Este documento busca repensar la seguridad de la información desde el concepto de la inseguridad. Propone aprender de la mente del atacante para diseñar sistemas menos inseguros y animar una postura vigilante en la gestión de la seguridad. Analiza los conceptos actuales de seguridad, las inversiones en seguridad y las vulnerabilidades, con el fin de proponer un modelo para la administración de la inseguridad informática.

1. Administrando la
Inseguridad Informática
Defensa
Jeimy J. Cano
Grado de dificultad
Este documento busca repensar la seguridad de la información
desde el concepto de la inseguridad, para que, tratando de
aprender de la mente del atacante, se descubra cómo diseñar
y construir sistemas menos inseguros, como una estrategia para
destruir la falsa sensación de seguridad y animar una postura
vigilante y proactiva en la gestión de la seguridad de la información.
L
a única constante en el mundo de la se- sobresalientes de la inseguridad. Si miramos
guridad de la información, es la inseguri- con detalle estas dos consideraciones, no
dad. En este sentido, las organizaciones responden necesariamente a un problema de
luchan día a día para tratar de eliminar o mitigar seguridad tecnológico, sino procedimental y de
las posibles vulnerabilidades que se presentan concientización. Los intrusos saben y com-
en sus infraestructuras tecnológicas o en sus prenden que detrás de las infraestructuras de
procedimientos que apoyan el negocio. seguridad de la información está ese elemento
Revisando los recientes artículos e informes que las organizaciones hoy por hoy se resisten
de vulnerabilidades (WILLIAMS, M. 2006, MI- a entrenar, a formar, a hacer parte formal de
MOSO, M. y SAVAGE, M. 2006, BEAVER, K. su modelo de seguridad, los usuarios. (BEA-
2006, ROITER, N. 2006), se hace evidente que VER, K. 2006). Esta realidad, se manifiesta en
la inseguridad informática es un elemento pro- importantes incrementos de robo de identidad
pio de la dinámica de las organizaciones en ca- y fraudes bancarios a través de Internet que re-
da uno de sus procesos. Mientras las empresas quieren una revisión profunda de nuestra com-
buscan alcanzar un nivel superior de seguridad,
más se encuentran con la problemática de la
inseguridad, pues los procesos en sí mismos, al En este artículo aprenderás...
ser redes de comunicaciones y acuerdos entre
• Cómo diseñar y construir sistemas menos inse-
personas, tecnologías y normas, establecen guros,
relaciones y distinciones que generalmente • Cómo animar un apostura vigilante y proactiva
no son distinguibles, haciendo de la labor de en la gestión de la seguridad informática.
aseguramiento de la información más que una
función tecnológica, acciones humanas y pro- Lo que deberías saber...
cesos administrativos y estratégicos.
Durante el 2006, los robos de información • Concepto de la inversión y las vulnerabilidades
y la exposición de datos (http://attrition.org/ en la seguridad informática.
dataloss/), fueron las manifestaciones más
36 www.hakin9.org

2. Inseguridad Informática
prensión de la seguridad, más allá • La habilidad como la capacidad dustria, en teoría la seguridad es per-
de las fallas y las vulnerabilidades. de hacer, desarrollar y actuar en fecta, en la práctica no, esta expresión
En este sentido, repensar el consecuencia con ese conoci- nos sugiere que si bien, las especifi-
discurso de administración de la miento. caciones matemáticas utilizadas para
seguridad exige de los profesionales • La actitud, como la disposición darle claridad a las relaciones que se
y directivos de seguridad aprender a del individuo frente a los retos establecen entre usuarios y objetos
comprender el dual que combaten: la que propone el área de conoci- son verificables en un escenario ideal,
inseguridad informática. Compren- miento y su manera de enfrentar la realidad de las organizaciones y el
der el lado oscuro implica reconocer y motivar el desarrollo de habili- desarrollo de software desbordan di-
que tenemos que desaprender, que dades complementarias para ir chas expectativas.
