Seguridad lógica y Seguridad Física: Dos mundos convergentes

Abstract: 
[...] Se desarrolla este documento que busca animar una reflexión básica sobre el concepto de Enterprise Security Management - ESM (Administración de la Seguridad Corporativa), como fundamento de una nueva generación de ejecutivos de la seguridad, que pensando de manera relacional, avanzan desde las necesidades operacionales de la seguridad, hacia las exigencias tácticas y estratégicas de protección que se encuentran en las mentes y agendas de los ejecutivos de más alto nivel de las empresas.

Introducción

Siguiendo las pautas del libro Holistic management, podríamos definir la seguridad, al igual que una organización, como un sistema viable, muy complejo, con un propósito, probabilístico y con posibilidades (esta última característica no es parte de lo propuesto por el libro mencionado). (CHRISTOPHER 2007, pág. 10 y 11).

Viable, hace referencia a la capacidad de continuar existiendo en su entorno. La seguridad es viable en sí misma gracias a su dual, la inseguridad que vive permanentemente en el entorno. En este orden de ideas, no es posible pensar en la seguridad, sin considerar su dual, como el motivador clave para revisar el mismo.

Muy complejo, entendida esta característica como las múltiples operaciones que realiza el sistema, que bajo la coordinación de todos sus miembros y basado en un cuidadoso diseño de estructuras de manejo y flujo de información, procura la viabilidad del mismo y el logro de sus objetivos. En el contexto de la seguridad, hablamos de las consideraciones de gestión del sistema de protección, basado en un reconocimiento de los riesgos como un elemento fundamental de la dinámica de la organización. Este sistema permanentemente se ve expuesto a las condiciones de la inseguridad, razón por la cual la complejidad propia del sistema, se debe mantener bajo observación y administración para lograr los objetivos propios del mismo.

Con un propósito, es una característica que nos habla de la capacidad de lograr los objetivos deseados. Para la seguridad, lograr los objetivos significa aumentar la confiabilidad del sistema que protege. Dicha confiabilidad, no es otra cosa que el reconocimiento de la inseguridad propia del entorno y del sistema que se quiere proteger, como la cuota de riesgos o amenaza que se debe administrar.

Probabilístico, significa que el comportamiento de sus partes son probabilísticas e impredecibles, pero pueden ser guiados para alcanzar el objetivo deseado. En el contexto de la seguridad, exige del administrador del sistema de protección, reconocer la inseguridad como el evento probable e impredecible, que me dice que tan confiable puedo llegar a ser.

Con posibilidades, es una característica que es complementaria e inherente a las interacción de todas las anteriores, pues busca reconocer en la acción de las propiedades explicadas previamente, opciones de conocimiento, aprendizaje y desaprendizaje de la seguridad, no basado en el comportamiento del sistema de gestión de la seguridad, sino como las ventanas creativas que surgen cada vez que la inseguridad se materializa.

Si lo anterior es correcto, estamos ante un concepto que evoluciona y crece con las condiciones del entorno, quien se alimenta de su dual de manera permanente, para hacer de la gestión de la seguridad un ejercicio permanente y creativo para enfrentar los errores, fallas y vulnerabilidades de la seguridad y así mantener un nivel de confiabilidad en el contexto del negocio.

Reconociendo a la seguridad como un concepto sistémico y holístico que debe ser parte inherente de los procesos de negocio, se hace necesario analizar la evolución del mismo más allá de las fronteras de la lógica de los datos procesados y de los dispositivos de hardware conocidos, para avanzar en una construcción de un concepto de seguridad corporativo, integral y global, que vincule el mundo físico, informático y electrónico en una sola vista, con muchos lentes, que pueda ser comprendida por los ejecutivos de negocio, los gerentes de tecnología y seguridad física, así como por los individuos de la empresa.

En razón con lo anterior, se desarrolla este documento que busca animar una reflexión básica sobre el concepto de Enterprise Security Management - ESM (Administración de la Seguridad Corporativa), como fundamento de una nueva generación de ejecutivos de la seguridad, que pensando de manera relacional, avanzan desde las necesidades operacionales de la seguridad, hacia las exigencias tácticas y estratégicas de protección que se encuentran en las mentes y agendas de los ejecutivos de más alto nivel de las empresas.

