011
12 Op cit, US Department of Defense
13 Ibid.
14 Schoemaker, P.; Brilliant Mistakes: Finding Success on the Far Side of Failure, Wharton Digital Press, USA, 2011
15 The Coaching Room; “Thinking Globally Is A Skill That Can Be Taught,” Thecoachingroom.com, 22 January 2016, www.thecoachingroom.com.au/blog/thinking-globally-is-a-skill-that-can-be-taught
16 Kaplan, J.; T. Bailey; D. O’Halloran; A. Marcus; C. Rezek; Beyond Cybersecurity: Protecting Your Digital Business, Wiley, USA, 2015
17 Boville, J.; “Does Aligning Cybersecurity, Process Safety Approaches Reduce Risk?,” Pipeline and Gas Journal, vol. 243, no. 2, February 2016, https://pgjonline.com/2016/02/08/does-aligning-cybersecurity-process-safety-approaches-reduce-risk/
18 Myrvang, P.; T. Winther; “Top 10 Cybersecurity Vulnerabilities for Oil and Gas,” Pipeline and Gas Journal, vol. 243, no. 2, February 2016, https://pgjonline.com/2016/02/09/top-10-cybersecurity-vulnerabilities-for-oil-and-gas/
19 Charan, R.; The Attacker’s Advantage: Turning Uncertainty Into Breakthrough Opportunities, Perseus Books Group, USA, 2015
20 Birkinshaw, J.; M. Haas; “Increase Your Return on Failure,” Harvard Business Review, May 2016, https://hbr.org/2016/05/increase-your-return-on-failure

Jeimy J. Cano, Ph.D., CFE
Es profesor e investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI)de la Facultad de Derecho de la Universidad de los Andes (Colombia) y es candidato a su segundo título de doctor, ahora en educación de la Universidad Santo Tomás (Colombia).

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.