nuestras actuales estrategias se más allá de lo que su entorno le La seguridad ha estado basada
limitan a mantener y utilizar más tec- propone. todo el tiempo en la comprensión
nologías, y no a comprender en pro- de tres elementos fundamentales
fundidad las relaciones complejas En ese contexto, desarrollar el hábito y cómo alcanzarlos en cada una de
que exhibe la organización y cómo de la Administración de la Inseguridad las implementaciones de modelos
allí se hace presente o se materiali- Informática – ADINSI – implica hacer de seguridad: confidencialidad, inte-
za la inseguridad. (THE HONEYNET de ésta una pasión, una disciplina gridad y disponibilidad – CID. Con-
PROJECT 2004, TAYLOR, R., CAE- individual que permita a las organi- secuente con lo anterior, cualquier
TI, T., KALL LOPER, D., FRITSCH, zaciones mantener una posición pro- intento para vulnerar alguno de éstos
E. y LIEDERBACH, J. 2006). activa frente a posibles e inesperados elementos, se considerará un intento
En consecuencia, las organiza- eventos, para los cuales puede no o ataque al activo fundamental que
ciones deben reconocer que parte estar preparadas, pero conscientes es la información.
del secreto para incrementar los sobre cómo aprender de ellos. Siguiendo la revisión anterior, se
niveles de seguridad, está en la Basado en lo anterior, se presen- tiene que los ataques se presentan
administración de la inseguridad in- ta este documento que examina los dado que existen escenarios y prác-
formática. Expresado de otra for- conceptos actuales de la seguridad ticas que no aseguran el cumpli-
ma, que tan seguros pueden llegar de la información, algunas conside- miento del CID para la información
a ser, reconociendo siempre que la raciones de inversión en temas de a proteger, característica que en
inseguridad de la información estará seguridad, los cuales serán insumo el mundo de la auditoría se deno-
presente para desafiarlas una y otra para proponer un modelo base para mina riesgo. Un riesgo, de manera
vez. la administración de la inseguridad y general, es todo aquello que no me
Las implicaciones de esta pro- así ver, bajo la mirada de los intrusos, permite el logro de los objetivos; en
puesta exigen desarrollar un hábito tendencias emergentes y estrategias particular, en temas de seguridad de
que busque confrontar la inseguri- consecuentes con este modelo. la información, todo aquello que no
dad de la información y no solamen- me permite cumplir con CID.
te su control o mitigación. En razón Concepto tradicional Generalmente al adelantar un pro-
a lo anterior, desarrollar un hábito de la seguridad de la ceso de administración de la seguri-
requiere según Covey (2005 pág. información dad de la información, se establece
51) tres elementos: el conocimiento, La seguridad de la información desde lo que se denomina un conjunto de
la habilidad y la actitud. los años 60 se ha desarrollado como procesos a revisar y la información
una distinción formal, basada gene- asociada con el mismo. Este proce-
• El conocimiento, como la capa- ralmente en teorías matemáticas, las so se basa por lo general en un pro-
cidad de comprender en detalle cuales terminaron materializadas en grama de protección de activos de la
los aspectos conceptuales rela- implementaciones de software, hard- organización (KOVACICH, G. y HA-
cionados con el área de trabajo ware y productos intermedios. Como LIBOZEK, E. 2006) que considera
donde se ejerce. bien comentaba una persona de la in- las políticas, los procedimientos, los
procesos, los proyectos, los planes
Tabla 1. Características de la Seguridad y de la Inseguridad (Tomado de: y las responsabilidades de cada uno
CANO, J. 2006) de los actores de la organización
frente a los activos. A través de es-
Seguridad Inseguridad
te programa se operacionalizan las
Subjetiva Objetiva medidas requeridas para mitigar los
No tiene cota superior Es posible establecerle cota superior riesgos a los cuales esta expuesta la
Intangible Tangible información.
