Seguridad Informática y El Arte de la Guerra
Publicado en la revista de CEAS Internacional en la edición de 2007

Una visión estratégica

La vida es una lucha", plantea el viejo adagio latino Militia est vita. Y en realidad, esto es lo que representa el desempeño de las funciones de Seguridad: una lucha contra toda clase de riesgos. En tal virtud, podemos asumir como válido aplicar cualquier clase de métodos, enfoques o perspectivas de visión, que le ayuden a tener éxito en ese combate, entre ellos, la visión estratégica que proporciona El Arte de la Guerra, del maestro Sun Tzu, considerada como la suma y esencia del saber estratégico.

Las condiciones de vida y las tendencias de desarrollo actuales en la dinámica social y de negocios, han convertido a la INFORMACIÓN en un bien sustantivo primordial y de importancia estratégica para las personas y las organizaciones, enfatizando la realidad del principio que plantea que INFORMACIÓN ES PODER. Este efecto se extiende al ámbito de los recursos y servicios de las TECNOLOGÍAS DE LA INFORMACIÓN, en su función como herramientas para administrar y operar la información, lo cual los convierte en una forma de propiedades de gran valor para ambos, personas y organizaciones, y por ende objetivos potenciales para infligirles alguna clase de daño o perjuicio.

En este orden de ideas, dado que el propósito genérico de las funciones de SEGURIDAD es proteger y salvaguardar la existencia e integridad de las personas y sus propiedades, se puede establecer que el propósito de la SEGURIDAD INFORMÁTICA, en sentido estricto, sería proteger y salvaguardar tanto el acervo de información como la plataforma de recursos y servicios de tecnologías de la información de una persona u organización. Esta perspectiva contempla lo que se puede considerar como un enfoque estático de la problemática de la seguridad, proyectándola como una cuestión de defensa del propio territorio, en este caso de la información como una propiedad de las personas y las organizaciones.

Pero en un sentido más amplio, también se podría establecer que el propósito de la SEGURIDAD INFORMÁTICA es la protección y salvaguarda de las personas y las organizaciones en todos los aspectos de su actividad que involucran el manejo de información, en especial por medio del uso de recursos y servicios de tecnologías de la información, con una perspectiva que se puede considerar como de enfoque dinámico para la problemática de la seguridad, proyectándola como una defensa integral, en la que se abarca tanto el enfoque de defensa del territorio, como la defensa de los intereses de las personas y las organizaciones, mientras se desenvuelven en el curso de sus actividades.

En ambos casos el punto de partida para resolver la problemática de la seguridad corresponde a la definición del problema a resolver, lo cual consiste en identificar y dimensionar el perfil de riesgos existente, a partir de lo cual será posible aplicar cualquier tipo de método que se desee para su análisis y eventual solución. En este sentido, para propósitos del enfoque estático se proyecta un perfil de riesgos alrededor del concepto de la propiedad, o sea el acervo de información, en el que se contemplan los efectos de:

  • Pérdida o destrucción de la información.
  • Corrupción o distorsión del contenido de la información.
  • Sustracción de la información.

Los cuales se manifiestan en el ámbito interno de las personas y las organizaciones, en forma individual o combinada, y que pueden ser el resultado de una causa accidental, por la ocurrencia de una situación totalmente fortuita, incidental, como consecuencia de un error, o intencional, como resultado de una acción conciente, planeada y/o concertada.

Por su parte, para propósitos del enfoque dinámico se proyecta un perfil de riesgos alrededor de la actividad, esto es, las operaciones en que se involucra el manejo de información, en el que se contempla, además de los antes descritos, efectos sobre los intereses de las personas y las organizaciones, tales como:

  • Impactos al patrimonio.
  • Impactos a su imagen y/o posición social.
  • Impactos a su estructura y/o viabilidad existencial.

Los cuales se manifiestan en el entorno externo desde un punto de vista funcional, y que se pueden derivar del mismo tipo de causas, accidentales, incidentales o intencionales.

Para el análisis de estos perfiles de riesgo, las fórmulas presentadas en El Arte de la Guerra, del maestro Sun Tzu, no ofrecen una solución específica para casos particulares, sino que plantean recomendaciones generales con un enfoque estratégico, las cuales requieren de una cierta interpretación, una vez definida el área en que se pretende aplicarlas. En este sentido, las fórmulas propuestas sugieren tres líneas de pensamiento:

El conocimiento del terreno, entendido como conocer el entorno en que se ubican y desempeñan las actividades, para establecer las ventajas y desventajas que nos puede ofrecer.

