Saludos, En las últimas semanas prestigiosos semanarios en los Estados Unidos publican sendas investigaciones acerca de esta materia: Ciber-Seguridad. La terminología que se utiliza para nombrar este tópico tiene una serie de adjetivos que se ponen sobre el tapete de acuerdo a la fuente de donde provienen, y a los campos de interés de sus autores. Los ciber-ataques más frecuentes tienen que ver con la violación de sistemas de almacenamiento de la información de usuarios (Conocido como Data Breach), estos tienen la intención de apropiarse de los datos para acceder a cuentas de banco, habilitar tarjetas de crédito, hacer transferencias de dinero, o simplemente comercializar esa información en paquetes, los mismos que son consumidos por criminales informáticos que usan esta información de diferentes formas y maneras.
De manera general, la finalidad del criminal, en todas sus facetas, es crear un ambiente de miedo e inseguridad con la intención de que los miembros de la sociedad donde perpetra sus delitos tengan la guardia baja, facilitando con ello el trabajo delictivo del malhechor. La cobertura de medios se hace, para mi gusto, de una manera que alimenta esa figura de miedo e inestabilidad. Se entiende que quien publica un artículo que cubre esta materia debe presentarla de una manera que llame la atención de sus lectores, oyentes o televidentes. Sin embargo, poco abona en favor de mitigar el riesgo una actitud que sobredimensiona el problema. Quizás algún entendido de la materia me dirá que los cientos, sino miles, de millones de dólares en pérdidas son suficientes para darle la calidad de urgencia que merece el trato ante la amenaza de la Ciber-Delincuencia.
La respuesta ante lo antes mencionado es: Claro que si, no solamente es suficiente, sino que es alarmante, y peligroso en extremo. Sin embargo pienso que la actitud de primera respuesta debe ser de Serenidad y Firmeza. Serenidad para no perder el control, y Firmeza para demostrar al agresor que ni débiles, ni inestables, que quienes estamos detrás de nuestros negocios y operaciones, somo profesionales responsables que cubrimos aquellos aspectos que pueden presentar puntos frágiles, que eventualmente den cabida a estas malas prácticas, pero que estamos constantemente preocupados de asegurar un correcto desempeño de nuestros sistemas de información.
Los gigantes de la tecnología (por favor no me fuerce a nombrarlos una vez más) han formado incluso equipos de elite para atacar esta materia. Estos grupos especiales que se suman a una creciente industria del sector, declara que uno de los puntos más vulnerables del ecosistema de Ciber-Seguridad es el Usuario. Correcto, usted y yo. Somos los usuarios quienes por múltiples razones abrimos la puerta para que los criminales de la era del Internet hagan su trabajo sin mayores contratiempos. Si nos ponemos a analizar por ejemplo una violación de datos, fruto de esa acción violenta se roban cientos de miles, millones en muchos casos, de registros con información confidencial de usuarios. Cuál es el porciento de “éxito” que tienen los miserables de coronar sus metas? En el mejor de los casos los venderán a otros inescrupulosos, y ellos alimentaran sus bots que lanzaran ataques para que fruto del volumen aumenten sus capacidades de éxitos.
Pero cuál es el porciento de éxito? Es decir, de mil registros robados, con cuántos de ellos han conseguido burlar niveles de seguridad, han accedido a sistemas de diferente naturaleza, y finalmente han robado algo. En el año 2014 IBM y el Intituto Ponemon hicieron un estudio que declaró que el promedio del costo de una violación de datos ha sido de US$ 5.85 Millones. Estas dos mismas instituciones, en sus estudios del presente año declaran que el costo de estos fenómenos han caído, representando ahora mismo US$ 3.62 Millones, lo que hacen notar es que si ese declive se presenta en el monto, lo que si ha a aumentado es el número del promedio de registros robados por cada violación de datos. Tengo una copia del informe para quienes quieran leerlo y analizarlo. Les digo otra vez mi sensación, me quedo un poco incrédulo acerca de la realidad analizada del asunto que tiene tanta repercusión, creo que le hacemos la tarea fácil al Ciber-delincuente soltando piezas informativas que describen con cifras una realidad que se percibe como lejana.
Sustento mi posición porque el usuario común, ante la sensación lejana, dice “no me ha tocado a mí, por tanto porqué tendré que estar en alerta”. Les digo algo, estar en alerta es una función que un ser humano, y me arriesgo a decir que incluso hasta los sistemas de más alto desempeño, no pueden mantener como una constante. Para una persona un estado de alerta genera niveles de ansiedad altos, y ello genera un efecto contrario cuando se mantiene en el tiempo. Estar alerta por mucho tiempo mina la capacidad de respuesta, la capacidad de defensa, lo que es un estado de emergencia pasa a ser una característica, una forma de vida, los seres humanos no podemos soportar ese grado de excitación, nos consume las energías, nos debilita, y eventualmente nos liquida.