La valoración de qué tan efectivo
Es una propiedad emergente Es una propiedad inherente
ha sido el proceso de administración
Se require modelarla No se require modelarla
de la seguridad generalmente se
www.hakin9.org 37

3. Defensa
mide según el número de incidentes respuesta a este interrogante será En un segundo lugar se encuen-
que se han presentado en la dinámi- desarrollada posteriormente. tran las inversiones en tecnologías de
ca de la organización y su negocio. autenticación, autorización, auditoría
Para ello, ejercicios como las prue- Algunas y monitoreo, las cuales de manera
bas de vulnerabilidades, las evalua- consideraciones sobre estratégica soportan y registran los
ciones de seguridad y las auditorías la inversión y las eventos y el acceso a la información
de seguridad (CANO 1997) son refe- vulnerabilidades en dentro de la infraestructura de tecno-
rentes útiles para establecer el grado seguridad informática logías de información de la organi-
en que las vulnerabilidades se hacen Las organizaciones que reconocen zación. En tercer lugar, se identifica
presentes tanto en la infraestructura en la información un activo funda- las inversiones en el tema de ase-
como en los procesos de negocio. mental para desarrollar negocios guramiento de aplicaciones, fortale-
Si revisamos las prácticas actua- y sobrevivir en un mundo global, por cimiento de sistemas operacionales,
les de las organizaciones alrededor lo general establecen presupuestos valoración de la seguridad, las cuales
de una administración de la seguri- que consideran inversiones (general- establecen buenas prácticas que per-
dad de la información, identificamos mente de un dígito) en los temas de miten afianzar la distinción de gestión
una fuerte tendencia al uso de tec- aseguramiento o protección de dicho de la seguridad de la información
nologías y utilización de estándares activo. Dichas inversiones fueron re- Finalmente, las inversiones sobre
o buenas prácticas internacionales visadas por un estudio realizado por revisión y análisis de los datos que
(KUPER, P. 2005), como una es- la firma Stanley Morgan durante el están residentes en la infraestructu-
trategia para avanzar en su lucha 2005 (KUPER, P. 2005), cuyos resul- ra de computación de la empresa, la
contra la inseguridad, pero pocos tados se detallan a continuación. clasificación de la información y las
elementos que procuren entender La firma Stanley Morgan encontró relaciones entre aplicaciones, proce-
esta última. que las mayores inversiones en se- dimientos de operación y control de
En consecuencia con lo anterior, guridad se efectúan en temas de se- datos, uso de estándares internacio-
el concepto de seguridad, como el guridad perimetral, es decir, cajas de nales, entre otras.
proceso formal y riguroso para man- protección de seguridad anti-spam, Al revisar estos resultados, es
tener un sistema de gestión orienta- anti-virus, anti-spyware, las cuales extraño ver que la menor inversión
do a la protección de la información, generalmente viene preconfiguradas se concentra en la esencia misma
sustentado en las estrategias y di- e instaladas, haciendo mucho más de la seguridad informática, los da-
námica de negocio, entra en crisis fácil su uso y puesta en producción. tos, la información, y que la mayor
al saber que la inseguridad presente Dichas cajas generalmente poseen se orienta a la adquisición de tec-
dentro del sistema atenta contra su una interfase de administración que nologías para controlar en el exterior
propio objetivo. La pregunta que sur- permite a los responsables de segu- la aparición de amenazas contra el
ge es: ¿qué hacer frente a la inse- ridad mirar la efectividad del control activo información.
guridad o riesgos inherentes a la de las amenazas para las cuales han Consecuente con este análisis,
realidad de las organizaciones? La sido adquiridas. se adelantó una revisión paralela,
siguiendo la misma estrategia del
estudio de Stanley Morgan, para ver
cómo evolucionan las vulnerabilida-
des, los resultados obtenidos esta-
blecen reflexiones que presentan en
los siguientes párrafos.
