Journal Online Seguridad Lógica y Seguridad Física: Dos Mundos Convergentes Jeimy J. Cano, Ph.D., CFE, es un miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Facultad de Derecho y un profesor distinguido de la misma facultad, Universidad de los Andes, Colombia; y él es un ingeniero de sistemas y computación, y un magíster en Ingeniería de Sistemas y Computación, Universidad de los Andes. Cano tiene un Ph.D. in Business Administration, Newport University. Caro fue presidente de ACIS durante el periodo 2005-2007. Contacto: [email protected].

Introducción Siguiendo las pautas del libro Holistic Management,1 podríamos definir la seguridad (figura 1), al igual que una organización, como un sistema viable, muy complejo, con un propósito, probabilístico y con posibilidades (esta última característica no es parte de lo propuesto por el libro mencionado). Viable, hace referencia a la capacidad de continuar existiendo en su entorno por sí mismo independiente del medio. La seguridad es viable en sí misma gracias a su dual, la inseguridad que vive permanentemente en el entorno, que le permite desarrollar la capacidad para manifestarse ante situaciones fortuitas, inesperadas y desconocidas. En este orden de ideas, no es posible pensar en la seguridad, sin considerar su dual, como el motivador clave para repensar el mismo. Muy complejo, entendida esta característica como las múltiples operaciones que realiza el sistema, que bajo la coordinación de todos sus miembros y basado en un cuidadoso diseño de estructuras de manejo y flujo de información, procura la viabilidad del mismo y el logro de sus objetivos. En el contexto de la seguridad, hablamos de las consideraciones de gestión del sistema de protección, basado en un reconocimiento y entendimiento de los riesgos como un elemento fundamental de la dinámica de la organización. Este sistema permanentemente se ve expuesto a las condiciones de la inseguridad, razón por la cual la complejidad propia del sistema, se debe mantener bajo observación y administración para lograr los objetivos propios del mismo. Con un propósito es una característica que nos habla de la capacidad de lograr los objetivos deseados. Para la seguridad, lograr los objetivos significa aumentar la confiabilidad del sistema que protege. Dicha confiabilidad, no es otra cosa que el reconocimiento de la inseguridad propia del entorno y del sistema que se quiere proteger,

como la cuota de riesgos o amenaza que se debe administrar. Probabilístico significa que el comportamiento de sus partes son probabilísticas e impredecibles, pero pueden ser guiados para alcanzar el objetivo deseado. En el contexto de la seguridad, exige del administrador del sistema de protección, reconocer la inseguridad como el evento probable e impredecible, que dice que tan confiable puedo llegar a ser. Con posibilidades es una característica que es complementaria e inherente a las interacción de todas las anteriores, pues busca reconocer en la acción de las propiedades explicadas previamente, opciones de conocimiento, aprendizaje y desaprendizaje de la seguridad, no solamente basado en el comportamiento del sistema de gestión de la seguridad, sino en las ventanas creativas que surgen cada vez que la inseguridad se materializa.

Figura 1—La Seguridad Como una Organización Inseguridad Seguridad Sistema Viable

Muy Complejo

Con Propósito

Con Probabilístico Posibilidades

Si lo anterior es correcto, estamos ante un concepto que evoluciona y crece con las condiciones del entorno, quien se alimenta de su dual de manera permanente, para hacer de la gestión de la seguridad un ejercicio permanente y creativo para enfrentar los errores, fallas y vulnerabilidades de la seguridad y así mantener un nivel de confiabilidad en el contexto del negocio. Reconociendo a la seguridad como un concepto sistémico y holístico que debe ser parte inherente de los procesos de negocio, se hace necesario analizar la evolución del mismo más allá de las fronteras de la lógica de los datos procesados y de los dispositivos de hardware conocidos, para avanzar en una construcción de ISACA JOURNAL VOLUME 6, 2009

