domingo, 12 de diciembre de 2010

Fuga de la información: Revelando la inseguridad de la información en el factor humano

Revisando la etimología de la palabra fuga, encontramos que viene de la palabra fugare (en latín espantar, hacer huir), deriva de fugere (huir), por esta razón en latín fuga significa las dos cosas: persecución y huída. (Tomado de: http://etimologias.dechile.net/?fugar)

Considerando el origen de la palabra en español y su origen latino, la fuga es un acto en el cual se da una huída y a la vez una persecución. Podría decirse que no existe la huída sin una persecución. Necesariamente el acto de huir, exige una causa que anima a una de las partes a desaparecer del escenario y tratar de evitar ser visto o identificado para hacer más exigente la persecución por la otra parte interesada.

Con los recientes acontecimientos relacionados con la fuga de información (en inglés infomation leakage) se revelan muchos de los secretos mejor guardados de las naciones y la agenda paralela que se mantienen entre los gobiernos para mantener los lazos diplomáticos y acuerdos estratégicos. Si revisamos con cuidado, lo que ha ocurrido, podemos tener diferentes lecturas y motivaciones para calificar los hechos, bien como la mayor brecha de seguridad que se haya realizado o un acto de real libertad de información.

En cualquiera de los dos casos tenemos una fuga de información, que necesariamente genera una persecución, bien por haber expuesto información clasificada como secreta o altamente secreta, o bien por publicar y mancillar la privacidad natural y propia de tanto de las personas naturales como jurídicas. En este contexto, todos tenemos cosas que sabemos son restringidas y propias de nuestra intimidad, que estamos dispuestos a preservar de la mirada de otros, no porque sean ilegales o prohibidas, sino porque hacen parte de nuestra realidad y personalidad muy propia. Por tanto, todas las acciones que emprendamos para defendernos ante esta situación estará justificada frente a la magnitud de los hechos, sabiendo que las consecuencias de estas acciones tendrán efectos a corto, mediano y largo plazo e impactos en la reputación y buen nombre de los involucrados.

Si nos remontamos a otras épocas (la famosa guerra fría) donde la inteligencia y el espionaje era la norma natural a través de la cual las naciones generaban su posición Info-estratégica, encontramos que todas las personas involucradas en estas actividades reconocían en la información una de las formas a través de la cual era posible anticiparse o tener una perspectiva ventajosa frente a situaciones inesperadas en el corto o mediano plazo. Estos ejercicios realizados en el contexto de la seguridad nacional daban mayores márgenes de maniobra o negociación ante situaciones críticas, mientras que en el escenario de la industria privada fue la manera de anticiparse a la crisis de los mercados, reconociendo el valor de los ejercicios prospectivos y de inteligencia competitiva como apalancadores de la visión y la administración de los riesgos de los negocios.

Cuando somos testigos de uno de los hechos más representativos de fuga de información de la última década, son múltiples las visiones y afirmaciones que se advierten, frente a un hecho que naturalmente ocurre, como bien dice una señora casada: “de las puertas hacia adentro, yo si sé como son las cosas”. Dicho de otra manera, de las puertas hacia adentro, cada nación, empresa y persona, tiene detalles de los asuntos y acciones que han emprendido para mejorar y tener una posición práctica y relevante frente a eventuales vulnerabilidades propias de sus procesos de negocio y su estatus frente a su competencia en el entorno.

Por mucho que las naciones, organizaciones y personas se esfuercen para evitar una fuga de información, se hace necesario contar con la esfera inabarcable de los seres humanos, que quieran o no, están expuestos constantemente a guardar o revelar secretos como parte natural de su relacionamiento con otros. Si el secreto que se guarda le implica sanciones o efectos negativos posteriores, la persona estará persuadida de no hacerlo, aunque muchos podemos ser lo suficientemente osados para desafiar lo que haya por venir. Así las cosas, nadie puede vivir sin relacionarse con otros, por tanto la revelación de la información propia de nuestras relaciones estará enmarcada en la confianza y protección que al menos dos puedan hacer de ella, siempre y cuando no exista la intimidación o presión que se pueda tener por ésta.

