Calendario de EventosBiblioteca de RevistasBiblioteca de NewsletterBiblioteca de InfografíasGalería FotográficaVideoentrevistasColaboradoresEstadísticas

Inscríbase a la RevistaPolíticas de PrivacidadLa guía del ColaboradorContactoAnúnciate aquí






OK
ARTÍCULO DESTACADO
Imagen LOS MATICES  DE LA CONFIANZA

LOS MATICES DE LA CONFIANZA

Domingo 15 de Septiembre del 2019
Jeimy Cano

Recientemente afirmaba el creador del concepto “Cero confianza” cuando estuvo en Forrester Research, el comunicador social John Kindervag, actual Field Chief Technical Officer en Palo Alto Networks en una conferencia internacional: “En ciberseguridad, confiar es una vulnerabilidad” (Gehri, 2019), frase que llama mucho la atención y que muestra las bondades y limitaciones del concepto previamente indicado.

“Cero confianza” significa entender la seguridad de la información centrada en los datos. Esto es, identificar los datos más sensibles y hacerlos visibles, establecer los flujos de información alrededor de estos datos sensibles, desarrollar microperímetros alrededor de estos datos con reglas de control de acceso, monitorización y analítica continua del tráfico entrante y saliente desde los diferentes puntos y flujos de información sensible, y articular soluciones automatizadas que desplieguen y orquesten todos estos elementos detallados (Balaouras, Cunningham & Cerrato, 2018).

Con esta vista se confirma que el modelo “cero confianza” implica no confiar en nadie, motivar el menor privilegio posible y monitorización permanente para identificar cualquier comportamiento no previsto o detallado en los controles y validaciones analíticas de la plataforma instalada. En pocas palabras, el individuo y sus comportamientos, en general son el enemigo a vencer, bien por sus acciones no intencionadas, o por sus actividades abiertamente maliciosas en contra de la infraestructura o sistemas que se protegen.

Si entendemos que la seguridad de la información o la ciberseguridad son conceptos que buscan brindar cierto nivel de confiabilidad a las empresas en sus operaciones, teniendo claro que operan en un entorno agreste e inestable, donde tarde o temprano una brecha va a ocurrir; la confianza no puede ser un valor estático asociado con una lectura binaria: es confiable o no es confiable, lo cual supone un entendimiento de una práctica de seguridad y control basada en cero riesgo o seguridad 100 por ciento, dos mundos que técnicamente no son viables.

En este sentido, la confianza tiene varios matices que, dependiendo del entorno y la dinámica de la empresa, podrá tener un enfoque u otro. Lo anterior establece un concepto más dinámico de la palabra “confiar”, donde de alguna manera el objetivo no es exigir “perfección en el comportamiento humano”, sino claridad de sus acciones en un escenario concreto, donde las expectativas se pueden concretar a través de acuerdos y realidades que son compartidas por los participantes. Es decir, la confianza termina siendo una declaración de umbrales de acciones confiables, que anticipan posibles brechas inherentes a la dinámica del negocio o de las personas (Cano, 2017).

 

TIPOS DE CONFIANZA

Un primer tipo de confianza sería la confianza perfecta, esa que espera que no haya errores en el ejercicio de protección de la información o su privacidad. Esta es una confianza ciega y posiblemente como afirma Kindervag, vulnerable, pues no es realista que exista una operación permanente con cero errores. Todas las operaciones están mediadas por humanos (incluso quienes programan las máquinas) y por tanto la posibilidad del error siempre estará presente. En este ejercicio, es mejor capitalizar los errores y desmontarlos de la carga emocional negativa que producen, para que el sistema aprenda y avance de acuerdo con la evolución del entorno. Un sistema de confianza perfecta que no evoluciona, necesariamente termina siendo obsoleto en el corto plazo y cargado de “culpables” en las empresas.

Un segundo tipo de confianza sería la confianza imperfecta, esa que está fundada en un modelo de vulnerabilidad por defecto. Ésta reconoce que las partes que interactúan van a fallar y se establecen acuerdos de acción cuando las cosas no salen como estaban previstas. En este escenario, se desarrolla como capacidad general y relevante la atención de incidentes, como una fortaleza técnica y estratégica que permite atender y superar rápidamente eventos no deseados, y establecer lecciones aprendidas para ajustar los entendimientos de la protección de los activos de información o su ciberseguridad. Un sistema de confianza imperfecta es una ventana de aprendizaje y reto permanente del status quo de la empresa en los temas de seguridad y control.

