A continuación cito las preguntas que intento responder en esta ponencia. Aclaro que mucho es obvio, quizás sólo le estoy dando otro enfoque.
1. La confidencialidad, ofrece un nivel alto de la confianza de que los datos, los objetos o los recursos no son expuestos a sujetos no autorizados. 2. La integridad es el principio que retienen los objetos, respecto a su veracidad y que sólo son modificados intencionadamente por sujetos autorizados. 3. La disponibilidad es el principio de que a los sujetos autorizados les es concedido el acceso oportuno e ininterrumpido a los objetos. La consecuencia más importante es que la combinación de esta triada es específica para cada contexto, es decir, NO es universal, por ejemplo, para un banco el nivel de secrecía es mayor que para una universidad. A esto se le llaman los requerimientos de seguridad, es decir, siempre es buscar un balance entre apertura y secrecía.
Una política de seguridad es un "enunciado específico sobre lo que está y lo que no está permitido“. Luego entonces, una política de seguridad es una ley, norma o regla dentro del ámbito de competencia de la organización. Lo importante en la elaboración de las políticas de seguridad es quién debe definirlas: el área de negocios o el área de TI. Obviamente, debe ser el área de negocio, pero en conjunto con el área de seguridad de TI. Las políticas de seguridad, siempre deben alinearse de tal forma que el negocio opere con un nivel de seguridad aceptable.
Los mecanismos de seguridad refuerzan el cumplimiento de las políticas de seguridad; su objetivo es asegurar que el sistema o la empresa, nunca pase a un estado de "lo no permitido". Hay dos tipos de mecanismos: técnicos y operativos (a veces llamados procedimientos). Los mecanismos técnicos son aquellos que utilizan la tecnología en hardware, software o una combinación de ambos para reforzar las políticas de seguridad. Un ejemplo de un mecanismo técnico, es la tecnología anti spammer que se usa en los servidores de correo electrónico, que filtra y elimina correos potencialmente amenazantes, de acuerdo a los criterios implantados, pero que también puede elimina mensajes seguros equivocadamente elegidos. Otro ejemplo de mecanismos técnicos son los algoritmos criptográficos que “ensobretan” documentos y vuelven ininteligibles los mensajes y los canales de comunicación a los sujetos no autorizados. Este tipo de mecanismos tiene sus ventajas, limitaciones y su ámbito de aplicación, que debe balancearse lo más apropiadamente al contexto de aplicación. Lo único seguro de los mecanismos técnicos es que no son infalibles, es decir, ninguno es seguro al 100% por sí mismos, mucho menos al combinarse con los mecanismos operativos. Otra causa de falla o de inseguridad de los mecanismos técnicos de seguridad son los errores de programación o vulnerabilidades o exploits, que dicho sea de paso, son muy comunes. Los mecanismos operativos o procedimientos son aquellas políticas que prescriben los pasos, tareas o procedimientos que deben llevarse a cabo para cumplir una política de seguridad. Por ejemplo, la capacitación a todos los niveles de la organización, sobre las medidas de seguridad, dependiendo del rol. Por lo general, los mecanismos técnicos sucumben a los operativos, o mejor dicho, los primeros complementan los segundos. En conclusión, debe buscarse un equilibrio complementario entre los mecanismos disponibles de tal forma que sea como en el refrán que reza que “ni tanto que queme al santo, ni tanto que no lo alumbre”. No quiero que esto desaliente a mis queridos hackers en progreso que asisten y/o se están capacitando en esta conferencia, sino más bien, deseo que se tome conciencia de que, si bien la seguridad es algo que “ni debe ignorarse”, “ni tomarse a la ligera”, no existe un mecanismo, metodología, procedimiento o tecnología que permita mantener los recursos informáticos, seguros al cien por ciento.
