Alumno: ENRIQUE ÁVILA GÓMEZ Módulo: Inteligencia Económica
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
Un nuevo concepto de seguridad de la información aplicada al producto de Inteligencia: El Documento de Inteligencia.
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
Tabla de contenido 1.- RESUMEN EJECUTIVO............................................................................................................... 2 ABSTRACT ...................................................................................................................................... 2 2.- EL CICLO DE INTELIGENCIA. ...................................................................................................... 4 Determinación de objetivos. ......................................................................................................... 5 Adquisición de datos. .................................................................................................................... 6 3.- IMPORTANCIA DE LOS SISTEMAS DE INFORMACIÓN PARA LA ELABORACIÓN DE INTELIGENCIA Y PROTECCIÓN DE LOS ACTIVOS. ........................................................................... 9 4.- EL MODELO CLÁSICO DE SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN EN GRANDES ORGANIZACIONES. LOS NUEVOS RIESGOS. ................................................................................. 11 5.- LA NUEVA VISIÓN DE LA SEGURIDAD DE LA T.I. EN LAS ORGANIZACIONES. LA SEGURIDAD DEL DOCUMENTO. ...................................................................................................................... 13 6.- CONCLUSIONES. ..................................................................................................................... 17 Bibliografía .................................................................................................................................. 19
Enrique Ávila Gómez |
1
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
1.- RESUMEN EJECUTIVO. Las tecnologías de información se han revelado como las herramientas indispensables para todos los intervinientes en el denominado Ciclo de Inteligencia. Desde el momento de la adquisición de datos, hasta los procedimientos de diseminación de la información y control de la misma, pasando por las herramientas de análisis y las de ayuda a la toma de decisión, estas herramientas ocupan un lugar central en el trabajo que realizan los Servicios de Inteligencia. En este trabajo trataremos de exponer la necesidad de un cambio de concepto a la hora de definir la seguridad del principal producto de Inteligencia: el documento de Inteligencia. A partir de la descripción del modelo clásico de seguridad de los sistemas de información basado en la protección del perímetro de la Organización, intentaremos demostrar la insuficiencia de este modelo en la operativa normal de gestión del documento en cualquier organización y propondremos un nuevo modelo que, complementario al primero, permita mejorar sustancialmente aspectos relacionados con la seguridad, integridad y, sobre todo trazabilidad del mismo en un entorno de seguridad en el que el perímetro de la organización se amplía y difumina en base a la propia eficiencia de operación de sus recursos. Describiremos, por último las particularidades que afectarían a una organización o departamento especializado en la producción de documentos de Inteligencia en todo aquel elemento diferenciador que pueda resultar de interés para el desarrollo de este documento.
ABSTRACT Information technologies have emerged as indispensable tools for all those involved in the socalled Intelligence Cycle. Since the moment of data acquisition to the procedures for disseminating information and control it, through the tools of analysis and support decision making, these tools are central to their work on Intelligence Services. On this paper we ´ll try to explain the need for a change of concept when defining security of the main product of Intelligence: Intelligence document. From the description of the classical model of security information systems based on protecting the perimeter of the Organization, we ´ll try to demonstrate the inadequacy of this model in the normal operational document management in any organization and we ´ll propose a new model that complementary to the first, it can allow to improve aspects of the security, integrity and above all trace of it in a secure environment in which the perimeter of the organization expands and blurs based on the operating efficiency of their own resources.
Enrique Ávila Gómez |
2
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
We ´ll explain, ultimately affect the particular organization or department that specializes in the production of intelligence documents in all differentiating factor that may be of interest for the development of this document.