El terreno se debe evaluar en términos de distancia, dificultad o facilidad de movimiento, dimensión y seguridad. Lo primero que debe de tenerse en cuenta es la condición del terreno. Con los datos correspondientes se maniobrará con seguridad, puesto que se conocen las ventajas y desventajas que tendrán las tropas en acción. Se sabrá así el número de tropas necesario y la relativa seguridad del medio en que se va a actuar.

Para el enfoque estático, el terreno se refiere a la estructura interna de las personas y las organizaciones, en donde reside el acervo de información y las herramientas para su administración. Asimismo, para el enfoque dinámico, el terreno se refiere a los ámbitos externos en que las personas y las organizaciones desempeñan sus actividades, por ejemplo el medio de negocios o el medio de Internet, donde operan sus transacciones financieras.

El conocimiento del enemigo, entendido como conocer las fuentes desde las que se pueden materializar los riesgos proyectados, así como sus formas de actuación.

Por eso se ha dicho: Si conoces a lo otros y te conoces a ti mismo, no estarás en peligro en cien batallas. Si no conoces a los otros y te conoces a ti mismo, puedes ganar una y perder otra. Si no te conoces a ti mismo, estarás en peligro en cada batalla. Comenta Zhang Yu: Cuando conoces a los otros eres capaz de atacarlos. Cuando te conoces a ti mismo, puedes protegerte. El ataque es el tiempo de defenderse, y la defensa es la estrategia del ataque. Si sabes esto no correrás peligro si te bates en cien batallas. Cuando te conoces puedes conservar tu energía y esperar.

Para el enfoque estático, el enemigo se refiere a todo aquel que pueda tener acceso o efecto sobre la información, por ejemplo los operadores, los sistemas y bases de datos, los equipos de cómputo y de comunicaciones a través de los cuales se opera la información, y los agentes externos que pudieran tener acceso tanto al acervo de información, como al uso de los medios de operación. Asimismo, para el enfoque dinámico, el enemigo se refiere a todo agente externo que se pueda relacionar, ya sea con acceso al ámbito interno, o bien con acceso a las entidades con las que interaccionan las personas y las organizaciones en el curso de sus actividades.

En este sentido, un ejemplo de enemigo son los hoy llamados Hackers, de los cuales, en un 80% de los casos conocidos, tienen un origen interno en las organizaciones.

El conocimiento de los medios, entendido como conocer las vías en que pueden acceder los riesgos a sus objetivos de afectación.

Hay rutas que no se deben seguir, ejércitos que no se deben atacar, ciudadelas que no se deben asediar, terrenos sobre los cuales no se deben disputar y órdenes civiles que se deben acatar. Por esto, los generales que saben adaptarse a todas las situaciones de la guerra, para tomar ventaja en el terreno, saben usar su fuerza. Si no tienen capacidad de adaptación, aún cuando conozcan el terreno no pueden ganar. Si se comanda un ejército sin conocer las reglas de adaptabilidad, aún cuando se sepa cuál puede ser la ganancia, no se logrará el respaldo de la tropa. El jefe inteligente siempre tiene en cuenta tanto el beneficio como el daño. Considerando el beneficio puede ampliar sus acciones. Conociendo el daño se pueden resolver de antemano muchos problemas. Jo Yanxi agrega que beneficio o daño son independientes, y por esto los jefes ilustrados siempre los tienen en cuenta.

Para el enfoque estático, los medios se refiere a los espacios de oportunidad existentes en la plataforma interna de recursos y servicios de tecnologías de la información, con que se opera dentro de la estructura de las personas y las organizaciones, así como los canales hacia el exterior, ya sea por canales dedicados, o bien por canales abiertos tales como el servicio telefónico o Internet. Asimismo, para el enfoque dinámico, los medios se refieren también a espacios de oportunidad, pero en este caso por los canales abiertos a través de los recursos y servicios de tecnologías de la información con los cuales se interacciona con otras entidades.

En este sentido, como ejemplos de medio, se pueden destacar a el Mailbonbing, los Troyanos, los Virus, las Bombas Lógicas, los Scanners, los Sniffers, los Gusanos (Worm), el Spam, así como las estafas, timos y el reclutamiento para redes de trata de blancas y de pornografía a través de Internet.