A continuación, expongo un ejemplo real, aunque absurdo, en cierto sentido, que ejemplifica una combinación de los mecanismos de seguridad. 1. Una universidad tiene un sistema de correo electrónico que ha sido configurado para que bloquee todos los mensajes aparentemente peligrosos o que constituyan una amenaza y los manda a la basura. Supongamos que el escanner de correos es efectivo y detiene el SPAM y los correo amenazantes. 2. Sin embargo, frecuentemente deja “pasar” el spam, bastante numeroso, al mismo tiempo que bloquea la entrega de archivos anexos (attachments) a los mensajes, incluso entre usuarios del mismo servidor, lo cual es una deficiencia operativa. Lo anterior, en la práctica, estropea la comunicación institucional pues queda interrumpida al no recibir íntegramente, o en otras palabras, reduce la disponibilidad de los mensajes clasificados de manera equivocada. 3. Por otro lado, es bien conocido que los empleados, estudiantes y trabajadores evaden el "problema" de disponibilidad o la política de seguridad, utilizando cuentas de correo electrónico gratuitas, disponibles en Yahoo.com, Gmail.com u Hotmail.com, etc. En la práctica, estas cuentas se convierten en una herramienta de comunicación más efectiva que la institucional, si no es que la única, pues además, se complementa con el uso del chat, que no está disponible institucionalmente. Complementariamente, el personal informático conoce estos tres puntos. Por ejemplo, cuando se presenta un problema, como cuando un "virus informático" penetra la "fortaleza" institucional e invade el campus. A pesar de que se demuestre "informáticamente" que la amenaza "no pasó" por los servidores de correo de la institución, ¿se podría decir que es esta política o mecanismo de reforzamiento de la seguridad es efectivo? La respuesta es que depende. Para el área de seguridad, sí es efectiva, pero para "los demás" usuarios finales no, porque no pueden usar su correo institucional para una comunicación efectiva. Si fuera así, entonces al menos en la universidad y para comunicaciones "oficiales" o institucionales, no se utilizarían cuentas de correo gratuitas, como se constata en las convocatorias a los congresos y otros eventos académicos. Claramente, las consecuencias de esta política informática equivocada, son muchas. Además de las consecuencias operativas prácticas, hay daños a otros niveles, como la desconfianza de que el emisor sea legítimamente miembro de la organización. En conclusión las políticas son efectivas cuando permiten realizar los negocios con un margen de seguridad y de riesgo aceptable.
Hay evidencias constantes de que, d e manera universal, las políticas organizacionales y las de seguridad, como un caso de éstas, se violan "a conveniencia" en distintos grados, prácticamente en todos los niveles jerárquicos, y en todas las organizaciones, sean éstas públicas o privadas. Por ejemplo, cuando, por aplicar una política informática, el correo gratuito del director es inaccesible y éste toma el teléfono y le ordena a su jefe de sistemas que le permitan usar su correo gratuito, o que le dejen ver sus películas porno, algo nada raro. Además, recuérdese que “el jefe siempre tiene la razón” (y el profe igual). Obviamente, nunca va a haber un oficio, un memo o alguna otra evidencia que haga constancia de la orden y que demuestre que la política de seguridad ha sido deliberadamente violada. Otro caso, en otro ámbito es cuando ¿un profesor promete regalar calificación a cambio del silencio de sus alumnos ante sus faltas y deficiencias académicas? Otro ejemplo que me gusta emplear, por lo ilustrativo, es el comportamiento del señor Waternoose, personaje de la película Monsters Inc que engaña a algunos de sus empleados y se confabula con otros para violar las políticas organizacionales, por sus intereses personales en claro detrimento de la empresa. Este fenómeno, que a todas luces, es una falla de las políticas de seguridad, es una causa organizacional en sentido estricto, es decir, es una propiedad organizacional intrínseca a la organización o a la empresa como sistema social o socio-técnico (cómo se le quiera ver) y no debiera verse como un problema de mal comportamiento de los individuos. Este comportamiento organizacional debe distinguirse de la violación deliberada e intencionalmente dañina de sabotaje o resistencia. Aclarando, ¿por qué argumento que es una causa organizacional? Porque seguramente hay aspectos del negocio que no se pueden cubrir con los recursos de la empresa. Obviamente, los caprichos personales saldrían de esta clasificación. Aunque si consideramos “el poder” de quienes ostentan un puesto, sabremos que siempre se utiliza para fines organizacionales y personales, de manera casi indistinta. Así que no podemos asumir una actitud ingenua e ignorarlo.