Enrique Ávila Gómez |
3
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
2.- EL CICLO DE INTELIGENCIA. La Inteligencia, como área de conocimiento independiente, puede analizarse desde una triple perspectiva: como institución, como proceso y como producto o resultado (Kent, 1966). En este trabajo, nos centraremos en la Inteligencia como producto, es decir, centraremos nuestra atención en el producto de Inteligencia: el Documento de Inteligencia. El Ciclo de Inteligencia comienza desde el ámbito que tiene asignadas las potestades para determinar los objetivos que han de obtenerse para permitir la toma de decisiones políticas o de otra índole, según las necesidades del decisor. Este proceso continúa con la obtención de los datos que, dirigidos a satisfacer las antedichas necesidades, permiten, mediante su análisis, elaborar un producto que permita al decisor político, una vez se ha procedido a la diseminación del conocimiento generado, en tiempo y forma, adoptar las decisiones que considere oportunas, en función del interés general de la nación. No obstante, una vez se ha elaborado el producto de Inteligencia, a requerimiento del decisor y en el tiempo estipulado por éste, se ha de producir la diseminación de la información que contiene. Y esta diseminación ha de ajustarse a estrictos criterios de seguridad. Ha de determinarse, de forma inequívoca quién ha de conocer y cuándo ha de hacerlo. De este modo, el producto de Inteligencia se convierte en un objeto que ha de ser protegido con el fin de que no pierda su valor intrínseco. Las medidas de protección constituirán un elemento clave para salvaguardar este valor y serán tratadas en este informe, en el plano de las tecnologías de información susceptibles de ser aplicadas con este objetivo. Vemos, por tanto, que el denominado Ciclo de Inteligencia, en su modelo clásico, puede descomponerse en cuatro fases diferenciadas aunque, como veremos en este trabajo, este desarrollo conceptual, en la vida real, se caracterizará por su dinamismo y necesidades de retroalimentación continua entre las diferentes fases. Se produce entonces, un proceso no lineal de adquisición de elementos de Inteligencia que interaccionan en forma reticular y a lo largo del tiempo por lo que no es posible describir el proceso de inteligencia desde un punto de vista puramente lineal o cíclico. Este concepto ha sido señalado de manera brillante por Robert M. Clark (Clark, 2007) al afirmar que “el ciclo tradicional de la inteligencia puede describir perfectamente la estructura y la función de la inteligencia pero no describe el proceso de inteligencia en sí mismo”. Con el fin de encuadrar el objeto de nuestro análisis y haciendo uso, como hemos expuesto con anterioridad, del modelo clásico de definición del concepto de Ciclo de Inteligencia, procederemos a describir sucintamente cada una de sus fases para, posteriormente, analizar en profundidad todos aquellos aspectos relacionados con la seguridad del producto final de este ciclo, esto es, el Documento de Inteligencia. Enrique Ávila Gómez |
4
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
Determinación de objetivos. En la primera de las fases del Ciclo se determinan los objetivos sobre los que han de llevarse acciones de recopilación de información y generación de análisis que, en una última fase, ayuden a la toma de decisión por parte del decisor político. Es necesario precisar que esta determinación de objetivos, de índole estratégica, no se encuentra aislada del entorno en el que se desarrolla el proceso de generación de conocimiento. Así, elementos tales como la cultura de Inteligencia de los servicios afectados, el conocimiento previo obtenido o la rápida mutación de las necesidades de información, configuran un ciclo de información, continuamente realimentado que, a su vez, modifica tanto los objetivos como la aparición de nuevas necesidades de información que ayuden a la toma de decisiones por parte del decisor político. De hecho, este ciclo no sería tal sino que tendría una estructura reticular en donde las fuentes múltiples de información realimentan el sistema y activan los diferentes nodos de análisis y de toma de decisión que, al tiempo, vuelven a determinar necesidades y nuevos objetivos, en un proceso sin fin, que, en cierto modo, se configura como una estructura orgánica. Siendo los recursos disponibles limitados y, en la mayoría de las ocasiones demasiado escasos para