Con los avances tecnológicos y una alta interactividad de los usuarios finales a través de medios inalámbricos, la información fluye tan rápido como ella se produce. Es así que tenemos ahora ciudadanos digitales empoderados y exigentes, que demandan estar “informados”, para tener una posición al respecto y por qué no incidir en la toma de decisiones que implica la situación. En este contexto, al compartir cada vez más información a través de las redes, perdemos espacio en nuestra privacidad, ese principio fundamental propio de la esfera personalísima que nos define y realiza, más allá de nuestras acciones y labores diarias, pues allí está la esencia misma de nuestra personalidad y razón de ser.

En razón con lo anterior, cada vez más tenemos escenarios para materializar una fuga de información, más allá de un acceso físico a documentos, o generación de grabaciones analógicas o digitales de conversaciones, ahora en un mundo interconectado y con múltiples plagas informáticas, vulnerabilidades y fallas de seguridad, los cuales no avizoran un mejor escenario para las naciones, organizaciones y personas. En consecuencia, las acciones que se emprendan para mitigar la fuga, deberán articular los aspectos tecnológicos, jurídicos, procedimentales y culturales para establecer una red de estrategias, que reten las motivaciones propias de aquellos que “buscan revelar” lo que está oculto y generar los impactos que satisfagan sus “intenciones” primarias.

Establecer estrategias en este sentido, es reconocer al ser humano como el eslabón más débil de la cadena y el elemento táctico más efectivo para enfrentar al mismo hombre. Dicho de otra forma, nosotros somos la causa y el control de la fuga de la información, razón por la cual los teóricos y practicantes de la seguridad se encuentran en una encrucijada, para poder enfrentar con efectividad este riesgo. Cuando la protección de la información corporativa se hace como parte extensiva de la custodia misma de la información personal y sus impactos, se confronta el entendimiento colectivo de la cultura y se hace evidente que nuestros comportamientos deberán ser los esperados por la empresa, así como nosotros los esperamos con nuestros datos.

Es claro que, como reza la realidad de los hackers o “aquellos que van más allá del manual” (no hablo de aquellos que han usado lo que saben para afectar o dañar a otros), la información es la materia prima para hacer que las cosas avancen: un mundo informado es un mundo que tiene una posición crítica y acciones concretas frente a la situación, pero de igual forma hay registros que no deben estar a la luz pública, so pena de generar inestabilidades sociales o malos entendidos que no ayudan a la construcción de un mundo mejor y con oportunidades para todos.

Cualquiera sea su posición frente a los hechos revelados recientemente, es importante que se cuestione sobre “su derecho a estar informado”, al “derecho que tiene a cada persona a su privacidad”, a la revisión de los impactos propios de este tipo de hechos y sobre manera a la protección de su información, como elementos básicos para tomar una posición balanceada, firme y concreta frente a ese activo que representa o tiene un valor para alguien, quien generalmente conoce y sabe lo importante que es para esa persona u grupo de individuos: la información.

Finalmente y sabiendo que toda fuga lleva consigo una persecución, evalúe con cuidado de qué lado quiere estar: ser un “fugitivo o perseguido” con causa o sin causa, o ser el “fiscal acusador y perseguidor” que hará defender sus derechos bien por una causa o razón para salvaguardar una reputación, o por conveniencia, cuándo él mismo se encuentra involucrado. A final la decisión no admitirá puntos medios, sino la realidad propia de los intereses de las partes comprometidas.


Referencias
GORDON, P. Data leakage. Threats and mitigation (2007) GSEC Gold Certification. Disponible en: http://www.sans.org/reading_room/whitepapers/awareness/data-leakage-threats-mitigation_1931
BORTNIK, S. (2010) ¿Qué es la fuga de información? Parte II. Disponible en: http://blogs.eset-la.com/laboratorio/2010/04/22/%C2%BFque-es-la-fuga-de-informacion-parte-ii/. Blog - ESET.

No hay comentarios:

Publicar un comentario