1

un concepto de seguridad corporativo, integral y global, que vincule el mundo físico, informático y electrónico en una sola vista, con muchos lentes, que pueda ser comprendida por los ejecutivos de negocio, los gerentes de tecnología y seguridad física, así como por los individuos de la empresa. En razón con lo anterior, se desarrolla este documento que busca animar una reflexión básica sobre el concepto de Enterprise Security Management (ESM) (Administración de la Seguridad Corporativa), como fundamento de una nueva generación de ejecutivos de la seguridad, que pensando de manera relacional, avanzan desde las necesidades operacionales de la seguridad, hacia las exigencias tácticas y estratégicas de protección que se encuentran en las mentes y agendas de los ejecutivos de más alto nivel de las empresas. La Seguridad Física y Electrónica La historia de la seguridad inicia siempre con una materia prima para su existencia: un riesgo, un peligro, una amenaza. En este sentido, el escenario de la seguridad física se desarrolla en el contexto de la guerra contra un enemigo, que no busca otra cosa que vulnerar las estrategias de control y contención, entre otras, que tiene el objetivo atacado, para apoderarse de éste. De acuerdo con los teóricos,2 existen cuatro categorías de seguridad física (figura 2): las obstrucciones físicas, las técnicas de vigilancia, los sistemas de inteligencia y los guardias o personal de seguridad. Estas cuatro categorías representan la caracterización de la seguridad misma en el mundo tangible, que aún hoy por hoy existen y que cuentan, todas ellas con su referente en el mundo lógico. Las obstrucciones físicas, al igual que en el pasado, constituyen castillos, fuertes, puertas blindadas, paredes reforzadas, entre otras. Tener una fortificación, suponía una posición fuerte, de ventaja y cuidado para aquellos que quisieran vulnerarlo. Cada castillo era construido para “hacerle difícil” el ingreso a cualquier intruso que, sin autorización, quisiera tener acceso a los bienes protegidos por la construcción. Un fuerte era el signo de avance en técnicas de protección física, que asistido por candados, llaves de acceso y combinaciones hacían de la edificación un reto de inteligencia y sorpresa para aquellos que quisieran intentar traspasar sus barreras. Las técnicas de vigilancia, como aspecto complementario a la edificación, era un elemento clave para alertar cualquier movimiento que se percibiera en el perímetro de acceso 2

ISACA JOURNAL VOLUME 6, 2009

a la edificación. El concepto de monitoreo y vigilancia se desarrolla a la par con el avance en las edificaciones, haciéndose parte inherente de los diseños de éstos, como se sigue manteniendo hasta nuestros días. El monitoreo permanente y el sistema de alarmas (seguridad electrónica) que materializan algunas de las técnicas de vigilancia, establecen nuevos procesos y procedimientos que deben cumplirse como parte del sistema de protección de la edificación. La vigilancia no es componente accesorio de la edificación, es el sistema nervioso de la edificación, que ahora cobra vida gracias a las alertas permanentes del monitoreo. Los sistemas de inteligencia surgen como la forma más clara de analizar la información resultado de los sistemas de monitoreo y de reconocimiento del entorno de la edificación protegida. La inteligencia no solamente recaba información del ambiente donde se encuentra, sino indaga más allá de sus límites para hacer mejores estimaciones que permitan tener ventaja táctica y operativa ante amenazas y situaciones que pueden afectar el nivel de protección de la edificación y sus bienes. La función de inteligencia muestra la capacidad del componente humano, que asistido por las técnicas modernas de procesamiento de información, es capaz de simular escenarios, para tomar decisiones claras ante situaciones no previstas por la organización, pero probables en el contexto de su análisis. La guardia humana, los especialistas en protección física, son el componente de inteligencia humana y de efectividad operacional ante una amenaza. Es quien actúa y decide frente a una alarma o un escenario de falla, con el fin de conjurar el peligro o vulnerabilidad que pueda ser detectada. La seguridad materializada en los guardias o vigilantes, representa, al mismo tiempo, la mayor fortaleza del sistema de protección, pero también su peor enemigo. Si este personal, se encuentra claramente entrenado y capacitado frente a los procedimientos de operación previstos y reconoce en la inseguridad su aliada para desarrollar estrategias de defensa, estamos ante un elemento que edifica y fortalece el sistema de seguridad. De lo contrario, se advierte la presencia de un efecto sistémico de vulnerabilidad (falla en el diseño) del concepto de protección del sistema que lo contiene. Los cuatro elementos mencionados nos muestran que la seguridad es un proceso natural y propio del ser humano que vive en comunidad, es una propiedad que de manera intangible se exige en el escenario de la actividad empresarial