La solución a la problemática de la SEGURIDAD INFORMÁTICA, consiste en la adopción de ciertas formas de medidas contraceptivas para los riesgos identificados, ubicadas en sus diversos estratos funcionales y que se pueden describir en los siguientes términos:

  • PREVENCIÓN (Certificados X 509, Encriptación de datos, MD5, Mecanismos de validación de ingreso y contenido de datos, PGP, Políticas y normas para el manejo de información, SHA1, SSL).
  • DISUASIÓN (Mecanismos de registro y auditoria de accesos a la información, Mecanismos de sanción por violaciones a la seguridad).
  • CONTENCIÓN (Firewalls, Mecanismos y Claves de restricción de accesos, Wrappers).
  • COMBATE (Antivirus, Rastreo de accesos, Wrappers).
  • RECUPERACIÓN Y RESCATE (Sistemas de respaldo de información).

Y cuya efectividad estará determinada tanto por el grado de precisión alcanzada en la identificación y dimensionamiento de las vertientes de riesgo, así como por el grado de cobertura de las mismas. Para estos efectos, es importante destacar que si bien lo más conveniente es obtener la máxima precisión posible en la identificación de riesgos, no es necesario que se establezcan previsiones para cada una de las vertientes identificadas. Ello, en virtud de consideraciones de costo beneficio, de tal suerte que lo que se recomienda es establecer previsiones para las vertientes con mayor probabilidad de ocurrencia, y en función de las limitaciones de recursos, generalmente de índole financiera.

La mejor información es necesaria para evaluar ventajas. De esta manera deben estructurarse las fuerzas, y los planes se deben complementar con tácticas extraordinarias. Las fuerzas deben estructurarse de manera estratégica, basadas en lo más ventajoso. El general Cao Cao explica: La estructura depende de la estrategia, y ésta se determina de acuerdo a las eventualidades.

En este contexto, es importante destacar que, si bien el ámbito de la SEGURIDAD INFORMÁTICA está asociada al factor tecnológico, no todas las previsiones deben de ser de naturaleza tecnológica. Esto, en virtud de que la tecnología no es mas que una herramienta, sin capacidad de discernimiento y juicio, y es al mismo tiempo un arma de dos filos, ya que lo que la tecnología propia puede hacer, la tecnología de un adversario lo puede deshacer, si tienen la intención y cuentan con suficiente tiempo y recursos para hacerlo. Asimismo, se tiene el problema de que entre mayor sea el grado de sofisticación tecnológica, existen mayores probabilidades de vulnerabilidad en las estructuras que sustentan.

Finalmente, debe considerarse que, en virtud de la naturaleza dinámica de la tecnología, las previsiones establecidas no tendrán una vigencia permanente, sino que deberán actualizarse al mismo ritmo que se desarrollan innovaciones en este campo.

Cuando se presenta la batalla, aunque se esté ganando, si se continúa por largo tiempo se agotarán las fuerzas y se mellará el filo de las espadas. Si se está sitiando una ciudadela, los soldados terminarán extenuados. Si se mantiene el ejército en el campo de batalla mucho tiempo, igualmente se agotarán las provisiones. Li Quan cita el libro clásico Anales de primavera y Otoño: La guerra es como el fuego; si no te apartas de él terminará quemándote. Yia Lin comenta que si una operación militar se prolonga por mucho tiempo sin lograr algo, los rivales empezarán a tener ideas.

Cuando las fuerzas están agotadas, mellada su fortaleza y faltan los aprovisionamientos, otros se aprovecharán de esta debilidad y atacarán. Entonces, aunque tengas muy buenos consejeros no se podrá lograr que las cosas tengan un buen final. Un gobierno sabio, dice Li Quan, no debe de mantener por mucho tiempo sus ejércitos en el campo de batalla, puesto que una operación muy larga agota al ejército y a la nación.

Lo invencible está en uno mismo, lo vulnerable en el oponente.

Bibliografía

El Arte de la Guerra, Sun Tzu.
Seguridad en Redes de Datos, Instituto Nacional de Estadística e Informática.
Sistemas Técnicos de Seguridad, Master en Ciencias de la Seguridad, Corporación Euro Americana de Seguridad.

Corporación Euro Americana de Seguridad México, 2013 © Todos los Derechos Reservados