cubrir las necesidades reales de Inteligencia, se ha de delimitar tanto el objetivo como el alcance de la acción de inteligencia de la forma más precisa posible, sin olvidar que los objetivos han de resultar lo suficientemente abiertos como para ser adaptables a las interacciones sobrevenidas y las mutaciones que a menudo en forma de “cisne negro” (NICHOLAS TALEB, 2008) pudieran producirse mientras se desarrollan las sucesivas fases Del mismo modo, han de tenerse en cuenta una serie de factores a la hora de determinar un objetivo ya que una de las características más importantes en la acción de los Servicios de Inteligencia es la necesidad de disponer de un amplio dimensionamiento temporal para su acción en base al despliegue de redes de información que, en unas ocasiones serán secretas pero cuyo grueso de análisis de información se encontrará constituido por el conjunto de las denominadas fuentes abiertas (Jordán, Introducción al análisis de inteligencia, 2011). Ello no obsta para que el antedicho despliegue no sea una labor que requiera, como hemos dicho del suficiente rango temporal dado que el despliegue de la red de sensores de cualquier tipo, es un trabajo largo y complejo. Del mismo modo, la determinación clara de los objetivos encomendados constituirá el amparo legal para los Servicios involucrados al tiempo que un límite para el ejercicio de su control y la evaluación de su desempeño, de tal forma que su labor sea sometida a escrutinio suficiente por parte de los poderes designados al efecto. Solamente si los Servicios de Inteligencia disponen de un conjunto claro de objetivos, el sistema de control de su actividad funcionará y, del mismo modo, será posible, medir su eficiencia. Enrique Ávila Gómez |
5
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
Esta fase no se caracterizará, de ningún modo, por ser estática. Tanto la aparición de sucesos de baja probabilidad y de alto impacto (NICHOLAS TALEB, 2008), relacionados con su actividad o sus objetivos, como la propia evolución de una determinada situación determinará que los mismos objetivos hayan de adaptarse a los nuevos requerimientos del decisor político. Del mismo modo, la propia adquisición de datos y su análisis podrá determinar que los objetivos sean modificados. Por este motivo, la determinación de los objetivos deberá de ser lo suficientemente abierta como para permitir la antedicha adaptación a la evolución del entorno en el que los Servicios de Inteligencia realizan su actividad. Como hemos expresado con anterioridad, la labor de Inteligencia ha de servir como una ayuda al decisor político para la toma de decisiones. En base a este hecho, una última precisión que queremos señalar, al definir esta fase del ciclo es la de que los objetivos resulten alcanzables pues, en caso de que éstos no se doten adecuadamente o resulten difícilmente realizables, el resultado de la actividad de los Servicios de Inteligencia puede no ser ofrecido en el tiempo adecuado para ser de utilidad al decisor político. En la fase de determinación de objetivos se ha de partir de una serie de conocimientos previos que ayuden a perfilar cuales puedes ser las líneas estratégicas de interés para el decisor político.
Adquisición de datos. Cada actividad humana se caracteriza por la generación continua de análisis en base a los datos disponibles. El proceso mental del ser humano funciona de idéntica manera. Nuestros sensores adquieren datos del entorno y son evaluados tanto en tiempo real como en tiempo diferido para la toma de decisiones de toda índole. El carácter parcialmente secreto de la información con que trabajan los Servicios de Inteligencia es el elemento diferenciador a la hora de definir una organización de este tipo. La eclosión de las Tecnologías de la Información y de las Comunicaciones de los últimos 30 años, sin modificar básicamente el proceso de generación de información valiosa para las organizaciones, ha permitido el acceso a volúmenes de información para cuyo análisis las capacidades humanas se ven claramente sobrepasadas. La puesta a disposición tal cantidad de información para las organizaciones ha supuesto que el valor haya pasado del dato a la generación de información para la ayuda a la toma de decisión. Esto no quiere decir que el dato, en sí, haya perdido su valor pero ahora es el ladrillo sobre el que se cimenta el edificio y su valor individual es, en la mayoría de los casos, limitado.