y personal, no como algo que es accesorio o innecesario, sino como aquello que es necesario para actuar y animar las actividades humanas en todos los escenarios de la vida.

Figura 2—Cuatro Categorías de la Seguridad Física Obstrucciones Físicas

Técnicas de Vigilancia

Sistemas de Inteligencia

Guardia Humana

La Seguridad Lógica y la Seguridad de la Información La evolución normal del concepto de seguridad en una sociedad de la información y el conocimiento, hace que las estrategias de seguridad de la antigüedad cobren vida en un mundo regido por los “bits y bytes.” Todas las condiciones de seguridad analizadas en el aparte anterior tienen sus equivalentes en el mundo de la informática y la tecnología. Si en la antigüedad los activos a proteger eran de condición tangible y real, como el oro, los semovientes y las personalidades, entre otras, hoy el activo fundamental se llama información. Esa pieza de datos procesados y analizados que constituyen la nueva moneda y pasaporte para vivir en la sociedad actual. La información se convierte en el activo de carácter intangible (por aquello que no es posible verlo a simple vista en su estado natural) y susceptible de manipulación, que hace que cada uno de sus dueños muestre interés en su protección y control. La información es ahora la razón evidente y concreta para que la industria madure en el uso y control de la misma a través de dispositivos informáticos y electrónicos que la reciban, almacenen, analicen, controlen y reporten, de tal manera que las organizaciones tomen decisiones, revisen sus estrategias y promulguen sus planes. Es importante aclarar, que si bien, en la antigüedad se tenía claro el manejo de la información, particularmente en los sistemas de inteligencia, en el contexto de la seguridad de la información, los elementos tecnológicos generan una complejidad particular que debe ser enfrentada y administrada por los nuevos guardianes, denominados analistas de seguridad.

Con la evolución de la computación, de un contexto cerrado y limitado en los 1970s, a uno más abierto y con más oportunidades en los 1980s, se inicia la carrera para el desarrollo de mecanismos de seguridad informática, particularmente orientadas a las redes como son firewalls, sistemas de detección de intrusos, criptografía asimétrica, Secure Socket Layer (SSL), proxies, entre otros, los cuales establecen una nueva responsabilidad para el área de tecnologías de información y por extensión de protección a las áreas de seguridad física. Los nuevos mecanismos de seguridad que se presentan recogen las prácticas de los 1970s y desarrollan nuevas funcionalidades para disminuir los impactos de la inseguridad propia de los protocolos asociados con TCP/IP, protocolo fundamental que se propone para interconectar los diferentes puntos tecnológicos disponibles en una organización. En este contexto, avanzan rápidamente las propuestas de seguridad y control de la información que ahora, no está concentrada en un punto específico de la organización, sino que fluye de manera asincrónica (en diferentes momentos) y asimétrica (en diferentes lugares y con diferentes temáticas) dentro y fuera de las empresas, lo cual, si lo comparamos con lo que se veía en la antigüedad, es una oportunidad y amenaza que puede o no, debilitar la posición estratégica y táctica de una corporación. Convergencia: Seguridad Integral Siguiendo lo establecido por ASIS International para la descripción del cargo de un chief security officer (CSO), éste es responsable por cuatro diferentes disciplinas de aplicación de la administración de riesgos: seguridad de la información, seguridad física, continuidad del negocio y valoración de riesgos.3 En este contexto, se muestra claramente que el concepto especializado de seguridad, revisado en el desarrollo de este documento, tiende a integrarse en un solo, que cobija las diferentes visiones del mismo problema al interior de la organización. Agregaríamos adicionalmente, los elementos propios de la protección de la vida humana como son los sistemas de emergencias, sistemas contra incendio, primeros auxilios y evacuaciones. La seguridad en el escenario propio de la globalización y de convergencia de los temas, no es una disciplina inmune a esta tendencia. Comprender la seguridad en un contexto integral, establece el nuevo paradigma de la seguridad corporativa ISACA JOURNAL VOLUME 6, 2009