La seguridad física y electrónica

La historia de la seguridad inicia siempre con una materia prima para su existencia: un riesgo, un peligro, una amenaza. En este sentido, el escenario de la seguridad física se desarrolla en el contexto de la guerra contra un enemigo, que no busca otra cosa que vulnerar las estrategias de control y contención (entre otras estrategias) que tiene el objetivo atacado, para apoderarse de éste.

De acuerdo con los teóricos (CONTOS, B., CROWELL, W., DeRODEFF, C., DUNKEL, D. y COLE, E. 2007, pág.20-51), existen cuatro (4) categorías de seguridad física: las obstrucciones físicas, las técnicas de vigilancia, los sistemas de inteligencia y los guardias o personal de seguridad. Estas cuatro categorías representan la caracterización de la seguridad misma en el mundo tangible, que aún hoy por hoy existen y que, todas ellas tienen su referente en el mundo lógico.

Las obstrucciones físicas, al igual que en el pasado, constituyen castillos, fuertes, puertas blindadas, paredes reforzadas, entre otras. Tener una fortificación, suponía una posición fuerte, de ventaja y cuidado para aquellos que quisieran vulnerarlo. Cada castillo era construido para "hacerle difícil" el ingreso a cualquier intruso que, sin autorización, quisiera tener acceso a los bienes protegidos por la construcción. Un fuerte era el signo de avance en técnicas de protección física, que asistido por candados, llaves de acceso y combinaciones hacían de la edificación un reto de inteligencia y sorpresa para aquellos que quisieran intentar traspasar sus barreras.

Las técnicas de vigilancia, como aspecto complementario a la edificación, era un elemento clave para alertar cualquier movimiento que se percibiera en el perímetro de acceso a la edificación. El concepto de monitoreo y vigilancia se desarrolla a la par con el avance en las edificaciones, haciéndose parte inherente de los diseños de éstos, como se sigue manteniendo hasta nuestros días. El monitoreo permanente y el sistema de alarmas (seguridad electrónica) que materializan algunas de las técnicas de vigilancia, establecen nuevos procesos y procedimientos que deben cumplirse como parte del sistema de protección de la edificación. La vigilancia no es componente accesorio de la edificación, es el sistema nervioso de la edificación, que ahora cobra vida gracias a las alertas permanentes del monitoreo.

Los sistemas de inteligencia surgen como la forma más clara de analizar la información resultado de los sistemas de monitoreo y de reconocimiento del entorno de la edificación protegida. La inteligencia no solamente recaba información del ambiente donde se encuentra, sino indaga más allá de sus límites para hacer mejores estimaciones que permitan tener ventaja táctica y operativa ante amenazas y situaciones que pueden afectar el nivel de protección de la edificación y sus bienes. La función de inteligencia muestra la capacidad del componente humano, que asistido por las técnicas modernas de procesamiento de información, es capaz de simular escenarios, para tomar decisiones clara ante situaciones no previstas por la organización, pero probables en el contexto de su análisis.

La guardia humana, los especialistas en protección física, son el componente de inteligencia humana y de efectividad operacional ante una amenaza. Es quien actúa y decide frente a una alarma o un escenario de falla, con el fin de conjurar el peligro o vulnerabilidad que pueda ser detectada. La seguridad materializada en los guardias o vigilantes, representa, al mismo tiempo, la mayor fortaleza del sistema de protección, pero también su peor enemigo. Si este personal, se encuentra claramente entrenado y capacitado frente a los procedimientos de operación previstos y reconoce en la inseguridad su aliada para desarrollar estrategias de defensa, estamos ante un elemento que edifica y fortalece el sistema de seguridad. De lo contrario, se advierte la presencia de un efecto sistémico de vulnerabilidad (falla en el diseño) del concepto de protección del sistema que lo contiene.

Los cuatro elementos mencionados nos muestran que la seguridad es un proceso natural y propio del ser humano que vive en comunidad, es una propiedad que de manera intangible se exige en el escenario de la actividad empresarial y personal, no como algo que es accesorio o innecesario, sino como aquello que es necesario para actuar y animar las actividades humanas en todos los escenarios de la vida. 