Las mayores vulnerabilidades se
presentan a nivel de los datos, de la
información, generalmente asociadas
con la falta de cultura de seguridad, la
inadecuada disposición de medios de
información, inadecuadas prácticas
de seguridad asociadas con vulne-
rabilidades donde el factor humano
y el incumplimiento de procedimientos
se hacen presentes. Esta realidad se
evidencia en todas las organizacio-
nes en mayor o menor grado, según
los esfuerzos de entrenamiento, infor-
Figura. 1 Análisis de la inversión en Seguridad Informática. [Adaptado de: mación, capacitación y formación del
KUPER, P. 2005] personal de las áreas de negocio.
38 www.hakin9.org

4. Inseguridad Informática
En segundo lugar tenemos las
vulnerabilidades propias a las apli-
caciones, las cuales frecuentemente
están enraizadas en problemas con
las herramientas y prácticas de pro-
gramación, lo cual exige comprender
que una aplicación está hecha tanto
para cumplir con la especificación
con la cual fue diseñada como para
fallar ante un evento no esperado.
En tercer lugar, tenemos las fallas
a nivel de comunicaciones. Los proto-
colos utilizados en las transmisiones
de información tienen vulnerabili-
dades inherentes, las cuales con el
tiempo se han venido detectando
y corrigiendo, cuando es posible, o li-
mitando la aparición de las mismas
con tecnologías de seguridad que blo-
Figura 2. Análisis de la evolución de las vulnerabilidades
quean tráficos que puedan ser cata-
logados como sospechosos. mación es una disciplina que, sus- • ¿Cómo funciona el sistema?
Finalmente, tenemos las vulnera- tentada en la formalidad original de • ¿Cómo no funciona el sistema?
bilidades propias de los proveedores los años 60’s, se ha fortalecido como • ¿Cómo reacciona ante una falla o
y sus productos, los cuales constan- un mundo tecnológico y normativo, situación inesperada?
temente están trabajando para pro- donde cualquier anormalidad que • ¿Cómo hacerlo fallar?
ducir los parches y actualizaciones se presente es una falla o vulnera-
requeridas para mitigar el riesgo que bilidad que debe ser controlada o mi- De acuerdo con una reciente investi-
pueda comprometer la seguridad de tigada. Esta manera de razonar, ha gación (CANO 2006) y considerando
la organización frente a las amenazas permitido avances importantes en los elementos anteriormente presen-
que cubre dicho software o hardware. las tecnologías de protección, que tados (Figura 1 y 2), se establecen
Como podemos observar al de manera sistemática y asidua ha cinco características que identifican
comparar los dos resultados, el de logrado importantes desarrollos y pro- tanto a la seguridad como a la inse-
inversión y el de vulnerabilidades, se puestas para enfrentar el lado oscu- guridad, las cuales serán analizadas
invierte donde existen menos vulne- ro de la fuerza, la inseguridad. y detalladas a continuación.
rabilidades. Por tanto, la seguridad, Si analizamos estos últimos 40 La seguridad es una realidad
aunque reconocemos que es un pro- años de evolución de la seguridad subjetiva, es decir propia del sujeto.
ceso y no un producto, está siendo ad- informática, podemos ver que las Cada una de las personas tiene una
ministrada en función de los recursos investigaciones se han concentrado manera de comprender y entender
tecnológicos y las posibilidades que en revisar las limitaciones de los la seguridad. Es tan válida la defini-
estos ofrecen. La pregunta es: ¿qué productos y teorías alrededor de la ción de un ciudadano común, como
hacer para remediar esta situación? seguridad, es decir, hemos estado la de un especialista en temas de
estudiando la inseguridad infor- seguridad, pues cada uno de ellos
Repensando la mática como factor base para los comprende la realidad de la seguri-
seguridad de la nuevos desarrollos (HUTCHINSON, dad según su exposición a la misma.