Lo mismo sucede con los sistemas, por ello es que en Ingeniería Industrial existen conceptos como la Obsolescencia Planificada, método por el cual se predice desde el diseño, el tiempo de vida útil de un equipo, de un tipo de producto. Las razones son múltiples detrás de este, y de otros conceptos, siendo uno de ellos que por un efecto físico, el producto deja de operar, de entregar resultados en la manera como los entregaba en su primera fase de entrar a operación. Los Ingenieros de Planta y Producción deben por ejemplo, planificar sus paradas de producción para revisión y calibración de maquinaria, de lo contrario se echaría a perder ese bien de producción generando una serie de malestares e impactos negativos a todo nivel.
Por tanto, desde mi perspectiva, aquello de encriptar toda la data posible, o implementar toda una serie de productos que “protegen” diferentes acciones u operaciones, deben ser tomados con cierta incredulidad. Dice el dicho que a veces el remedio es peor que la enfermedad, la primera declaración es que el peligro y el riesgo son intrínsecos en la vida y en las operaciones a todo nivel, siendo parte del todo su eliminación es una utopía. Administrar el riesgo y mantener el peligro bajo control es el objetivo de una plataforma de seguridad. Esto tiene que ver con conceptos de continuidad de negocios, cuando un transmisor de datos encuentra que en su señal de comunicaciones existen otros equipos que transmiten/reciben datos con menor velocidad de las que este equipo es capaz, qué es lo que hace? Baja sus niveles de velocidad de transmisión de datos, y se ecualiza con la finalidad mantener un canal de comunicaciones uniforme. Esa es una mis propuestas, además de mantener la serenidad, constituir un medio que sea capaz de orquestar la diversidad en un medio ambiente de seguridad. Un administrador que tenga la capacidad de ecualizar las diferentes señales a fin de mantener sistemas de comunicación estables.
Por tanto la declaración que conviene en ese sentido es: ante la diversidad, orquestación! Las plataformas tecnológicas representan cada vez de mejor manera el comportamiento humano, son por tanto diversas, es cierto que el protocolo de Internet hace las veces de homologar u homogenizar la manera como nos comunicamos en Internet, pero también es cierto que la diversidad continúa, y mejor aún su existencia (de la diversidad) es positiva porque amplía las oportunidades de hacer mejor las cosas. Una sola manera, una manera uniforme de hacer las cosas, por contraparte, eleva el grado de riesgo ante la falla. Los sistemas de seguridad gubernamental en el mundo usan el concepto de compartimentar la información, es decir los miembros del equipo no manejan todos la data, sino que una parte, por tanto si alguno de ellos pierde o se presenta como frágil ante un ataque, se pone en riesgo una parte pero no el todo. Esa misma idea se debe implementar en Ciber-Seguridad, tomando en cuenta que debe siempre existir el concepto que he nombrado en el párrafo anterior, el Orquestador de operaciones que afine el sonido de todos los instrumentos de la gran orquesta de Ciber-seguridad.
Recapitulando conceptos:
- Serenidad y Firmeza: para responder un ataque que pretende generar miedo, confusión e inestabilidad.
- Estado de Alerta: es un estado de emergencia, pasajero, que no se puede mantener de continuo porque genera el efecto contrario para el usuario, y abre las puertas al ciber-delincuente.
- Obsolescencia Planificada: nada es para siempre, ni nosotros mismos los seres humanos, por tanto el fin de vida de un equipo o sistema debe estar por lo menos observado como un hecho de futuro.
- Descanso Programado: es necesario parar para calibrar los sistemas, las metodologías, los equipos. Una operación continua genera desgaste, por tanto es imprescindible una revisión programada de la efectividad de nuestros componentes en operación.
- Peligro y Riesgo: componentes intrínsecos de toda operación. La idea es mantenerlos bajo control para que el impacto sea menor, el daño sea controlado.
- Continuidad de Negocios: además de que sean los sistemas rápidos, estos deben ser confiables, por tanto debe existir una manera que a pesar de la existencia, estos (los sistemas) sigan operando a satisfacción de los usuarios (quienes deben ser conscientes que momentos de emergencia significan cambio drástico en la provisión del servicio).
- Orquestación: método o esquema por el que un administrador central ecualiza señales o medios de comunicación con protocolos de operación o comunicaciones, con la finalidad que los usuarios se comuniquen entre ellos a pesar de sus diferencias en métodos y maneras de recibir/transmitir.
Diré para finalizar que en un mundo como el que nos toca vivir, un mundo que transmite en señal abierta y en tiempo real, la capacidad de un ser humano de atender este requerimiento es limitada, la buena noticia es que tenemos plataformas de Inteligencia Artificial, de Robótica, y otras que pueden hacer ese trabajo con grados de operación mejores, y con grados de inteligencia cada vez más acordes con las expectativas de los usuarios. Esto a su vez permitirá que las personas, que los profesionales modernos puedan atender aspectos que tienen que ver con la individualidad del consumo humano. Mi ejemplo de esto último es el proceso que se utiliza para educar a los niños, hay que cambiarlo desde un método grupal a uno individual, sin que estos signfique aumentar costos que lo hagan imposible, o dedicar recursos de tal manera que los demás individuos dejen de recibir el beneficio. Más y mejor, eso es posible en la era de la Economía Digital y el Mundo del Internet.
Gracias por leerme.