Seguridad de la Información
El autor de este artículo, Raúl Wexler Pulido Téllez.

www.fuerzasmilitares.org (30NOV2018).- La Caja Promotora de Vivienda Militar y de Policía (Caja Honor) es una entidad financiera que vela por la seguridad de la información de los afiliados y por la seguridad informática. Desde 1988, el 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información, por lo que Raúl Wexler Pulido Téllez, Máster en Innovación Tecnológica de la Escuela Industrial de España y Especialista en Administración de Riesgos Informáticos de la Oficina Asesora de Gestión del Riesgo, nos explica por qué hay que generar una cultura que garantice las medidas de protección. 

La Seguridad de la Información

Generar cultura de Seguridad de la Información, es mucho mejor que costosos planes de remediación.

Ingeniero Raúl Wexler Pulido Téllez

Resumen: Las nuevas tecnologías, la globalización, el internet de las cosas y la necesidad de comunicación en el ciberespacio, obliga a que las personas y las organizaciones compartan su información con el mundo exterior, so pena de desaparecer del mundo digital y por ende del mundo comercial, pero esto trae consigo un sinnúmero de riesgos que pueden afectar la confidencialidad, integridad y la disponibilidad de la información, pilares fundamentales de la Seguridad de la Información, riesgos que por mucho tiempo fueron tratados como un tema exclusivamente reactivo; las entidades y las personas comúnmente piensan “esto no me va pasar a mi”  el problema es: y ¿qué si…? y ¿qué si yo o nuestra entidad somos víctimas de  suplantación, de robo de identidad, de fuga de información, de fraudes informáticos, de acceso abusivo a nuestra información o de ataques de denegación de servicios? ¿Será suficiente con que las organizaciones adopten medidas únicamente reactivas cuando pasan este tipo de situaciones? Las cifras revelan que los delitos informáticos en nuestro país van en aumento de manera preocupante, mostrando claramente que el camino no es la reacción; por tal razón las personas y las organizaciones deben adoptar otras prácticas que realmente sean efectivas para preservar la seguridad de la información, como lo es la prevención, pero prevención con el compromiso de todos y no solo de áreas específicas de las organizaciones.

Palabras Clave: Confidencialidad de la información, Integridad de la información, Disponibilidad de la información, Ciberespacio, Cyberdelitos, Cyberdelincuentes.

No es posible ser competitivo en esta era digital sin la interacción con internet y toda su comunidad (una población de 7.259.902.243 a 30 de noviembre de 2015) "El comercio no trata sobre mercancías, trata sobre información. Las mercancías se sientan en el almacén hasta que la información las mueve”. Entonces si la información posee tan relevante valor para las organizaciones, ¿no será muy lógico pensar que también puede ser su punto más susceptible a ser vulnerando? ¿Qué puede suceder si permitimos que dicha información sea manipulada, almacenada o intercambiada de manera insegura?

Las cifras revelan que los delitos informáticos van en aumento de manera preocupante tanto a nivel nacional como en el entorno global y lo que genera una mayor inquietud, en la mayoría de casos estos delitos no son resueltos, tal como se puede identificar del análisis del más reciente Anuario Consolidado Nacional de Delitos del sistema penal acusatorio (Ficalía General de la Nación, 2014). Con el mismo documento para los años 2012 y 2013, se puede encontrar por ejemplo que el total de los casos “de la protección de la información y de los datos” son 5131 para el año 2014, casi 2000 más que la estadística inicial para el año 2012 y lo más preocupante es que 744 vienen desde años anteriores y 876 casos pasan pendientes para el siguiente año sin que esto indique de ninguna manera que los casos restantes se resuelvan favorablemente para las víctimas (Fiscalía General de la Nación, 2015), esto aunado con estadísticas como las presentadas por el diario el país de España acorde con el estudio llevado a cabo por el Ministerio del Interior de ese país “El 95% de los ciberdelitos cometidos quedan impunes” (El País, 2014) demuestra que la Seguridad de la Información no es un tema que las empresas pueden descuidar solo esperando a reaccionar si es que algo sucede, porque seguro va a suceder. 