La seguridad lógica y la seguridad de la información

La evolución normal del concepto de seguridad en una sociedad de la información y el conocimiento, hace que las estrategias de seguridad de la antigüedad cobren vida en un mundo regido por los "bits y bytes". Todas las condiciones de seguridad analizadas en el aparte anterior tienen sus equivalentes en el mundo de la informática y la tecnología.

Si en la antigüedad los activos a proteger eran de condición tangible y real, como el oro, los semovientes y las personalidades, entre otras, hoy el activo fundamental se llama información. Esa pieza de datos procesados y analizados que constituyen la nueva moneda y pasaporte para vivir en la sociedad actual. La información se convierte en el activo de carácter intangible (por aquello que no es posible verlo a simple vista en su estado natural) y susceptible de manipulación, que hace que cada uno de sus dueños muestre interés en su protección y control.

La información es ahora la razón evidente y concreta para que la industria madure en el uso y control de la misma a través de dispositivos informáticos y electrónicos que la reciban, analicen, controlen y reporten, de tal manera que las organizaciones tomen decisiones, revisen sus estrategias y promulguen sus planes. Es importante aclarar, que si bien, en la antigüedad se tenía claro el manejo de la información, particularmente en los sistemas de inteligencia, en el contexto de la seguridad de la información, los elementos tecnológicos generan una complejidad particular que debe ser enfrentada y administrada por los nuevos guardianes, denominados analistas de seguridad.

Con la evolución de la computación, de un contexto cerrado y limitado en los 70’s, a uno más abierto y con más oportunidades en los 80’s, se inicia la carrera para el desarrollo de mecanismos de seguridad de la información, particularmente orientadas a las redes: firewalls, sistemas de detección de intrusos, criptografía asimétrica, SSL (secure socket layer), proxies, entre otros, los cuales establecen una nueva responsabilidad para el área de tecnologías de información y por extensión de protección a las áreas de seguridad física.

Los nuevos mecanismos de seguridad que se presentan recogen las prácticas de los 70’s y desarrollan nuevas funcionalidades para disminuir los impactos de la inseguridad propia de los protocolos asociados con TCP/IP, protocolo fundamental que se propone para interconectar los diferentes puntos tecnológicos disponibles en una organización.

En este contexto, avanzan rápidamente las propuestas de seguridad y control de la información que ahora, no está concentrada en un punto específico de la organización, sino que fluye de manera asincrónica (en diferentes momentos) y asimétrica (en diferentes lugares y con diferentes temáticas) dentro y fuera de las empresas, lo cual, si lo comparamos con lo que se veía en la antigüedad, es una oportunidad y amenaza que puede o no, debilitar la posición estratégica y táctica de una corporación.

Convergencia: Seguridad Integral

Siguiendo lo establecido por ASIS - American Society for Industrial Security Internacional para la descripción del cargo de un Chief Security Officer - CSO, éste es responsable por cuatro diferentes disciplinas de aplicación de la administración de riesgos (CONTOS, B., CROWELL, W., DeRODEFF, C., DUNKEL, D. y COLE, E. 2007, pág.215): Seguridad de la Información, Seguridad Física, Continuidad del Negocio y valoración de riesgos.

En este contexto, se muestra claramente que el concepto especializado de seguridad, revisado en el desarrollo de este documento, tiende a integrarse en un solo, que cobija las diferentes visiones del mismo problema al interior de la organización. Agregaríamos adicionalmente, los elementos propios de la protección de la vida humana como son los sistemas de emergencias, sistemas contraincendio, primeros auxilios y evacuaciones.

La seguridad en el escenario propio de la globalización y de convergencia de los temas, no es una disciplina inmune a esta tendencia. Comprender la seguridad en un contexto integral, establece el nuevo paradigma de la seguridad corporativa como una disciplina de carácter sistémico y sistemático, que no escatima en análisis y revisiones para identificar posibles focos de inseguridad en cualquiera de los dominios presentados, para avanzar en estrategias interdisciplinarias que permitan una mejor comprensión de los riesgos de seguridad organizacionales.

Por tanto, no existe una priorización de temas, o valoración de importancia entre ellos, pues todos suman al descubrimiento y construcción del sistema de gestión de seguridad, que cruza culturas, dominios de conocimiento, tipos de riesgos y amenazas, para concentrarse en los efectos de éstos, no en activos particulares, sino en los procesos de negocio y su impacto en el logro de los objetivos organizacionales.