información B. y WARREN, M. 2001 Cap.4). Si Mientras que la inseguridad es obje-
Basado en lo revisado hasta el esto es así, no podemos hablar de tiva, es decir, propia al objeto, una
momento, la seguridad de la infor- seguridad de la información, sin re- realidad perceptible, observable y ve-
conocer su dual, la inseguridad (CA- rificable en el objeto. En este senti-
NO 2004). do, la inseguridad valida la esencia
Agradecimientos
El autor agradece al Dr. Jorge Ramió
En consecuencia, estudiar la misma del análisis de riesgos, pues
Aguirre, a la Maestra Gabriela María inseguridad como estrategia para sólo a través de hechos cumplidos,
Saucedo Meza y al Ingeniero Andrés comprender la seguridad sugiere verificables y comprobables pode-
Ricardo Almanza Junco por su tiempo contextualizar en un escenario real mos medir el nivel de exposición que
y valiosos comentarios que permitieron la incertidumbre inherente del siste- tenemos y cómo podemos advertir
afinar y ajustar las ideas expuestas en ma o realidad a modelar, para revisar mejores medidas de control para
este artículo. entre otros aspectos (SCHNEIER mitigarlo, atomizarlo, minimizarlo
2003, pag. 51): o transferirlo.
www.hakin9.org 39

5. Defensa
La seguridad no tiene cota su- Al ser la seguridad un intangible, algo tenga las características que
perior, en otras palabras, siempre es necesariamente responde a una pro- perseguimos. Si queremos que los
posible encontrar una medida que sea piedad emergente de un sistema. activos gocen de seguridad, nos
más efectiva y/o eficiente que la an- Una propiedad emergente, es aque- enfocamos en primer lugar a com-
terior. Esto es fruto normal de la evo- lla que tienen los sistemas, fruto de prender los riesgos a los cuales está
lución de las medidas de protección, la relación entre sus elementos y no expuesto, para desarrollar las estra-
que entendiendo ¿cómo no funciona particular a un objeto que lo confor- tegias de seguridad requeridas y así
el sistema? es posible plantear es- ma, en otras palabras, la seguridad lograr un nivel de exposición menor
trategias que mejoren lo actualmente es fruto de la relación existente en- de dichos activos. Por otro lado, la
disponible. Si la inseguridad no tuvie- tre la tecnología, los procesos y los inseguridad no requiere de modelos
se cota superior como la seguridad, individuos, como un todo coherente o diseños específicos o detallados,
los seguros no existirían ni se podrían y alineado que comprende que no ella sabe que todos los objetos la con-
pagar. Es tal nuestra necesidad de es posible alcanzar mayores niveles tienen y sus manifestaciones se pue-
mantener un nivel de protección, que de seguridad sin un entendimiento den manifestar en diferentes grados
debemos tratar de cuantificar el nivel o comprensión de las interrelacio- o impactos. En este sentido la inse-
de inseguridad que podemos admi- nes, muchas veces invisibles, que la guridad es una propiedad inherente
nistrar, siguiendo paradójicamente un seguridad sugiere cuando de protec- a los objetos que advierte la manera
nivel base de prácticas de seguridad ción de activos se trata. de cómo establecer los mecanismos
y la dinámica de los procesos de ne- De otra parte, la inseguridad es mínimos para limitar la materializa-
gocio. En este sentido, podemos esta- una propiedad inherente a los objetos, ción de la misma en un escenario
blecer un límite superior de exposición una realidad que deber ser evidencia- con unos actores y variables.