Enrique Ávila Gómez |
6
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
La segunda fase del Ciclo de Inteligencia es la de Adquisición de Datos y, basándonos en las dos ideas expuestas, determinamos que, por un lado, el acceso a ingentes cantidades de datos expuestos en fuentes abiertas y no abiertas hace de la planificación estratégica de acceso, análisis, evaluación y archivo de los mismos, un elemento clave para los organismos de Inteligencia. Por otro lado, no podemos olvidar la característica esencial que diferencia a un Servicio de Inteligencia de cualquier otra organización: el carácter secreto de parte de la información con la que trabaja. De esta forma, la actividad de un Servicio de Inteligencia, a la hora de adquirir datos se basará en dos líneas de acción: Por un lado, deberá elaborar estrategias de acceso a volúmenes de datos difícilmente manejables, teniendo en cuenta que una mala elección de esta estrategia tendrá como consecuencia la pérdida de información relevante para el análisis posterior, con el aumento de la probabilidad de error a la hora de presentar un informe de Inteligencia al decisor político. En segundo lugar, habrá de desplegar una red de “sensores”1 que sean capaces de recoger cualquier información de interés que pueda ser incluida en el análisis y permita minimizar la probabilidad de error en la toma de decisiones.
Análisis de datos.
Esta es, la actividad clave de los Servicios de Inteligencia. Como hemos expuesto en el punto anterior, los datos en sí han perdido gran parte de su valor. Es el análisis de estos datos y, sobre todo, la generación de conocimiento a partir de este análisis, como producto elaborado y especialmente indicado a la hora de servir como soporte a la toma de decisión, constituye el objetivo fundamental de la acción de los Servicios de Inteligencia. El producto de un esfuerzo que resume el análisis de los datos en bruto pero que, además, ofrece una visión, a menudo constituida por varios aspectos de la realidad, analizados desde diferentes ópticas y por diversas personas, de un determinado escenario que ha sido señalado como objetivo de análisis, por quien debe realizar la labor de tomar decisiones que, en muchas ocasiones, involucran a un Estado. Tres son, desde nuestro punto de vista, los elementos clave en esta fase del Ciclo de Inteligencia:
1
Utilizamos el término sensores en sentido figurado. Queremos, con ello, hacer referencia a cualquier recurso, técnico o humano que pueda ser receptor de información con valor para el objetivo.
Enrique Ávila Gómez |
7
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
En primer lugar, se ha de disponer de un conjunto de datos, pertinentes al objetivo señalado, para su análisis. En segundo lugar, el antedicho análisis ha de sobrepasar el mero análisis estadístico para alcanzar el grado de conocimiento. El verdadero valor de un análisis se obtiene al alcanzar este grado. El conocimiento es el concepto que permite la toma de la decisión. Un mero análisis estadístico o cuantitativo de una serie de datos no permite que el decisor realice su función. En tercer lugar, alcanzar a generar conocimiento implica que se han de poner en juego ciertas técnicas de análisis de la realidad que involucra conocimiento multidisciplinar, el análisis desde diversas premisas ideológicas, y el acuerdo entre los diferentes grupos de presión con el fin de disminuir el umbral de indeterminación que el decisor tiene, a la hora de realizar su función. Todo ello sin cercenar la libertad de que ha de disponer, como órgano o persona designado para decidir sobre una determinada acción u omisión, el decisor político. Este análisis, además, habrá de presentarse en el momento en que la información contenida en el mismo resulte relevante porque, de otra manera, habrá perdido gran parte de su valor como información de ayuda a la toma de decisión.
Diseminación de la Información.
Se trata de un elemento clave en la acción de los Servicios de Inteligencia. El decisor político precisa de información suficiente en el momento en que ha de tomar una decisión y es él y solo él quien ha de conocer toda la información relevante que le permita tomar una decisión. Como podemos observar, los elementos clave sobre los que incidir en este momento del Ciclo son dos: El producto de Inteligencia ha de estar disponible en el momento en que éste es requerido por el decisor político. Más o menos completo, con mayor o menor precisión en sus resultados pero disponible en el momento en que se ha de tomar una determinada decisión. En segundo lugar encontramos, como elemento clave, que el producto de Inteligencia ha de ser conocido por quien tiene que conocer. Únicamente quien haya de conocer el análisis ha de encontrarlo disponible, como hemos dicho, en el momento necesario. En este punto, la acción de las tecnologías de la información se configura como un elemento clave, tanto por su poder de comunicación como por los riesgos inherentes a que un uso deficiente de las mismas se traduzca bien en un obstáculo para el buen funcionamiento del circuito de diseminación de información, bien en una filtración de la misma que pueda generar altos costes de toda índole a todos los actores involucrados.