A partir de un marco teórico de la teoría de la organización, que en este momento no puedo exponer, por razones de tiempo, puedo concluir que el no apego estricto a las reglas, por más escritas que estas sean, es universal y siempre habrá una que otra excepción en algún grado. La explicación es simple y hasta podría parecer trivial, pues de manera universal, me atrevo a afirmar que siempre existirá una diferencia entre “el deber ser” y “el ser”, es decir, entre lo que se quiere, se desea, se planea, se espera y lo que es, lo que resulta de la interacción social y de la acción de los actores involucrados, de lo que ocurre en la realidad (cualquier idea que tengamos de ella). A esto se le llama la dualidad organizacional entre la estructura formal y la informal, donde la segunda se impone a la primera en la práctica. Sin embargo, la formal sirve para muchas guías operativas y para la conceptualización de estructuras y de procesos. Cada vez que observo una organización como investigador participante, siempre encuentro esa diferencia. Esto me ha llevado a la conclusión de que las evidencias muestran que absolutamente, ninguna organización o empresa, sea ésta, chica mediana o grande, sigue sus políticas y procedimientos “al pie de la letra”, y los procedimientos de seguridad que son un caso especial, tampoco, entre otras cosas, porque de hacerlo podría provocarse, entre otras cosas, una parálisis operativa. Adicionalmente, en un escenario de contingencia, cuando un ataque informático está en progreso, no sólo podría estar permitido violar los procedimientos, si el contexto no está contemplado en las reglas, sino que debería confiarse en la capacidad de decisión, juicio y ética de quien esté a cargo o de quien tenga bajo su responsabilidad la seguridad. Es como lo que ocurre ante un incendio o un terremoto: nunca se sigue el procedimiento al pie de la letra, se sigue la intuición confiado en la evaluación contextual y la toma de decisiones contingente y veloz que hace el sujeto pues simplemente: ¡no hay tiempo! Adicionalmente, hay que considerar que al suponer que siempre hay una toma de decisiones racional, basada en la información completa del objeto de la decisión, es simplemente inaceptable. Hoy en día, el actor racional siempre opera bajo una racionalidad limitada, pues nunca estará disponible ni toda la información, ni será posible hacer una evaluación de todos los escenarios posibles hasta sus máximas consecuencias en costos y beneficios. Por ello, el personal encargado de crear políticas de seguridad y de aplicarlas, debe hacer un balance práctico, que sin que se tome a modo de receta: debería considerar como candidatos a una estricta reglamentación sólo aquellos procedimientos rutinarios y bien estandarizados y aquellos que se escapan a esta categoría, simplemente debieran normarse con más holgura, con la menor ambigüedad posible. En este escenario cabe preguntase entonces: ¿cuál es el papel de la auditoría?
