Seguridad de la Información, mas allá de la Seguridad Informática.
Publicado en la revista Seguridad en América, en la edición de Julio - Agosto de 2010

La indiscutible relevancia de la información para el quehacer humano la ha convertido en un activo social de gran valor, y el reconocimiento más claro de tal condición es la aceptación virtualmente universal de la frase información es poder, al grado de que hoy día a nuestra sociedad se le considera como la sociedad de la información, ávida de crearla y consumirla. En este sentido, individuos y organizaciones, nacen, crecen, viven, mueren y sobre todo progresan apoyados de alguna manera en la información. Por ello, bajo una óptica de conveniencia social, la información constituye un objetivo de protección, al que deben dotarse de algunas previsiones de seguridad.

La información constituye un activo crítico, valioso y sensitivo para individuos y organizaciones, ya que constituye el recurso indispensable en el que se sustenta toda toma de decisiones que encauzan toda actividad humana. Y precisamente en esta naturaleza vital para el quehacer humano reside el atributo de valor que lleva a la conformación del campo de la seguridad de la información, cuyo propósito fundamental es protegerla contra cualquier riesgo de acceso, uso, divulgación, interrupción o destrucción, que puedan afectar su confidencialidad, integridad y disponibilidad, conceptos que se pueden entender en los siguientes términos:

  • Confidencialidad. Prevenir la divulgación de la información a personas y/o sistemas no autorizados.
  • Integridad. Prevenir las modificaciones no autorizadas.
  • Disponibilidad. Facilitar el acceso expedito a las personas y/o sistemas autorizados.

En términos generales, las previsiones para la seguridad de la información parten de un ejercicio de Prever los riesgos que pueden ocurrir, y Prevenir que ocurran o que puedan causar daños, las cuales se materializan como un conjunto integrado de estrategias y medidas que cubren a los procesos en donde se involucra el manejo de la información, y que deben considerar, como el aspecto primordial, las políticas, mecanismos de control, tecnologías y procedimientos para detectar y evitar cualquier amenaza contra las vulnerabilidades que la puedan poner en riesgo. Donde tales previsiones deben proyectarse para enfrentar los riesgos actuales y futuros.

El campo de la seguridad de la información comprende una cierta diversidad de vertientes, entre las que se cuentan la auditoria de la información, la continuidad de negocio, las ciencias forenses, y sobre todo la administración de la gestión de seguridad, la cual busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información, y que se configura como un proceso continuo, enfocado a detectar las vulnerabilidades y las amenazas que pueden afectar cualquier información, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, así como el impacto que puede tener.

En este orden de ideas se tiene que la perspectiva para el cumplimiento del propósito de la seguridad de la información se ve fuertemente afectada por lo que se puede considerar como la paradoja de la seguridad, derivada de su naturaleza intrínsecamente restrictiva, ya que, a mayor seguridad, menor facilidad y viceversa, que de alguna manera enfrenta al requerimiento de confidencialidad, que proyecta un sentido restrictivo, con el de disponibilidad, atributo de sentido facilitador. Esto es que, por un lado los intereses de continuidad de negocio propugnan el facilitar el acceso a la información a todo aquel que lo necesite, mientras que los intereses de la seguridad imponen la restricción de acceso.

Para propósitos de seguridad el principal aspecto a considerar es la forma que adopta la información, ya que puede materializarse bajo una gran diversidad de medios de contención, en virtud de que en sí misma es un intangible, lo que determina la naturaleza de los posibles agentes de riesgo para la misma, y en consecuencia, las características de las medidas y previsiones de seguridad pertinentes. En este sentido, la atención se enfoca a la identificación de dos atributos fundamentales, la transportabilidad y la fragilidad del medio de contención, ya que ello determina las posibles formas de alteración, pérdida o sustracción que pueden afectar a la información.