Enrique Ávila Gómez |
8
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
3.- IMPORTANCIA DE LOS SISTEMAS DE INFORMACIÓN PARA LA ELABORACIÓN DE INTELIGENCIA Y PROTECCIÓN DE LOS ACTIVOS. Las Tecnologías de Información se han transformado en la pieza central de nuestras sociedades. Son el aceite que engrasa el buen funcionamiento de nuestra delicada maquinaria social. Las Tecnologías de Información son, en resumen, la pieza clave que nos permite reconocernos como una sociedad avanzada, una sociedad de la información, (Castells, 2000) con las profundas implicaciones que ello tiene para nuestra propia supervivencia como sociedad en su conjunto y nuestra supervivencia como individuos que conforman la misma. Los datos circulan por los canales de información a una velocidad inabarcable por nuestra mente y lo hace como el flujo sanguíneo: Alimenta de oxígeno los músculos y la inteligencia de nuestras sociedades. Nuestra capacidad de respuesta frente a la interrupción de este flujo es muy limitada. Ante cualquier desastre de carácter global, que afectase a este flujo, estaríamos inermes, nuestra estructura social se desmoronaría en días, de forma irreversible. Del mismo modo que la información fluye y alimenta cada una de las células, utilizando el símil bilógico, en que se divide nuestro tejido productivo, asistencial, sanitario, económico, político…, cada uno de estos componentes de la estructura genera ingentes cantidades de información que, a su vez, queda depositada, se transfiere, se analiza, genera nueva información, vuelve a transferirse y a depositarse. Vuelve a ser analizada con nuevos datos… La información se ha transformado en un ente con vida propia. Los terabytes de información que, a cada instante se generan y circulan por las redes de comunicación dirigen nuestra existencia individual y social. Tal volumen de información no puede ser analizado sino a través de métodos automáticos que filtren la práctica totalidad de la misma y sean capaces de ofrecer la visión necesaria para que el decisor pueda realizar su trabajo, es decir, tomar decisiones políticas, económicas, productivas, en función de los objetivos estratégicos que se haya marcado. La Inteligencia ha de facilitar esa tarea. El conocimiento es fundamental para quien ha de tomar decisiones pueda encontrarse respaldado por una serie de datos y análisis de los mismos que permitan justificar el por qué de una determinada decisión. Observamos, por tanto, la imposibilidad que existe de prescindir de las herramientas de gestión y análisis de la información a la hora de generar un producto de Inteligencia. Del mismo modo, y lo explicitaremos en el parágrafo correspondiente, el producto de Inteligencia, por su valor, habrá de encontrarse convenientemente custodiado y a disposición de quien ha de conocerlo, en el momento preciso.
Enrique Ávila Gómez |
9
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
Por ello, los elementos relacionados con la seguridad de la información serán muy relevantes en todo el proceso del Ciclo de la Inteligencia.
Enrique Ávila Gómez |
10
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
4.- EL MODELO CLÁSICO DE SEGURIDAD DE LAS TECNOLOGÍAS DE INFORMACIÓN EN GRANDES ORGANIZACIONES. LOS NUEVOS RIESGOS. Las organizaciones, en lo que respecta a su modelo de seguridad de los sistemas de información, se han configurado según un modelo clásico que podríamos definir como de isla. El perímetro de esta isla es lo que es necesario proteger frente a ataques producidos desde el exterior y ello ha generado un modelo de defensa de los activos digitales que traslada este modelo de defensa al ámbito electrónico. Este modelo se ha ido desarrollando a lo largo de los últimos 30 años de tal forma que ha alcanzado su grado máximo de madurez en los últimos años, estabilizándose posteriormente. Todas las organizaciones lo han adoptado y, en buena medida, la defensa basada en perímetro ha sido implementada con éxito notable por parte de todas ellas. El modelo tan sucintamente descrito se basa en una serie de pilares que sustentan su utilidad y su éxito. En primer lugar, se basa en una relación de confianza con el personal que presta sus servicios dentro de la organización. Establece la dicotomía entre el amigo, que se encuentra dentro de la organización y el enemigo que es quien está fuera. En segundo lugar, basa parte de su éxito en el establecimiento de puntos de control únicos en los canales de acceso de la información entre el interior y el exterior de la organización. Este modelo, así descrito, permite diseñar una defensa basada en perímetro en la que el elemento tecnológico es fundamental a la hora de establecer la seguridad de los sistemas de información. Este modelo clásico se ha visto claramente superado por un conjunto de condicionantes multidisciplinares relacionados con aspectos sociales, de relaciones laborales, tecnológicos… Los avances en materia de telecomunicaciones han permitido estar permanentemente conectados a Internet. La ampliación de los caudales de ancho de banda accesibles a los usuarios ha permitido disponer de nuevos servicios que suponen una oportunidad, pero también un riesgo para las organizaciones.