3

como una disciplina de carácter sistémico y sistemático, que no escatima en análisis y revisiones para identificar posibles focos de inseguridad en cualquiera de los dominios presentados, para avanzar en estrategias interdisciplinarias que permitan una mejor comprensión de los riesgos de seguridad organizacionales. Por tanto, no existe una priorización de temas, o valoración de importancia entre ellos, pues todos suman al descubrimiento y construcción del sistema de gestión de seguridad, que cruza culturas, dominios de conocimiento, tipos de riesgos y amenazas, para concentrarse en los efectos de éstos, no en activos particulares, sino en los procesos de negocio, en sus flujos de información y su impacto en el logro de los objetivos organizacionales. La seguridad integral en el contexto actual exige una reflexión profunda de cada uno de los especialistas actuales, sus ideas, culturas e intereses, para que superando sus áreas de conocimiento, se establezcan rutas de conocimiento conjunto, armonizados por un solo objetivo, que es delinear una cultura de protección y valoración de activos, que sumando en un lenguaje común, pueda comunicar, actuar y modelar los riesgos a partir de la experiencia misma de las personas y su percepción de las amenazas en el desarrollo de sus actividades. Establecer lineamientos que permitan una seguridad integral, un concepto unificado de protección, implica cruzar los dominios de la seguridad física, informática, continuidad de negocio, valoración de riesgos, emergencias, evacuaciones, contraincendio, primeros auxilios e investigaciones derivadas de la materialización de los riesgos, en el escenario de sus operaciones y actividades detalladas, para luego evaluar las consideraciones tácticas de las mismas, que nos lleven a una visión estratégica de la seguridad que sea aplicable al proceso mismo de negocio; que apoyado con el especialista del área, reconozca lo sistémico del concepto y, lo sistemático y especializado de su aplicación. Del Enterprise Security Management (ESM) al Enterprise Security Governance (ESG) La literatura especializada en temas de seguridad integral, así como las tendencias internacionales sobre la convergencia de servicios y conceptos, detalla nuevas propuestas conceptuales que buscan ayudar a los profesionales y teóricos para visualizar una nueva práctica de la seguridad, ahora en un mundo global y más dinámico. 4