o riesgo que queremos asegurar, con da y explorada para ser comprendida, Basado en esta exploración de
las condiciones y precauciones que el lo cual nos lleva necesariamente a la los conceptos de seguridad e inse-
asegurador establezca como mínimas aparición de la administración de ries- guridad es posible sugerir que es
para poder validar y pagar los daños gos. Cuando entendemos que en el arriesgado afirmar que podría ad-
como fruto de la materialización del mundo donde nos movemos estamos ministrarse la seguridad cuando la
riesgo, más allá de nuestro debido expuestos a ellos, hacemos evidente inseguridad propia de los objetos
cuidado y diligencia para mantenerlo que la inseguridad está presente en nos muestra elementos reales y tan-
en los niveles establecidos. nuestro vivir y por tanto, es preciso gibles que ofrecen características de
La seguridad es intangible, no advertir una serie de acciones que gestión que pueden llegar a ser ana-
está en los mecanismos de seguri- nos permitan mitigarlos. Es darle res- lizados y cuantificados de tal forma,
dad, no está en los procedimientos, puesta a la pregunta ¿Qué hacer si el que se planteen métricas de insegu-
no está en las personas o en los sistema falla? ridad que basadas en buenas prácti-
cargos. La seguridad, complemen- Cuando se habla de modelar cas de seguridad y control, puedan
taría al tema de la subjetividad o diseñar algo, buscamos que ese alcanzar niveles mínimos permitidos
previamente analizado, es la mani-
festación de que estamos ante un
bien cuyo manejo no es evidente
En la Red:
• BEAVER, K. (2006) Don't Spring a Leak. Information Security Magazine. Enero. Dis-
ni certero gracias a su volatilidad,
ponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_
fruto de la percepción de terceros. gci1154838,00.html,
Por ejemplo, si nos detenemos a ob- • CANO, J. (1997) Auditorías de Seguridad, Evaluaciones de Seguridad y Pruebas
servar la variabilidad de los merca- de penetración: tres paradigmas en la seguridad informática. Disponible en: http://
dos financieros ante incertidumbres www.derechotecnologico.com/estrado/estrado003.html,
geopolíticas, nos percataremos de • CANO, J. (2004) Inseguridad Informática. Un concepto dual en seguridad informá-
cómo se destruye la sensación de tica. http://www.virusprot.com/art47.html,
seguridad de los inversionistas oca- • WILLIAMS, M. (2006) Security threat changing, says Symantec CEO. Disponible
sionando efectos devastadores en en: http://www.networkworld.com/news/2006/110306-security-threat-changing-
says-symantec.html,
los movimientos financieros. En con-
• MIMOSO, M. y SAVAGE, M. (2006) Today's Attackers Can Find the Needle. Infor-
secuencia y complementario con lo
mation Security Magazine. Junio. Disponible en: http://informationsecurity.techtar
anterior, la inseguridad es tangible,
get.com/magItem/0,291266,sid42_gci1191313,00.html,
es posible advertir el robo, la estafa, • ROITER, N. (2006) That Sinking Feeling. Information Security Magazine. Octubre.
el accidente, la catástrofe, es una Disponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_
propiedad que es evidenciable y ve- gci1219723,00.html,
rificable, esa que se puede valorar • SAVAGE, M. (2006) Protect What's Precious. Information Security Magazine.
con hechos y cifras, soportando un Diciembre. Disponible en: http://informationsecurity.techtarget.com/magItem/
análisis real de los daños y efectos 0,291266,sid42_gci1232273,00.html.
que ésta ha tenido.
40 www.hakin9.org

6. Inseguridad Informática
y así mantener asegurados los bie- de la gestión del modelo de seguri- cretos en cada uno de los elementos
nes o activos que se tengan bajo dad (SCHOU, C. y SHOEMAKER, de evaluación y que exige personal
observación y custodia. D. 2007). Si bien este razonamiento especializado en el conocimiento
Si la reflexión anterior es correc- es útil por la manera sistemática de de los objetos evaluados. Como re-
ta se requiere repensar la adminis- aprender del sistema y sus fallas, sultado de este ejercicio tenemos la
tración de la seguridad, por una de presenta limitaciones para desapren- evidencia de los riesgos y controles
inseguridad donde, haciendo eviden- der de sus prácticas aprendidas, requeridos para mitigar la presencia
te cada una de las características de cuando se enfrenta a situaciones de la inseguridad. (KOVACICH, G.
esta última, podamos desaprender inesperadas o no contempladas en y HALIBOZEK, E. 2006)
las prácticas actuales de administra- el modelo. Entender la inseguridad significa
ción del riesgo focalizadas en obje- Para lograr materializar las ideas comprender las relaciones de los ele-
tos, para reconocer en las relaciones presentadas previamente y darle mentos que son objeto de evaluación.
que generan las expectativas de la una posible respuesta a la pregunta Esto implica revisar de manera sisté-
gerencia (COHEN, F. 2005), los pro- planteada: ¿qué hacer frente a la in- mica e inteligente (SCHWANINGER,
cesos de negocio y la infraestructura seguridad o riesgos inherentes a la M. 2006, cap. 1 y 2) los resultados
de computación, una fuente comple- realidad de las organizaciones?, se de la evaluación considerando, como
mentaria para el entendimiento de propone un modelo de administración mínimo, los aspectos de la tecnolo-
las vulnerabilidades en los sistemas. de inseguridad informática basado en gía, los individuos y los procesos, no
dos ideas principales: descubrir la in- para analizar lo que ocurre, sino para
Hacia un modelo de seguridad y entender la inseguridad. comprender porqué ocurre y efectuar
Administración de El descubrir la inseguridad es un diagnóstico de la situación. En po-
Inseguridad Informática utilizar el enfoque tradicional (siste- cas palabras en términos sistémicos,
Los modelos actuales de adminis- mático) de administración de riesgos administrar la variedad y complejidad
tración de seguridad, generalmente que se viene utilizando, donde los que exhibe el sistema.
buscan descubrir y corregir las fallas, ejercicios de valoración de seguri- Cuando se aplican las conside-
pero no generan estrategias forma- dad requieren un conocimiento es- raciones sistemáticas y sistémicas
les para entender la inseguridad; se pecializado, fundado generalmente al mismo tiempo, se comprenden de
concentran en establecer las correc- en herramientas y estrategias prácti- manera complementaria los ejerci-
ciones y los controles requeridos pa- cas para identificar vulnerabilidades, cios tradicionales de seguridad y se
ra mejorar la efectividad y eficiencia orientado a resultados prácticos y con- posibilita un diagnóstico real de una
situación anormal. Este diagnóstico
puede llevarnos a desaprender lo
Librería conocido y a establecer nuevas dis-
tinciones en cualquiera de los niveles
• CANO, J. (2006) Information Insecurity: A dual concept of information security. Pro- de análisis (estratégico, táctico y ope-
ceeding of 2nd Internacional Conference on E-Global Security. Londres, UK. Abril. racional), generando conocimiento
• COHEN, F. (2005) Security Governance: Business Operations, security governan-
que alimente el desarrollo de mejores
ce, risk management and enterprise security architecture. ASP Press.
estrategias de negocio, la aplicación
• COVEY, S. (2005) El octavo hábito. De la efectividad a la grandeza. Editorial Pai-
de estándares y buenas prácticas,
dos.
• HUTCHINSON, B. y WARREN, M. (2001) Information warfare. Corporate attack así como una asertiva ejecución los
and defense in a digital world. Butterworth Heinemann. procedimientos de operación.
• KIELY, L y BENZEL, T (2006) Systemic security management. IEEE Security & El modelo presentado (Figura 3)
Privacy. Noviembre/Diciembre. pretende, que la organización de ma-
• KOVACICH, G. y HALIBOZEK, E. (2006) Security metrics management. How to nera dinámica, comprenda que cada
manage the cost of an assets protection program. Butterworth Heinemann. nivel afecta a su nivel superior, esto
• KUPER, P. (2005) The state of security. IEEE Security & Privacy. Septiembre/ es, lo que se evidencie en el análisis
Octubre y diagnóstico del nivel operacional
• SCHNEIER, B. (2003) Beyond Fear. Thinking Sensibly about security in an uncer-
afecta al nivel táctico y así sucesiva-
tain world. Copernicus Books.
mente, evitando la fragmentación de
• SCHOU, C. y SHOEMAKER, D. (2007) Information Assurance for the enterprise.
la visión de seguridad y promovien-
A roadmap to information security. McGraw Hill.
• SCHWANINGER, M. (2006) Intelligent organizations. Powerful models for syste- do una postura proactiva y global de
mic management. Springer Verlag. la organización, que reconoce en la
• TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E. y LIEDERBACH, J. seguridad la propiedad emergente
(2006) Digital crime and digital terrorism. Pearson Prentice Hall. fruto del reconocimiento y enten-
• THE HONEYNET PROJECT (2004) Know your enemy. Learning about security dimiento de los riesgos inherentes
threats. Addison Wesley. a cada uno de los objetos que la
conforman.
www.hakin9.org 41

7. Defensa
Figura 3. Modelo de Administración de la Inseguridad Informática
Si esto es así, la organización de manera estructural el porqué de cuya dinámica de aplicación debe
destruirá estructuralmente la falsa ésta. llevar a una distinción organizacional
sensación de seguridad y la re- Por tanto, se hace necesario sobre la gestión de la inseguridad
emplazará por una estrategia de complementar el modelo de riesgos de la información que se denomi-
aprendizaje permanente sobre los y controles actual, con uno basado na en la teoría information assuran-
incidentes que se presenten, como en las técnicas de hacking, que más ce (SCHOU, C. y SHOEMAKER, D.
la norma misma de la gestión de allá de estar concentrado en los 2007) o aseguramiento de la infor-
éstos. Esto es, tomará ventaja de lo activos a proteger y sus vulnerabi- mación.
que aprende de la inseguridad de la lidades, reconoce las relaciones de Finalmente, el modelo de ADINSI
información, para construir mejores los diferentes componentes del sis- propuesto (Figura 3) es una manera
propuestas de protección, basado tema para responder las preguntas alterna para comprender que exis-
en aquello que ven los intrusos planteadas anteriormente (sección ten tensiones entre las personas,
y las ventajas que ofrecen las tec- repensando la seguridad de la infor- los procesos y la tecnología (KIELY,
nologías. mación). L y BENZEL, T 2006) que deben ser
El modelo de Administración de objeto de revisión permanente y así
Conclusión la Inseguridad Informática (Figura 3) evaluar el impacto de las mismas en
La realidad del creciente número presentado vincula los dos paradig- temas como las expectativas de la
de vulnerabilidades reportadas, in- mas, el de riesgos y controles y el alta gerencia, la arquitectura de se-
cidentes ocurridos y fallas identifica- del hacking, como una manera efec- guridad informática y las prácticas
das nos invita a reflexionar sobre la tiva de procurar una administración de seguridad de las organizaciones.
forma de cómo hemos venido afron- de la protección de la información, l
tando los riesgos que éstas generan
y los impactos de las mismas. En
este sentido, el paradigma actual Sobre el Autor
Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comer-
de la seguridad de la información
cio Electrónico, Telecomunicaciones e Informática (GECTI). Facultad de Derecho.
ha entrado en crisis, por lo que se
Universidad de los Andes. Colombia. Miembro Investigador de ALFA-REDI (Red
requiere estudiar en profundidad la
Latinoamericana de Especialistas en Derecho Informático). Ingeniero de Sistemas
mente de los intrusos y sus reflexio- y Computación, Universidad de los Andes. Magíster en Ingeniería de Sistemas
nes para comprender mejor lo que y Computación, Universidad de los Andes. Ph.D in Business Administration, Newport
ocurre ante una falla. Por tanto, no University. Profesional certificado en Computer Forensic Analysis (CFA) del World
es suficiente descubrir la falla puntal Institute for Security Enhacement, USA. Profesional certificado como Certified
y analizar cómo se materializó, sino Fraud Examiner (CFE) por la Association of Certified Fraud Examiners. Contacto:
que se requiere una revisión relacio- jjcano@yahoo.com.
nal de lo que ocurrió para entender
42 www.hakin9.org