Enrique Ávila Gómez |
11
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
La socialización de la cultura tecnológica ha hecho que un segmento importante de la población de las sociedades avanzadas hayan dejado de ser analfabetos funcionales en materia tecnológica para convertirse en clientes informados e, incluso, en determinadas sociedades, en ciudadanos digitales. Sujetos de derechos y obligaciones en el ámbito de las relaciones con las administraciones públicas. Por otra parte, la eclosión de grupos organizados que trasladan sus actividades delictivas o cuasi-delictivas al ámbito cibernético ha configurado un nuevo horizonte en la lucha contra esta delincuencia organizada. El valor de la información generada por medios electrónicos, depositada en este mismo formato y permanentemente custodiada por sistemas de seguridad digitales, ha crecido exponencialmente. Este valor determinará las actividades que los diferentes grupos con interés en la misma desplegarán para hacerse con ella e impedir, de igual manera, que otros grupos accedan a su contenido. Actores estatales y no estatales generan, por tanto, enormes riesgos que, en su caso, se materializarán en amenazas para la antedicha información, en cualesquiera de sus dimensiones de seguridad: (confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad) (Real Decreto 3/2010, 2010) Las posibilidades en cuanto a la mejora de la eficiencia de las organizaciones que permiten las actividades de teletrabajo configuran otro nuevo horizonte, lleno de oportunidades y de riesgos, tanto tecnológicos como personales para esta nueva clase de “teletrabajadores” y, por ende, para las organizaciones en las que prestan sus servicios. Podríamos glosar, de esta forma, centenares de actividades que, en definitiva, y refiriéndonos al objeto de este trabajo de investigación, modifican el modelo de organización como isla y los transforman en una zona abierta en la que las interacciones entre los diferentes actores son una parte fundamental de la actividad de la organización pero, al tiempo, constituyen un nuevo paradigma en lo que a los modelos de seguridad de los activos de información se refieren. El modelo basado en la seguridad perimetral, sin resultar prescindible, ni estar completamente agotado, no es sino una parte de un modelo de seguridad que se amplía y que ha de modificar su foco: El nuevo activo en el que ha de fijar el mismo es el documento que es, en definitiva, el principal activo de las organizaciones, fundamentalmente si éstas elaboran Inteligencia dado que constituye una de las múltiples visiones que de la misma se ha de considerar.