Estos números y estadísticas son contundentes y demuestran claramente que el camino no es la reacción, por tal razón las personas y las organizaciones deben adoptar otras prácticas que realmente sean efectivas para preservar la seguridad de la información, como la prevención; pero prevención con el compromiso de todos y no solo de áreas específicas de la organización, logrando de esta manera evitar impactos negativos al interior de las entidades o incluso de manera personal, como pérdidas financieras, operativas,  reputaciones o hasta en el peor de los casos, humanas. Para ilustrar un poco acerca de estos posibles impactos nos permitimos analizar brevemente tres de los casos más mediáticos, que vulneraron la Seguridad de la Información y como su materialización impactó de manera negativa diversas organizaciones a nivel mundial y nacional; analizándolos desde el punto de vista de cómo la prevención hubiera podido evitar la catástrofe o por lo menos disminuir el impacto negativo generado.

Tal vez el más conocido es el caso de ENRON (BBCMundo, 2001), empresa energética con sede en Houston, Texas que empleaba a más de 21.000 personas hacia finales del año 2000 y que en ese mismo año, tan solo cinco años después de su creación, consiguió aparecer en la lista de la revista Fortune como la séptima mayor compañía de Estados Unidos. Sin embargo, la gloria duró poco, ya que en 2001 se descubrirían numerosas irregularidades de manipulación de datos de la compañía especialmente en sus estados financieros, que terminarían con la quiebra absoluta no solo de la compañía de energía (que ya para ese momento contaba con operación en más de 40 países) sino también con varios de sus aliados estratégicos, como la prestigiosa firma Arthur Andersen y lo peor de la situación cobro la vida de varios de sus dirigentes, que no pudieron soportar la presión social y judicial generada por la bancarrota.

La energética ENRON contaba con la información requerida y necesaria para una adecuada toma de decisiones, pero bajo una figura contable de Valor Futuro Hipotético (VFH) los líderes de esta organización consiguieron “administrar” la información de una manera tal que lograron capitalizar hasta 77 mil millones de dólares sin que ninguno de sus accionistas tomara medidas preventivas para analizar de manera adecuada la integridad de la información, el por qué de tan exponencial prosperidad financiera. En este caso, la excesiva ganancia también era una alerta de que algo pudiera no estar del todo bien, nadie se dió a la tarea de efectuar un análisis profundo de la situación y solo hasta que el escándalo estalló a finales de 2001 inician medidas judiciales reactivas absolutamente ineficaces para ese momento, ya que a pesar que dichas medidas estaban bien sustentadas y en el marco de la ley, ya no había forma de poder recuperar las millonarias pérdidas (Los accionistas de mil millones fueron atribuidos a fraude) (Another Big Bank Settles Enron Suit, 2015).

Desde el punto de vista de la prevención de Seguridad de la Información es posible identificar del anterior caso, que superficialmente nuestras organizaciones pueden aparentar un saludable estado de seguridad incluso por encima de los estándares esperados, pero esto no nos exime de efectuar revisiones periódicas, no  debemos conformarnos y relajarnos, es necesario generar una cultura de seguridad tal que, sin llegar a  la paranoia, sí nos obligue a tener prácticas de revisiones o auditorias periódicas de seguridad que nos ayuden a identificar a tiempo posibles riesgos y mitigar o controlar su posible impacto antes que estos se materialicen.

Casos como el citado  por el Washington Post de un informe confidencial elaborado por el Pentágono (The Washington Post, 2013), donde dijo que cyberespías Chinos  obtuvieron acceso a información de los más  avanzados sistemas de defensa de los Estados Unidos como  los misiles Patriot, un sistema del Ejército para derribar misiles balísticos, el sistema de defensa de misiles balísticos Aegis de la Marina, diseños de aviones de combate dentro de los cuales está el F-35 (con un costo estimado en $ 1.4 trillones de Dólares y el sistema de armas más caro jamás construido) y buques, incluidos el avión de combate F/A-18, el V22 Osprey, el helicóptero Black Hawk y el nuevo buque de combate Littoral de la Armada.