La seguridad integral en el contexto actual exige una reflexión profunda de cada uno de los especialistas actuales, sus ideas, culturas e intereses, para que superando sus áreas de conocimiento, se establezcan rutas de conocimiento conjunto, armonizados por un solo objetivo, que es delinear una cultura de protección y valoración de activos, que sumando en un lenguaje común, pueda comunicar, actuar y modelar los riesgos a partir de la experiencia misma de las personas y su percepción de las amenazas en el desarrollo de sus actividades.

Establecer lineamientos que permitan una seguridad integral, un concepto unificado de protección, implica cruzar los dominios de la seguridad física, informática, continuidad de negocio, valoración de riesgos, emergencias, evacuaciones, contraincendio, primeros auxilios e investigaciones derivadas de la materialización de los riesgos, en el escenario de sus operaciones y actividades detalladas, para luego evaluar las consideraciones tácticas de las mismas, que nos lleven a una visión estratégica de la seguridad que sea aplicable al proceso mismo de negocio; que apoyado con el especialista del área, reconozca lo sistémico del concepto y, lo sistemático y especializado de su aplicación.

Del Enterprise Security Management-ESM al Enterprise Security Governance - ESG

La literatura especializada en temas de seguridad integral, así como las tendencias internacionales sobre la convergencia de servicios y conceptos, detalla nuevas propuestas conceptuales que buscan ayudar a los profesionales y teóricos para visualizar una nueva práctica de la seguridad, ahora en un mundo global y más dinámico.

En este escenario los especialistas plantean una estrategia denominada Enterprise Security Management - ESM, que podría traducirse como Administración o Gerencia de la Seguridad Corporativa, como ese concepto que permite a un analista monitorear la infraestructura de una organización en tiempo real, indistintamente el producto, proveedor y su versión. (CONTOS, B., CROWELL, W., DeRODEFF, C., DUNKEL, D. y COLE, E. 2007, pág.256) Si bien el concepto se utiliza generalmente en temas de tecnologías de información, recientemente se hace extensivo a los temas de seguridad física y electrónica, forjando una visión integrada de la seguridad organizacional, más allá de una alarma de alerta informática o ataque informático o de un acceso no autorizado o violación de un perímetro de seguridad física.

El ESM es una respuesta concreta y práctica a la integración de tecnologías y conceptos de seguridad física, electrónica e informática que busca recolectar los registros de auditoría (logs), mensajes de error, fallas y alertas, que se denominan eventos, los cuales vienen de diferentes fuentes, para luego correlacionarlos y establecer posibles patrones o vectores de ataque o incidentes en curso, que proporcionen a los analistas de seguridad orientación sobre las acciones que puedan adelantar frente al riesgo o amenaza identificada.

Contar con un ESM es una manera de visualizar un tablero de control y monitoreo de los diferentes puntos de la infraestructura, que alineados con las mejores prácticas internacionales de registro, seguimiento y reconstrucción de eventos, es capaz de responder a las iniciativas normativas internacionales sobre protección de activos (cualquiera que éstos sean) y como soporte a las investigaciones que de sus análisis se deriven, para identificar a los posibles intrusos o atacantes de la infraestructura.

Es importante anotar que contar con un ESM exige una infraestructura tecnológica especializada, un conocimiento holístico de los riesgos corporativos y la habilidad de cruzar de un dominio de especialidad técnica en seguridad a otro. Esto implica que las culturas de los especialistas de seguridad, los nuevos profesionales de la administración de riesgos y los entes de control, deben conjugar su experiencia y conocimiento para desarrollar unos nuevos lentes preventivos y correctivos, que vean más allá de un hecho mismo y correlacionen las diferente variables del escenario disponibles en los registros del ESM.

Si lo anterior es correcto, la siguiente evolución lógica del ESM, será el Enterprise Security Governance - ESG, que podríamos traducirlo como el Gobierno de la Seguridad Corporativa, como un tema emergente táctico y estratégico que desarrolla una arquitectura de seguridad corporativa general y transversal, que basada en la administración corporativa de la seguridad, es capaz de alinear las necesidades de los ejecutivos de la empresa: disponibilidad, acceso, precisión y agilidad (WESTERMAN, G. y HUNTER, R. 2007, pág.23) en un lenguaje común de acción que sea parte natural de los procesos de negocio.