ISACA JOURNAL VOLUME 6, 2009

En este escenario los especialistas plantean una estrategia denominada enterprise security management (ESM), que podría traducirse como Administración o Gerencia de la Seguridad Corporativa, como ese concepto que permite a un analista monitorear la infraestructura de una organización en tiempo real, indistintamente el producto, proveedor y su versión.4 Si bien el concepto se utiliza generalmente en temas de tecnologías de información, recientemente se hace extensivo a los temas de seguridad física y electrónica, forjando una visión integrada de la seguridad organizacional, más allá de una alarma de alerta informática o ataque informático o de un acceso no autorizado o violación de un perímetro de seguridad física. El ESM es una respuesta concreta y práctica a la integración de tecnologías y conceptos de seguridad física, electrónica e informática que busca recolectar los registros de auditoría (logs), mensajes de error, fallas y alertas, que se denominan eventos, los cuales vienen de diferentes fuentes y con diferentes formatos, para luego correlacionarlos y establecer posibles patrones o vectores de ataque o incidentes en curso, que proporcionen a los analistas de seguridad orientación sobre las acciones que puedan adelantar frente al riesgo o amenaza identificada. Contar con un ESM es una manera de visualizar un tablero de control y monitoreo de los diferentes puntos de la infraestructura, que alineados con las mejores prácticas internacionales de registro, seguimiento y reconstrucción de eventos, es capaz de responder a las iniciativas normativas internacionales sobre protección de activos (cualquiera que éstos sean) y como soporte a las investigaciones que de sus análisis se deriven, para identificar a los posibles intrusos o atacantes de la infraestructura. Es importante anotar que contar con un ESM exige una infraestructura tecnológica especializada, un conocimiento holístico de los riesgos corporativos y la habilidad de cruzar de un dominio de especialidad técnica en seguridad a otro. Esto implica que las culturas de los especialistas de seguridad, los nuevos profesionales de la administración de riesgos y los entes de control, deben conjugar su experiencia y conocimiento para desarrollar unos nuevos lentes preventivos y correctivos, que vean más allá de un hecho mismo y correlacionen las diferente variables del escenario disponibles en los registros del ESM.

Si lo anterior es correcto, la siguiente evolución lógica del ESM será el Enterprise Security Governance (ESG), que podríamos traducirlo como el Gobierno de la Seguridad Corporativa, como un tema emergente táctico y estratégico que desarrolla una arquitectura de seguridad corporativa general y transversal, que basada en la administración corporativa de la seguridad, es capaz de alinear las necesidades de los ejecutivos de la empresa: disponibilidad, acceso, precisión y agilidad5 en un lenguaje común de acción que sea parte natural de los procesos de negocio. Esta arquitectura requiere de un arquitecto de seguridad; ese visionario que crea el concepto de cómo se deben dar las relaciones entre las diferentes especialidades de la seguridad e instaura las reglas de diseño que permitan definir los atributos del negocio críticos a proteger, los objetivos de control a considerar, las estrategias de seguridad y control a implementar, el personal especializado para operar, los puntos de seguimiento y auditoría para monitorear y, una mente abierta y despierta para desaprender y evolucionar.6 En esta nueva etapa planteada, que no es posible establecer cuando pueda ocurrir, las organizaciones podrán hacer parte de sus discusiones de alto nivel los temas de seguridad, no como requisitos funcionales de la operación de la empresa, sino como una manera de generar valor y diferenciación en los clientes. La seguridad será parte de los niveles ejecutivos como factor fundamental del proceso de la planeación del negocio; como esa propiedad que le da profundidad a las tendencias del mercado en cada una de las industrias. Reflexiones Finales “La preocupación por el futuro, la idea de dónde están las oportunidades y la comprensión del cambio organizativo no son patrimonio exclusivo de un grupo concreto: las personas de todos los niveles de la empresa pueden ayudar a definir el futuro.”7 Si esta afirmación es correcta, el futuro de la seguridad integral o el gobierno de la seguridad corporativa, se inicia en cada una de las iniciativas que se adelanten para comprender las diferentes integraciones de los dominios de especialidad en la seguridad. Estos esfuerzos de aprendizaje y descubrimiento de los puntos en común de los diferentes temas que aborda la seguridad, no es un desconocimiento de la necesidad de la especialización de cada una de las áreas, sino el llamado

formal de la academia, la industria, los reguladores y los gobiernos, para comprender de manera relacional y global los efectos de la inseguridad en la dinámica de los negocios actuales. La convergencia de la seguridad, en todos sus escenarios es la manera concreta y real de comprender que requerimos modelar los riesgos y no asumirlos; que requerimos mayor confiabilidad de los procesos y no seguridad; que requerimos una mente que descubra los nexos causales de los hechos y no sólo concentrarnos en los hechos particulares. Si asumimos los fenómenos convergentes de la seguridad en el escenario actual de un sistema globalizado, es posible avanzar con mayor agilidad a la siguiente etapa planteada denominada el Gobierno de la Seguridad Corporativa (figura 3).