Si es posible vulnerar la seguridad de la información de la organización más segura  del mundo, ¿estarán a salvo nuestra organizaciones? No importa la sensación de seguridad de la que goce nuestra compañía siempre es posible incrementar los niveles de seguridad (Mejora continua), nunca está de más la implementación de nuevos controles y la medición de su efectividad en el tiempo. El costo de la fuga de información y la pérdida de la confidencialidad en este caso es prácticamente invaluable en términos económicos, sin contar factores más importantes como: a manos de quién va a parar esta información y cuál será el uso que le van a dar. Este caso deja en evidencia que es imposible contar con un nivel de seguridad de la información 100% efectivo, por tanto, es necesario realizar un esfuerzo mayor en preservar los más altos niveles de seguridad posibles. Es por esto que tanto a nivel empresarial como personal no debemos confiar que alguien más lo está haciendo por nosotros y debemos comprometernos de manera individual con la protección de nuestros datos, proteja con clave archivos que considere que contienen datos sensibles o relevantes para usted o su organización, si es el caso  cífrelos, cambie sus claves de acceso de manera frecuente, no confíe la información o claves de acceso a su cargo a terceros, no deje desatendidos documentos o elementos electrónicos con información relevante.

Las amenazas pueden estar más cerca de lo que creemos o esperamos. También pasa en nuestro país y en nuestras empresas… solo por mencionar uno, y para hablar de casos más cercanos a nuestra realidad nacional, en diciembre de 2014  capturan delincuentes que lograron mover aproximadamente $160.000 millones de pesos  (cerca de 88 millones de dólares de la época) de la entidad financiera más  importante del país (El Espectador, 2014), a través de lo que se conoce en términos técnicos como “insuflar” (De manera remota – virtual– en las cuentas se incluyeron más ceros), de esa manera y para dar un ejemplo, una cuenta que manejaba en promedio $1 millón mensual pasaba a tener $100 millones. Todo ocurrió gracias al conocimiento que tenia de la operación y la confianza que generó entre compañeros y clientes un ex empleado de la entidad financiera que en el momento del fraude trabajaba como contratista de esta, logrando mover con el apoyo de otros delincuentes en 48 horas el millonario desfalco  de $160.617.546.838; afortunadamente para el banco los cyber delincuentes solo lograron hacer efectivo el 4,6% de esta suma es decir unos $7.500 millones de pesos.

En seguridad ninguna medida adicional que adoptemos está de más, no se trata de crear barreras de comunicación que en algunos casos atentan contra la disponibilidad de la operación, sino más bien se trata de comunicarnos de la manera correcta y con seguridad, en ningún caso debemos ofrecer más información de la que estemos  autorizados para brindar o mejor aún debemos brindar la información mínima requerida para que la operación normal de nuestras organizaciones fluya de manera adecuada y esto incluye a nuestros compañeros de trabajo e incluso personas de confianza. 

Después de analizar los casos anteriores, vale la pena preguntarse si ¿es posible que se pueda presentar una situación como estas al interior de nuestras Organizaciones, o, seguimos pensando en el viejo y obsoleto paradigma de “esto no nos va a pasar a nosotros”?

¿Y qué si se materializara el riesgo? La primera pregunta que nos surge en los tres casos reseñados es: ¿será que se hubieran podido evitar estos casos a través de la adecuada prevención y gestión de la seguridad de la información? Y, en segundo lugar: ¿Podemos evitar que ocurran en nuestras organizaciones?

No es posible brindar una respuesta 100% contundente al primer interrogante, pero lo que sí creo que es posible asegurar, es que se hubiera podido hacer una mejor prevención a través de una más adecuada gestión de la seguridad de la información, que tal vez, no hubiera impedido la materialización de estos incidentes de seguridad pero que si por lo menos hubieran podido disminuir su impacto negativo para cada uno de los entes afectados. Consecuentemente y de manera inductiva es posible deducir la respuesta al segundo interrogante planteado, ya que no es posible afirmar completamente que podemos evitar que casos similares a los comentados anteriormente ocurran al interior de nuestras organizaciones, pero a través de una adecuada cultura organizacional de prevención y gestión de la Seguridad de la Información se puede prevenir de manera más efectiva su materialización y disminuir sus impactos negativos. 