En general los medios de contención contemplan una gran diversidad de formas, las cuales pueden ser cualquier material físico en que se pueda imprimir la información, ya sea papel, tela, plásticos, piedra, etc., así como cualquier medio en que se pueda retenerla, incluso la mente humana. Sin embargo los medios más comunes hoy día para la contención de la información, son los formatos de tecnología, principalmente de naturaleza informática, ya sea en alguna de la amplia variedad de equipos de proceso de datos, desde computadoras hasta organizadores personales y celulares 3G, o bien en la gran diversidad de medios de transporte, tales como discos compactos, DVD, memorias y discos portátiles.

Esta tendencia hacia el manejo de la información por medios tecnológicos ha motivado que los esfuerzos para la integración de soluciones para la seguridad de la información se enfoquen primordialmente al desarrollo de instrumentos y mecanismos de seguridad informática, como la gran solución, casi al nivel de una panacea absoluta, para la protección y salvaguarda de la información. En cuyo contexto, las prácticas de restricción se enfocan a administrar los riesgos en la operación de las funciones y estructuras para el almacenaje y acceso de la información, de acuerdo a las siguientes premisas:

  • Evitar los riesgos, no permitiendo la exposición de la información.
  • Reducir los riesgos, esto es que cuando no se puede evitar la exposición, se procura reducir los espacios y oportunidades de exposición al mínimo posible, mediante la implementación de controles bajo un monitoreo constante.
  • Asumir los riesgos, cuando se acepta las consecuencias del riesgo por una perspectiva de beneficio que compensa sobradamente la posibilidad de un resultado adverso.
  • Transferir los riesgos, esto es, compartiendo el posible costo de los riesgos, en caso de que lleguen a ocurrir y causar daños.


En este ámbito tecnológico, se presentan ciertas condiciones particulares, y la primera de ellas es que a los requerimientos básicos de confidencialidad, integridad y disponibilidad, inherentes a la seguridad de la información en general, se debe agregar una de irrefutabilidad o de no repudio, y que se refiere a una facilidad funcional mediante la cual el autor de una modificación a la información no puede negar la responsabilidad de su acción. Otra condición particular, es que la cobertura comprende tanto la información como los equipos informáticos que la soportan, tales como los componentes físicos (hardware), los sistemas (software) y la organización responsable de su administración.

Como resultado de esta tendencia se ha producido un fenómeno progresivo de creación y mejora de productos tecnológicos cada vez más sofisticados, destinados a la protección y salvaguarda de la información contenida en la cada vez más amplia y diversa oferta de recursos informáticos, que pueden ir desde mainframes hasta teléfonos celulares, pasando por toda la gama de servidores, computadoras portátiles, notebooks, etc. Y sin embargo, a pesar de su sofisticación y supuesta mejora en su efectividad, la seguridad de la información sigue siendo violada, en ocasiones sin que sea detectado, al menos con la suficiente oportunidad para adoptar medidas de control de daños.

Las causas comunes para ello suelen ser errores humanos, que por descuido, omisión o incluso intención, abren espacios de oportunidad para las intrusiones, es decir, le dan la ocasión al ladrón. Estos errores se derivan de falsas suposiciones como alguna de las siguientes:

  • Mi información no es importante para un intruso, y por ello no hago uso de contraseñas para restringir el acceso a la información.
  • Estoy protegido contra intrusiones, porque no abro archivos que no conozco, cuando la realidad es que muchos mecanismos de intrusión actúan de manera automática.
  • Como tengo antivirus y/o firewall, estoy protegido contra intrusiones, cuando la realidad es que siempre puede surgir alguna innovación tecnológica que supere los mecanismos existentes.
  • Mi servidor trabaja con Unix, y por tanto estoy protegido, cuando muchas intrusiones se pueden infiltrar a través de grietas en los script, de tal manera que puedan atacar los Shell con comandos Unix.

Sin embargo, la causa de fondo reside en la debilidad intrínseca de su propia naturaleza tecnológica, ya que, cualquier cosa que la tecnología puede hacer, la misma tecnología la puede deshacer. Asimismo, que a este aparente poder tecnológico, se le sobrepone el poder humano, que no sólo la crea, sino que eventualmente la puede superar con otra creación no necesariamente tecnológica. Ejemplos de ello son los especialistas que con una combinación de conocimientos, habilidades y tecnología pueden penetrar cualquier protección, como son los hackers, crackers, lammers, copyhackers, bucaneros, phreakers, o incluso supuestos novatos como los newbies y script kiddies.