Retomando, la auditoría se basa en comparar lo normado o prescrito contra lo ejecutado o las evidencias que de ello existan. De manera concreta se enfoca en los procedimientos, las políticas, los estándares y los lineamientos organizacionales. Esto sencillamente lleva a los sujetos a la necesidad de documentar sus actividades cotidianas “para cuando sea necesario”, aunque puedan ser utilizados en su propia contra. El supuesto básico de toda auditoría es que si hay congruencia, entre lo normado y lo ejecutado entonces hay un buen nivel de calidad en el sistema, sea un proceso de producción basado en el estándar ISO-9000 o sean las políticas de seguridad basadas en sus propios estándares o políticas de seguridad. Hay que destacar que bajo esta racionalidad o esquema de pensamiento, no importa si lo normado es adecuado o pertinente pues lo que importa es que haya congruencia. En otras palabras, lo que importa es que la regla se cumpla y la regla es que debe haber congruencia. Este paradigma de “la regla por la regla” es la esencia de la burocracia como sistema organizacional dominante, según la teoría de la organización, y que en su momento, se supuso eficaz. Sin embargo, en la práctica, en este sistema organizacional se desarrollan lo que se ha dado en llamar los “círculos viciosos” (y muy pocos “círculos virtuosos”) que, entre otras cosas, utilizan los sujetos para su propia conveniencia escudándose en y utilizando las reglas. En este sentido, las reglas se convierten en instrumentos estratégicos del comportamiento organizacional. Así, invocando una regla se esconde una decisión personal de índole política, por ejemplo. Claramente la conveniencia y la consistencia son aspectos relativos y depende del contexto su definición. También por definición, se supone que la calidad es una propiedad que guarda relación con la congruencia citada, lo que equivale casi a un decreto. Sin embargo, desde que el movimiento de la Calidad Total se consolidó, a mediados de los años 1990’s como una “moda administrativa” o una “management fad”, ha quedado demostrado que no es suficiente demostrar la congruencia para garantizar calidad y que los indicadores o parámetros para estimarla son invenciones humanas acordadas a conveniencia y que al definirse relativamente ambiguos, facilitan el “maquillado” de cifras, datos y su interpretación. Podría decirse que la calidad total es un mito que no existe, la mayoría de las veces, más allá del discurso. práctica. Y como ya se mostró, la congruencia entre lo formal y lo informal es imposible de lograr, nos lleva a reiterar que t oda organización, chica, mediana o grande, tiene una dualidad formal-informal, en "procedimientos, políticas, estándares y lineamientos" y que universalmente NUNCA coinciden estas dualidades, ya que si lo hicieran, posiblemente habría una parálisis organizacional. Lo anterior, nos lleva a una consecuencia práctica: que debemos considerar esta dualidad cuando se definan la normatividad organizacional para hacer que ésta impulse la mejora en la organización y no se convierta en un freno. Por último, tenemos que el costo que implica intentar mantener la mayor congruencia entre lo formal y lo informal, no es nada despreciable. De hecho, en la práctica, los manuales de organización, como se les conoce, siempre se empolvan en los estantes o los escritorios de las oficinas y sólo se consultan cada vez que la contraloría o un auditor los solicita. Adicionalmente, es importante considerar que estos manuales, sólo se actualizan cuando está en puesta una revisión o un proceso administrativo que así lo contemple. En la práctica, quienes nos dedicamos al desarrollo de software sabemos que considerar estos manuales como válidos para el desarrollo de los sistemas de información es muy peligroso, por la gran divergencia que presentan con lo que ocurre en la operación del trabajo diario. En el caso de seguridad, es más crítico y debería aún más considerarse estas propiedades organizacionales.
La auditoría de seguridad informática se traduce a la verificación de la congruencia entre los requerimientos de seguridad, las políticas de seguridad y los mecanismos de seguridad. Para ello conviene considerar las siguientes conclusiones: 1. En principio, hay que considerar que la violación de las políticas y procedimientos es universal y no importa el tamaño (micro, chica, mediana o grande) o tipo de organización (pública o privada). Las principales causas identificadas son las organizacionales, lo que se acentúa cuando las necesidades operativas del negocio así lo demandan, sobretodo ante las excepciones. Algunas de las violaciones, salidas, rodeos, evasivas o resistencias a las normas son intencionales y conocidas y hasta toleradas a conveniencia en la organización. Por ejemplo, se tolera el uso de software “pirata” como sistemas operativos y software gráfico cuando no hay presupuesto; se tolera el software no autorizado como software libre u open source software cuando no hay presupuesto; y se toleran servicios no autorizados cuando los propios son deficiente tales como el correo gratuito y el chat. Lo anterior, en sentido estricto se convierte en una simulación gobernada por reglas no escritas. 