En esta nueva etapa planteada, que no es posible establecer cuando pueda ocurrir, las organizaciones podrán hacer parte de sus discusiones de alto nivel los temas de seguridad, no como requisitos funcionales de la operación de la empresa, sino como una manera de generar valor y diferenciación en los clientes. La seguridad será parte de los niveles ejecutivos como factor fundamental del proceso de la planeación del negocio; como esa propiedad que le da profundidad a las tendencias del mercado en cada una de las industrias.

Reflexiones finales

"La preocupación por el futuro, la idea de dónde están las oportunidades y la comprensión del cambio organizativo no son patrimonio exclusivo de un grupo concreto: las personas de todos los niveles de la empresa pueden ayudar a definir el futuro"(HAMEL, G. y PRAHALAD, C. K. 1994, pág.51-52). Si esta afirmación es correcta, el futuro de la seguridad integral o el gobierno de la seguridad corporativa, se inicia en cada una de las iniciativas que se adelanten para comprender las diferentes integraciones de los dominios de especialidad en la seguridad.

Estos esfuerzos de aprendizaje y descubrimiento de los puntos en común de los diferentes temas que aborda la seguridad, no es un desconocimiento de la necesidad de la especialización de cada una de las áreas, sino el llamado formal de la academia, la industria, los reguladores y los gobiernos, para comprender de manera relacional y global los efectos de la inseguridad en la dinámica de los negocios actuales.

La convergencia de la seguridad, en todos sus escenarios es la manera concreta y real de comprender que requerimos modelar los riesgos y no asumirlos; que requerimos mayor confiabilidad de los procesos y no seguridad; que requerimos una mente que descubra los nexos causales de los hechos y no sólo concentrarnos en los hechos particulares. Si asumimos los fenómenos convergentes de la seguridad en el escenario actual de un sistema globalizado, es posible avanzar con mayor agilidad a la siguiente etapa planteada denominada el Gobierno de la Seguridad Corporativa.

La convergencia de la seguridad, en sus diferentes especialidades, es la respuesta nativa de la evolución de la inseguridad, como ese intruso invisible que habita en las relaciones evidentes entre la tecnología, la organización, las personas y las normas. Avanzar en la convergencia de la seguridad, con una mente sistémica, es dejar al descubierto los rastros de la inseguridad en cada relación, como una forma para seguir de cerca los retos y desafíos que implican las vulnerabilidades propias de los activos a proteger.

Por tanto, si ud esta pensando en avanzar hacia una modelo convergente de la seguridad recuerde los siguientes cinco (5) ingredientes vitales, que alimentaran su ánimo y concentración en su empeño: (LUKASZEWSKI, J. 2008, pág.16-18)

  1. Mantenga el foco, sin perder el bosque.
  2. Limite el número de objetivos a realizar.
  3. Construya una red de apoyo y desarrolle un equipo de seguidores.
  4. Arregle aquello que está quebrado rápido.
  5. Finalice lo que ha iniciado.

Si está atento a estos ingredientes, su postura de seguridad convergente no sólo tendrá vida propia, sino que animará la discusión sobre la transformación de los ejecutivos de la seguridad, que ahora no serán sólo parte del grupo táctico y operacional, sino elementos de consideración en las reflexiones de las juntas directivas.

Referencias

CHRISTOPHER, W. (2007) Holistic management. Managing what matters for company sucess. John Wiley & Sons.

CONTOS, B., CROWELL, W., DeRODEFF, C., DUNKEL, D. y COLE, E. (2007) Physical and logical security convergence. Syngress.

WESTERMAN, G. y HUNTER, R. (2007) IT Risk. Turning business threats into competitive advantage. Harvard Business School Press.

HAMEL, G. y PRAHALAD, C. K. (1994) Compitiendo por el futuro. En HARVARD BUSINESS REVIEW (1999) La gestión en la incertidumbre. Editorial Deusto.

LUKASZEWSKI, J. (2008) Why should your boss listen to you? The seven disciplines of the trusted strategic advisor. Jossey-Bass.

Country: 
Editor notes: