Acerca de lo que debemos considerar para enfrentar y asumir la ciberseguridad

Al parecer se ha descubierto que la seguridad en tiempos de internet es importante. Pero no es así. La problemática de la seguridad computacional es muy antigua, pero hoy en día la seguridad digital adquiere más relevancia por el incremental carácter estratégico de la información en un sociedad que vive y se desarrolla de forma interconectada, viéndose afectados los mercados, las relaciones internacionales, el activismo político, los movimiento terroristas y el crimen organizado, el comercio, el capital intelectual y la imagen de las personas y las naciones. Por este motivo el "cuidado" de la información es un reto permanente y prioritario en muchas organizaciones y gobiernos. Ante la plétora de términos como ciberseguridad, ciberdefensa, ciberataque, ciberguerra, ciberpaz, entre otros, con este post comento varias ideas que debemos considerar para enfrentar y asumir la ciberseguridad.La seguridad computacional es antigua y siempre ha sido relevante.

Desde los computadores o sistemas de tiempo compartido (uh! que antiguo suena eso), se registran formalmente ataques e intrusiones no autorizadas. Ya existían personas que desarrollaban programas de computador (también suena antiguo ésto) para clonar páginas y así capturar claves, se ponía código oculto en lenguaje de máquina para conseguir operaciones computacionales ocultas, y así un gran etc.
Desde los años 70 se habla de Caballos de Troya, de amenazas a técnicos de computación para conseguir privilegios, y un gran etc.
Lo que ha estado ocurriendo es que antiguamente los temas de seguridad eran muy acotados a determinadas organizaciones y pocas personas. Ahora, la seguridad afecta a cualquiera y en cualquier sitio. Además, si antes el impacto era grande y costoso para una organización o empresa, ahora lo es para un gobierno y toda una sociedad, o realmente el impacto no tiene fronteras.
Así llegamos a situaciones que podrían ser extremas hoy en día en cuanto a ataques entre gobiernos. Me refiero al caso reportado como "ciberguerra" entre Rusia y Estonia ocurrido entre el 15 de Abril y el 19 de Mayo del 2007. Estonia culpó a Rusia del ataque, pero no ha sido demostrado. En síntesis, durante los días indicados, los servicios digitales de Estonia fueron bloqueados, primero las páginas web gubernamentales, luego los medios de comunicación, a continuación el sistema bancario, incluyendo ya universidades y otros organismos. Este tipo de ataques hoy en día son más organizados, pues no se atacan grandes redes de sistemas o servicios, sino que muchas veces se atacan sistemas claves. No me refiero aquí a la madurez en las técnicas informáticas de ataque, o a la sofisticación de los sistemas computacionales que se emplean, sino a que un ataque informático es un proceso que incluye estrategias, espionaje, e infiltraciones empleando dispositivos humanos y tecnológicos para conseguir los fines esperados.  
Queda así expuesto que la seguridad computacional es un tema relevante en todo momento que hay computadores funcionando. Pero quiero advertir que la seguridad computacional o informática es un caso de ciberseguridad, pues en la ciberseguridad debemos tener presente situaciones tales como: el robo de computadores, el corte de cables, el soborno de personal, la desconexión o bloqueo físico de cámaras de seguridad o de computadores, el sellado de puertos en computadores, etc.; todas las cuales caen en la categoría de la ingeniería tecnológica de seguridad y la ingeniería social de seguridad.El ciberespacio es un nuevo espacio de seguridad y defensa.

La ciberseguridad se entiende mejor si hablamos de ciberespacio. Ciberespacio no es internet ni se limita a su uso. Ciberespacio aún es algo ambiguo, pero si permite hablar que las fronteras no existen, los riesgos y su gestión son globales en términos de naciones, y universales en términos que afectan a personas sin distinción. El ciberespacio está mundializado y globalizado. 
El ciberespacio es un territorio con una base claramente digital y de infraestructura tecnológica, que incluye además todo un enjambre de normativas y acuerdos internacionales. En este ciberespacio, así como se pueden enfrentar naciones, se pueden encontrar espacios de paz (ciberpaz) basados en compartir información para facilitar la vida de las personas. Pero igualmente es un espacio de ciberguerra y de guerra tradicional según los modelos de política y de emociones imperantes entre naciones, países y líderes. En este ciberespacio no se relacionan o enfrentan solamente estados u organizaciones delimitadas claramente, se incluyen movimientos plásticos o líquidos que se organizan a discreción: terrorismo, movimientos ambientales, naciones divididas entre territorios, etc. A veces se asocia ciberespacio con cibernentorno, y para efectos de este post serán equivalentes.
Ciberespacio se define, según el Ministerio de Defensa de los Estados Unidos, como un dominio global dentro del entorno de la información, compuesto por una infraestructura de redes de TI interdependientes, que incluye internet, redes de telecomunicaciones, sistemas de información, y controladores y procesadores integrados junto con los usuarios y operadores.   
En este Ciberespacio opera la ciberseguridad y la ciberdefensa. La primera se entiende más antigua y envuelve a la segunda. 
La seguridad es la ausencia de riesgo, y la ciberseguridad se centra en la estrategia de defensa y de protección. Según la norma UIT-TX.1205 de la UIT, la ciberseguridad se define como el conjunto de herramientas, protocolos, políticas, conceptos, directrices, procedimientos, métodos de gestión de crisis y de riesgos, actuaciones y salvaguardas, capacitación, prácticas, seguros y contramedidas, y tecnologías para proteger los activos de personas y de organizaciones.
La defensa es la protección de algo, y la ciberdefensa se centra en llevar adelante esa protección con los instrumentos y capacidades que sean pertinentes. Según la OTAN (NATO por sus siglas en inglés), la ciberdefensa puede hacer que los riesgos remanentes sean aceptables, y es la misma OTAN quien define una política para su espacio en base a los pilares de Subsidiareidad, no duplicación, y seguridad.
En ambos casos se habla de modo activo y pasivo, es decir de ciberseguridad pasiva, o sea, esperar, y de ciberseguridad activa, o sea, proactuar. Pero en el caso de seguridad puede ser más ambiguo este uso, siendo más claro en el caso de ciberdefensa definiéndose: ciberdefensa pasiva es actuar ante un ataque, y una  ciberdefensa activa es atacar antes de ser atacado.  
Por supuesto, en todas estas definiciones o alcances hay solapamientos pues como es natural en el caso de las tecnologías, conforme éstas avanzan y evolucionan, por el principio de convergencia tecnológica, terminan alterándose los conceptos. 
Si queda claro que internet no es equivalente al ciberespacio, y cuando se confunden hay muchos errores.  Ciberseguridad en contexto.

Infraestructura, brecha digital y despliegue de internet. 

Se suele asociar el índice de penetración con la seguridad. Las experiencias muestran que un alto índice de penetración no guardan relación con violaciones de seguridad digital o ciberataques. No se aprecia correlación en el riesgo tecnológico. Se constata que en países con bajo índice de penetración los ataques tienen más impacto mediático pues la conectividad suele estar en organizaciones y no en personas. En países con alta conectividad, la seguridad es un tema más permeado en la sociedad y hay más impacto y efecto en las demandas políticas de seguridad. Los dos casos anteriores se relacionan igualmente con la brecha digital pues, independiente del índice de conectividad, una brecha digital pequeña tiene a las personas y las organizaciones más atentas a la seguridad y abiertas y preparadas a tomar medidas de ciberdefensa. En este ámbito, países más desarrollados y se subentiende con más conectividad  y menos brecha digital, a veces el objetivo de seguridad no es tanto por proteger activos sino cumplir determinados intereses políticos internacionales. 
La infraestructura de seguridad claramente va ligado al interés político en garantizar seguridad. Juega un rol importante la brecha digital del gestor, independiente de la brecha digital de la sociedad. Por supuesto va ligado a la economía y a los objetivos prioritarios de una nación, ya que implican costes importantes y cambios de cultura muy intensos. Llegado a este punto, un país o nación debe invertir en ciberseguridad ya sea porque, por un lado, debe proteger el activo nacional y, por otro lado, debe garantizar niveles de seguridad altos en cumplimiento de pactos regionales o internacionales o como parte de la nueva ciber-geopolítica. Por infraestructura entenderemos todos los medios humanos y técnicos para la defensa, protección y ataques cibernéticos, y todos los mecanismos de previsión y análisis, jugando un rol importante sistemas de data analysis de seguridad. Sin embargo, la infraestructura de seguridad puede quedar relegada si las personas no están preparadas o no son conscientes de la importancia de la seguridad.
Dentro de este apartado, cabe mencionar la parte normativa, legal y de defensa del patrimonio intelectual. Los dos primeros son evidentes, pues debe existir un marco regulatorio y jurídico que ordene actores de un país u organización (léase privados, públicos, y sociales). El último guarda relación con la extensión de la defensa del territorio y de la seguridad nacional, pero con la óptica madura de que el conocimiento de un grupo humano dentro de un país u organización es parte lo invertido por ese país (esto es discutible desde la óptica del conocimiento como un bien de la humanidad) y por ende no puede estar fuera del ámbito territorial del país. Hay dos casos distintos que llevan a un análisis más profundo: el uso de los cloud o nubes extraterritoriales o sea datos de las personas de un país almacenados en otros país, o el caso de la cibermuralla China para reforzar su actual proceso de innovación.
Mención especial hay que dar a las autopistas submarinas o los cables de comunicación global. Muchas veces dejadas fuera de los análisis de ciberseguridad pero que son variables importantes en el control global de la información. Son elementos de política y economía internacional importantes y relevantes pues su seguridad es un asunto compartido se quiera o no, y en sí mismos son el medio esencial de ataques, junto a las comunicacionales del espectro de las telecomunicaciones y satelitales. Esto es lo que podría denominarse las infraestructuras globales.
En natural observar que la ciberseguridad debe manejar variables importantes pero que no determinan las decisiones a tomar. Se aprecia que en ciberseguridad la penetración de internet es importante, pero dependerá de la brecha digital y de los intereses y marketing políticos, las limitantes económicas, las infraestructuras propias y globales, y los compromisos cibergeopolíticos de un país u organización.Internet y redes de seguridad. 

Los riesgos de ciberseguridad no tiene relación con los riesgos en internet. La seguridad va ligada con dos cosas:
Los usos que la gente haga de la tecnología: googlear, mailear, whatssapear, navegar por redes, y comprar online (este último dependerá de otras variables).
Los conectividad total que se vive en día, que tiene abierta una sociedad, una persona y una organización a miles de centros de información tanto de consumo como de producción.  Esto hace que se deba pensar en la ciberseguridad con estrategias más amplias que las tradicionales. Incluso a plantear medidas de rediseño arquitectónico de las organizaciones, no solamente de los dispositivos tecnológicos. Aquí es donde la idea de sociedad en red cobra fuerza, pues las organizaciones son redes de personas y de tecnologías, y por lo mismo la ciberseguridad lleva a plantearse estrategias y rediseños compartimentalizadas de seguridad en las actuales redes de organizaciones socio-técnicas. Inclusive, generando espacios estancos de seguridad como lo espacios sin wifi, o las bóvedas donde se almacenan copias de datos. 

Como en el caso de las autopistas de información, Internet debe considerarse como una nueva autopista abstracta, cuyo dueño son agentes internacionales, donde la neutralidad de internet depende de nuevos conceptos sobre el valor de la información y cada vez más de intereses políticos y económicos. 

Esto lleva a considerar que la ciberseguridad requiere estructuras de seguridad, tecnológicas y humanas, que se gestionen como redes de seguridad socio-técnicas, conectadas o no-contectadas, que garanticen máxima seguridad o como se plantea en el caso de la ciberdefensa, a aceptar riesgos y consecuencias aceptables. 

Actores en la ciberseguridad.

A nivel global e internacional. Hay diversos organismos como la OEA, AMERIPOL y LACNIC preocupados de la ciberseguridad. La misma OTAN, la Unión Europea, el Fondo Monetario Internacional y diversos organismos y entidades internacionales están trabajando en el tema.

A nivel nacional. En diversos países existen entes públicos y privados dedicados y especializados en el tema. Órganos como la policía o el ejército participan muchas veces de forma activa en estos entes o ellos mismos con actores por derecho propio. En ocasiones, empresas privadas se dedican a ofrecer servicios de ciberseguridad a gobiernos y empresas. En este ámbito a veces se cuenta o no con marcos legales claros y bien definidos, y a veces son conjuntos de prácticas normativas documentadas. En este ámbito tienen cabida los mecanismos de seguridad organizacional como los CSIRT.

A nivel de apertura e análisis cost-beneficio. Estadísticas de seguridad suelen no ser públicas, pero si interesa contar con ellas para tomar decisiones y hacer análisis costo-beneficio de invertir en seguridad o en parte. En todo caso, entes locales o globales suelen entregar estadísticas que ayudan a diseñar estructuras y estrategias preventivas, reactivas, proactivas, etc. Sea cual sea el caso, existe fuerte incertidumbre sobre los datos o sobre qué hacer. La velocidad de sofisticación de ciberataques, ciberespionajes, ciberterrorismo, cibercrimen y ciberactivismo, supera muchas veces la velocidad de disponer contramedidas, tanto a nivel económico como a nivel de conceptos. En este análisis cobra importancia el análisis de granularidad de seguridad.