2. La dualidad formal-informal es universal y se aplica a muchos ámbitos de la vida cotidiana y a la seguridad informática, por supuesto. Las principales implicaciones prácticas son que debemos estar concientes de ello, en principio de que es imposible, en la práctica, llegar a un cien por ciento de congruencia entre lo formal y los informal. En segundo lugar, los manuales de organización o de políticas de seguridad, en específico, nunca reflejarán el estado actual. Lo anterior lleva a tener que considerar que únicamente un porcentaje de lo normado puede ser congruente y por lo tanto, estrictamente normado hasta un cierto grado de certeza y que el resto nunca podrá serlo, mucho menos las excepciones o casos de estados de emergencia. Por lo anterior, la recomendación práctica sería ampliar el alcance de la seguridad a la integración de lo no formal y considerar un margen de tolerancia tal, que permita crear políticas e implantar mecanismos de seguridad prácticos y efectivos, gradualmente en un proceso de mejora. Adicionalmente está el costo que representa documentar la congruencia diaria. Por último, es claro que los mecanismos punitivos o represivos, aplicados ante la detección de diferencias entre lo formal y lo informal, a fin de cuentas resultan inútiles, pues siempre se encontrarán mecanismos de resistencia como la simulación o simplemente, mecanismos prácticos que destraben las normas equivocadas como el uso del correo gratuito. Esto también pone en duda la utilidad de los “departamentos de planeación” que pretenden poseer el conocimiento de los procesos, tal como lo prescribe la Administración Científica (Scientific Management) de Taylor que puede convertirse en una traba para las empresas posmodernas. 3. La ambigüedad del lenguaje tiene muchas consecuencias serias, tanto en la definición y como en la interpretación de la normatividad o las reglas o políticas. No es raro encontrar a dos auditores que opinen de manera encontrada sobre el mismo texto. Para ejemplificar, se tiene un caso extremo en los procesos judiciales, donde hay muchos casos públicamente conocidos a pesar de la “objetividad” de la evidencia. La ambigüedad lingüística es la razón del juego judicial en un ciclo semejante al siguiente: demanda – > defensa –> sentencia –> apelación –> ratificación o rectificación de la sentencia –> apelación en otro juzgado de otro nivel, donde el ciclo se repite. También se encuentra que en la especificación de la normatividad (que será auditada), frecuentemente se usan recursos lingüísticos que la vuelven ambigua deliberadamente. Por ejemplo, se usan adverbios y adjetivos tales como “hasta”, “máximo” o “mínimo” para definir algún límite de alguna métrica, de tal forma que permita medir un tope y no un rango estricto. 4. Adicionalmente, se supone que el trabajo del auditor y él mismo es “objetivo”, es decir, que sus inspecciones son una actividad humana y él está libre de intereses, emociones, sentimientos, valoraciones morales, etc. Esto, hoy en día, ante la crisis del positivismo lógico como corriente filosófica de la ciencia o del conocimiento, es caduco pues ha sido demostrado que claramente es imposible. Puede decirse que la ontología y epistemología positivista hoy en día, está en crisis, lo que equivale a la necesidad de incluir la subjetividad y lo simbólico como complementariedad de lo objetivo. Lo anterior, vuelve más relativa la importancia de las evidencias documentales (físicas y/o electrónicas), por ejemplo, en una auditoría de seguridad informática o en un análisis forense informático. La recomendación práctica es que la subjetividad no debe ignorarse, sino por el contrario, debe integrarse al proceso de auditoría para poder juzgar de manera más acertada las “desviaciones” respecto a lo normado y hacer recomendaciones más pertinentes. 5. Por último, me interesa destacar la simulación, el perfomance o actuación como fenómeno social asociado a la necesidad organizacional de aprobar la auditoría, tal como lo demuestra la teoría del “performance social”. No es poco frecuente el hecho de que cuanto una auditoría se lleva a cabo, a todos los participantes se les “instruye” (informalmente) qué decir, qué no decir, cómo actuar, cómo llenar los formatos y qué responder a las preguntas capciosas de los auditores. Tampoco es poco frecuente que “se compre” el resultado positivo de la evaluación. Claramente, cuando esto es así, la legitimidad de la auditoría es nula, a pesar de haberla “pasado” y de contar con “el certificado” o el “papelito”. Lo anterior demuestra en la práctica, quizá la poca utilidad que puede tener la auditoría en sí misma.
![1. Contexto ,[object Object],[object Object],[object Object],[object Object]](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)