Para finalizar, en conclusión, se puede extraer de cada caso las posibles lecciones aprendidas:

1. No se puede asumir que todo está bien y asegurado solo por el éxito financiero obtenido.

Los accionistas de la prestigiosa y prospera Enron nunca imaginaron ni lejanamente que la información que se les estaba suministrando estaba incompleta o presentada de una forma que no les permitía ver el estado real de la situación financiera de su compañía. 

Extrapole esta situación a su departamento o área de trabajo, por buenos que parezcan los resultados no asuma nada, no omita llevar a cabo todos los controles que el manual de su cargo o las políticas de seguridad de la entidad le sugieren, efectué auditorias de forma recurrente y sobre todo si tiene dudas razonables escale el caso a su jefe, o, si es el caso consulte con el Grupo de Administración y Seguridad de la Información.

2. Que la compañía sea considerada una compañía “segura” no es motivo para confiarse.

El suntuoso departamento de defensa de los Estados Unidos a pesar de las constantes amenazas e intentos de penetración de las que son víctimas permanentemente, decidieron no proteger de manera adecuada información considerada no relevante o menospreciar su importancia, “seguros” de que nadie podría permear su sistemas  de defensa y fue esta su mayor debilidad que permitió que a través de información considerada “no tan importante” el ciberejercito chino llegara a información muy importante, de seguridad nacional.

No se debe pensar ni por un instante que la información que usted maneja para la entidad no es importante o que tal vez a nadie puede interesarle, valide la calificación de cada documento o activo de información a su cargo basado en lo solicitado por las tablas de retención documental o método de clasificación de su organización. Tenga en cuenta también las exigencias legales y reglamentarias, en nuestro país esto se contempla principalmente en el marco de la ley 1581 de 2012 y la ley 1712 de 2014.

3. Exceso de nivel de acceso a la información a terceros “de confianza”.

Funcionarios del banco brindaron información privilegiada y procedimientos a terceros y funcionarios de otras áreas del banco permitiendo con esto el mayor fraude financiero perpetrado hasta ahora en nuestro país.

No permita que mediante la ingeniería social (arte de persuadir a una persona por diversos medios para obtener de esta un beneficio o información) (Mitnick, 2007) le extraigan información concerniente a su trabajo o a las funciones que desempeña, sin importar si dicha información es solicitada por otro funcionario o incluso por un superior, solicite las credenciales o identificación de quien le solicita información, utilice siempre los canales y conducto regular para el suministro de la misma, solicite autorización de su jefe inmediato y por ultimo por último si tiene dudas consulte con el encargado de la seguridad de la información de su organización o con las autoridades competentes si es el caso.

Por tanto, sigue y seguirá siendo válida la expresión de Aristófanes “La desconfianza es la madre de la seguridad”.

Referencias

BBCMundo. (12 de Marzo de 2001). BBCMundo.com. Obtenido de Enron, en bancarrota:

http://news.bbc.co.uk/hi/spanish/business/newsid_1688000/1688920.stm

El Espectador. (18 de Diciembre de 2014). El Espectador. Obtenido de El robo del siglo que no alcanzó a ser: http://www.elespectador.com/noticias/judicial/el-robo-del-siglo-noalcanzo-ser-articulo-533907

El País. (4 de Mayo de 2014). El 95% de los ciberdelitos cometidos quedan impunes. El País.

Ficalía General de la Nación. (2014). Anuario Estadístico 2012 - 2013. 

Fiscalía General de la Nación. (2015). Anuario Estadístico 2014. 

Friedman, J. (15 de 06 de 2015). Another Big Bank Settles Enron Suit.

http://articles.latimes.com/2005/jun/15/business/fi-enron15.

Mitnick, K. D. (19 de 08 de 2007). The Art Of Deception.

The Washington Post. (28 de Mayo de 2013). The Washington Post. Obtenido de The U.S. weapons systems that experts say were hacked by the Chinese: https://www.washingtonpost.com/blogs/worldviews/wp/2013/05/28/the-u-s-weaponssystems-that-experts-say-were-hacked-by-the-chinese

 C. J. Cherryh, Caroline Janice Cherry, (1942)  antropóloga,historiadora clásica, arqueóloga y lingüista,  Premio John W. Campbell 1977, premio Hugo1979 y 1982,  premio  Locus(1989) y premio Skylark.