Así, el mejor y más sofisticado de los firewall puede ser penetrado por un intruso muy hábil y/o armado de recursos muy sofisticados, o bien por un simple operador sin grandes conocimientos, pero que posee las claves para desactivarlo, e incluso la autorización para hacerlo, así como las facilidades para entrar y salir de las instalaciones con materiales de trabajo, desde documentos hasta una memoria portátil. Las famosas intrusiones de hackers contra los sistemas del Pentágono, el FBI y la NASA en los Estados Unidos, son ejemplos de lo primero, y los casos de espionaje por agentes infiltrados en el Centro de Comunicaciones de la Marina y los Laboratorios Livermore también en los Estados Unidos, de lo segundo. Todas ellas supuestamente instalaciones de muy alto nivel de seguridad.

Otra situación consiste en que, si bien la fuente de la información se puede confinar a un equipo de cómputo protegido con artilugios muy sofisticados, eventualmente dicha información se traslada a otros medios de contención, tales como documentos impresos, cuya circulación no se controla con la misma minuciosidad que los medios magnéticos, e incluso acaban en los botes de basura, que no son controlados pero si constituyen el objetivo de los famosos buscadores de basura, de lo cual el caso más famoso fue el de los documentos secretos destruidos en la embajada de los Estados Unidos en Teherán en 1979, que fueron pacientemente reconstruidos por las mujeres iraníes.

La gama de riesgos para la información contempla una amplia variedad de posibilidades, de la cual en muchas ocasiones la destrucción es la menos dañina, porque la secuela es evidente, contra las mayores perspectivas de daño de la sustracción sin secuelas, porque no hay daño aparente, así como de la alteración no detectada, con un efecto no percibido de inmediato. Por ello, la conveniencia sugiere que las medidas y previsiones de seguridad para proteger y salvaguardar la información, NO deben circunscribirse ni limitarse a los aspectos tecnológicos, sino que deben considerar a todo el contexto de su manejo, con el factor humano como el elemento determinante en última instancia, y los aspectos de procedimiento y control como condiciones favorables o adversas para tal propósito.

Entre los riesgos menos tecnológicos y más de factor humano, se pueden contar a los fenómenos de infidencia por indiscreciones espontaneas o provocadas, así como de fuga de información, por prácticas de infiltración o por la separación de un integrante de la organización, que al irse se lleva consigo, si no el detalle de la información, si el conocimiento de su existencia, e incluso las líneas generales de su contenido, a partir de lo cual le permitiría a un adversario o competidor ya sea reconstruirla, o de manera más simple, adoptar contramedidas para anular o contrarrestar la utilidad y las ventajas que le representaba para el propietario original.

En suma, la relevancia de la información para individuos y organizaciones requiere la adopción de medidas y previsiones para su protección, en la forma de un plan de seguridad con el propósito de establecer los requisitos de seguridad y los mecanismos de control para su aplicación, dentro de los cuales se debe delinear las responsabilidades y el comportamiento esperado de cada uno de los involucrados en el manejo de la información. Asimismo, en el enfoque de este plan para la seguridad de la información se debe considerar tanto la conservación y protección de los recursos (información y sistemas de información), como el aseguramiento de la continuidad de negocio.

Y finalmente es importante destacar que la clave para una exitosa seguridad de la información consiste en no limitarse ni distraerse por lo atractivo y cómodo de las soluciones de tecnología, sino adoptar una visión global, considerando ante todo que lo realmente relevante es la participación del factor humano, tanto de los directamente involucrados en el acceso y manejo de la información, como de cualquier interesado en ésta, ya sean adversarios, competidores o simples curiosos de ocasión, que pueden aprovecharse o influir en los involucrados para tener acceso a la misma, sirviéndose de las insuficiencias y debilidades de los mecanismos de restricción.

Corporación Euro Americana de Seguridad México, 2013 © Todos los Derechos Reservados