Figura 3—Gobierno de la Seguridad Corporativa

Gobierno De La Seguridad

Expectativas

Arquitectura

Administración De La Seguridad

Acuerdos

Infraestructura

Operación De La Seguridad

Requerimientos

Tecnología, Procesos e Individuos

Relaciones entre gobierno, administración y operación de la seguridad Este gobierno necesariamente estará enmarcado en un proceso de madurez, que deberá asistir las acciones que fortalezcan las estructuras concretas de toma de decisiones para actuar, los canales de comunicación necesarios para coordinar y los acuerdos corporativos para alinear y satisfacer las expectativas de la alta gerencia sobre la protección de sus activos físicos y de información. La convergencia de la seguridad, en sus diferentes especialidades, es la respuesta nativa de la evolución de la inseguridad, como ese intruso invisible que habita en las relaciones evidentes entre la tecnología, la organización, las personas y las normas. Avanzar en la convergencia de la seguridad, con una mente sistémica, es dejar al descubierto los rastros de la inseguridad en cada relación, como una forma para seguir de cerca los retos y desafíos que implican las ISACA JOURNAL VOLUME 6, 2009

5

vulnerabilidades propias de los activos a proteger. Por tanto, si usted está pensando en avanzar hacia una modelo convergente de la seguridad recuerde los siguientes cinco (5) ingredientes vitales, que alimentarán su ánimo y harán evidentes las relaciones entre el gobierno, la administración y la operación: 1. Defina las expectativas de la Alta Gerencia como aquellos atributos de seguridad (confidencialidad, integridad, disponibilidad, confiabilidad, trazabilidad, entre otros) que deben ser inherentes al negocio. 2. Diseñe su arquitectura de seguridad basada en los atributos propuestos en punto 1 y en los flujos de la información corporativa. 3. Diseñe, implemente y actualice la infraestructura de seguridad conforme lo establecido en punto 2. 4. Administre los incidentes de seguridad como parte inherente de la operación en punto 3. 5. Monitoree los temas de cumplimiento y normatividad que les sean aplicables. Si está atento a estos ingredientes, su postura de seguridad convergente no sólo tendrá vida propia, sino que animará la discusión sobre la transformación de los ejecutivos de la seguridad, que ahora no serán sólo parte del grupo táctico y operacional, sino elementos de consideración en las reflexiones de las juntas directivas.

Agradecimientos El autor agradece de manera especial al Maestro Francisco Rivas Dueñas, Subgerente de Informática [Chief Information Officer (CIO)] y al Coronel® Hugo Ricardo Acuña, Director de Protección y Seguridad ambos ejecutivos que prestan sus servicios al Banco de la República (Banco Central de Colombia) por sus comentarios y reflexiones para afinar las ideas expuestas en el documento. Endnotes Christopher, W.; Holistic Management: Managing What Matters for Company Success, John Wiley & Sons, USA, 2007, p. 10-11 2 Contos, B.; W. Crowell; C. DeRodeff; D. Dunkel; E. Cole; Physical and Logical Security Convergence, Syngress, USA, 2007, p. 20-51 3 Ibid., p. 215 4 Ibid., p. 256 5 Westerman, G.; R. Hunter; IT Risk, Turning Business Threats Into Competitive Advantage, Harvard Business School Press, USA, 2007, p. 23 6 Sherwood, J.; A. Clark; D. Lynas; Enterprise Security Architecture. A Business-driven Approach, CMP Books, USA, 2005, p. 37 7 Hamel, G.; C.K. Prahalad; “Compitiendo por el futuro,” Harvard Business Review, 1994, p. 51-52, in La gesión en la incertidumbre, Editorial Deusto, 1999 1

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal. Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute® and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content. © 2009 ISACA. All rights reserved. Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited. www.isaca.org

6

ISACA JOURNAL VOLUME 6, 2009