Un tercer tipo de confianza sería la confianza regulada, esa que está basada en normas y estándares que establecen el marco de cumplimiento que la organización requiere de acuerdo a su contexto de operación. Esta confianza busca estandarizar un comportamiento humano, tratando de velar por una alineación “casi perfecta” de lo que indica la práctica formal con lo que sucede en la ejecución real. Cada vez que algo no sale como está previsto, se dispara el mecanismo de análisis causa-raíz, que busca encontrar los porqué de lo sucedido, para luego incorporarlos a la nueva versión de la práctica que se tiene a la fecha. Un sistema de confianza regulada demanda el cumplimiento de las normas y cualquier desviación deberá ser corregida y posiblemente sancionada.

Un cuarto tipo de confianza sería la confianza neutra, un ejercicio de acciones preventivas que buscan evitar que situaciones adversas se presenten. Se toman actividades necesarias (algunas pasivas y otras activas) para crear un entorno confiable y creíble, donde se evitan comportamientos que atenten contra la “tranquilidad” y “estabilidad” que requiere la organización. Las acciones preventivas son las prácticas más utilizadas en la industria de la seguridad, siendo una declaración de buena conducta que cada persona hace y que busca interiorizar en cada uno de los individuos el ejercicio de “cuidarme, para cuidarte”. Un sistema de confianza neutra busca evitar las actividades y acciones contrarias a los derroteros de protección de los activos y cuidado de la privacidad, lo que muchas veces inhabilita la acción requerida para alcanzar nuevos horizontes y retos en los negocios actuales.

En el contexto de la privacidad, donde lo que está en juego es un derecho de la persona (en la vista europea y latinoamericana de la temática), la confianza imperfecta puede tener implicaciones adversas, una brecha de seguridad se podrá materializar y comprometer las garantías de un individuo. No obstante lo anterior, de igual forma que las prácticas de seguridad y control, la atención del incidente con datos personales se deberá activar, y tomar las acciones del caso para evaluar las implicaciones de la brecha y resarcir al afectado respecto de los posibles daños que se pudieron haber causado. La protección de los datos establece un reto mayor para los matices de la confianza, habida cuenta de su sensibilidad y alcances en un mundo digital y tecnológicamente modificado como el actual.

Así las cosas, la confianza no es un concepto único y estático, es una realidad que está inmersa en la dinámica de aquello que no sale como está previsto, y por lo tanto, demanda una mayor apertura por parte de todos aquellos que participan en el ejercicio. Saber que podemos confiar en otros, es reconocer que vamos a actuar juntos cuando las cosas se salen de lo establecido, y allí habrá un espacio valioso para aprender y desafiar verdades conocidas.

Al final el tema no es perder o ganar confianza entre los diferentes participantes, sino colaborar en la construcción de una visión de la realidad más enriquecida por la experiencia de los que participan, y cooperar en la realización de las actividades previstas para alcanzar nuevos niveles de confiabilidad y operación, con el fin de así desarrollar un modelo de negocio más resiliente, más resistente y de sobremanera, más orientado al pronóstico, que no encuentre en el error culpables, sino nuevas oportunidades para explorar en medio de los inciertos, las contradicciones y las rarezas que viven en su entorno.  

 

REFERENCIAS

- Balaouras, S., Cunningham, C. & Cerrato, P. (2018) Five steps to zero trust security. Forrester Research. Recuperado de: https://www.optiv.com/sites/default/files/2019-01/Forrester%20Five%20Steps%20To%20A%20Zero%20Trust%20Network%20Oct%202018.pdf

- Cano, J. (2017) Riesgo y seguridad. Un continuo de confianza imperfecta. En Dams, A., Pagola, H., Sánchez, L. y Ramio, J. (eds) (2017) Actas IX Congreso Iberoamericano de Seguridad de la Información. Universidad de Buenos Aires - Universidad Politécnica de Madrid. ISBN: 978-950-23-2811-9. 34-39. Recuperado de: https://www.researchgate.net/publication/321197873_Riesgo_y_seguridad_Un_continuo_de_confianza_imperfecta

- Gehri, V. M. (2019) Zero trust in der cyber security – vertrauen sie niemandem! InfoGuard. Swiss Cyber Security. Recuperado de: https://www.infoguard.ch/de/blog/zero-trust-in-der-cyber-security-vertrauen-sie-niemandem

Imagen hid USA
Imagen Flir


Logotipo Seguridad en america
VideovigilanciaControl De
acceso
Transporte
seguro
Contra
incendios
Ciberseguridad
y Ti
Seguridad
privada
Administración
de La Seguridad
Protección
ejecutiva
Seguridad
pública
El Profesional
opina
Especial
del Bimestre
Novedades
de La Industria





Cerrar