Enrique Ávila Gómez |
12
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
5.- LA NUEVA VISIÓN DE LA SEGURIDAD DE LA T.I. EN LAS ORGANIZACIONES. LA SEGURIDAD DEL DOCUMENTO. El valor del Informe de Inteligencia reside en que se trata de un conocimiento elaborado por personal experimentado, haciendo uso de múltiples fuentes, algunas de las cuales pueden ser no abiertas. Este valor se encuentra fuertemente mediatizado por el marco temporal en el que ha de ser puesto a disposición del decisor puesto que, fuera del antedicho marco temporal, su valor es limitado. Este valor incide en la necesidad de establecer canales de flujo de información que permitan salvaguardar el valor de la Inteligencia, tanto en su marco temporal como en su carácter secreto. Las tecnologías de información se adaptan a estos requerimientos y ofrecen una serie de oportunidades a la hora de mejorar la eficiencia de los canales así como la reserva en el acceso a los documentos pero, siendo esta aseveración, bajo nuestro punto de vista indiscutible, no creemos menos cierto que el uso de las tecnologías de la información y de las comunicaciones, inducen una serie de riesgos adicionales en el manejo de los canales de información que no hemos de minusvalorar. En primer lugar queremos señalar que la introducción de estas tecnologías ha permitido manejar grandes volúmenes de información haciendo uso de elementos hardware y software manejables por una sola persona, en un marco temporal muy pequeño. Si en épocas anteriores a la introducción de estas tecnologías la protección de la información en papel y su diseminación correspondían al elemento humano y, por el propio soporte, su acceso estaba limitado físicamente, en la actualidad, simplemente con un elemento hardware de almacenamiento, de uso cotidiano y accesible por cualquier persona, pueden ser diseminados millones de documentos textuales y cientos de miles de imagen y sonido2. Tradicionalmente, las medidas de seguridad establecidas en torno a los sistemas de información de una organización han constituido lo que se ha denominado “Sistemas de seguridad perimetral” de la organización, tal y como hemos descrito en el apartado precedente. El avance de la tecnología ha ido introduciendo nuevas variables en este modelo que han provocado la inoperatividad parcial del mismo. 2
El denominado “Caso Manning” y las filtraciones de cientos de miles de documentos de carácter reservado o secreto del Departamento de Estado de los EEUU y su posterior publicación por WikiLeaks no son sino la muestra más reciente del riesgo descrito.
Enrique Ávila Gómez |
13
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
Así, por ejemplo, la introducción del uso masivo de terminales móviles, ha provocado la extensión del perímetro de seguridad de una organización fuera de las capacidades de control de los flujos de información de la misma. Es preciso establecer un nuevo paradigma en el concepto de seguridad de la información. Al final de la cadena, siempre se encuentra el elemento humano. Se trata del eslabón más débil de la cadena y, por ello, la figura que marca la fortaleza de los niveles de seguridad. Por ello, es preciso trasladar la infraestructura de seguridad a este punto, sin descuidar el modelo ya maduro de protección existente. Siendo, como hemos dicho, el consumidor de la información el último custodio de la misma y el garante de su confidencialidad, es necesario trasladar la responsabilidad de su reserva a este punto de la cadena, tal y como se expresa en el siguiente gráfico (Space, 2011):
El documento, como hemos dicho, es el producto final del Ciclo de Inteligencia. Según todo lo antedicho, hemos de lograr trasladar la seguridad de nuestros sistemas de información a este documento, de tal manera que podamos asegurar, fundamentalmente, su confidencialidad así como su integridad, de tal modo que éste no sea modificado en el proceso de diseminación. Sin embargo, no hemos de olvidar que un proceso de diseminación involucra a una cadena de personas que pueden ser sujetos de responsabilidades en caso de pérdida accidental o filtración interesada o dolosa. Por ello, una última característica que, a nuestro juicio es fundamental en la protección del documento se encuentra relacionada con la trazabilidad del mismo. Quién crea un documento, sus ciclos de revisión, el control de su caducidad y, sobre todo las reglas de acceso a sus contenidos, han de trasladarse, como medida de seguridad, al propio documento. Mientras que el modelo clásico de seguridad incide sobre los elementos hardware y la criptografía aplicada sobre el documento, generando una posición reactiva ante un uso indebido del mismo, es necesario dar un paso más y, trasladando los elementos de seguridad al documento, generar políticas de seguridad proactivas que anticipen el antedicho mal uso de la valiosa información contenida en un documento de Inteligencia.
Enrique Ávila Gómez |
14
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
Por todo ello, el documento de Inteligencia, además de la información contenida en el mismo, habrá de contener tanto las reglas de acceso al mismo como las políticas de caducidad de éste. Del mismo modo, con el fin de no perder el control sobre este documento en ningún momento, habrán de habilitarse reglas de custodia del documento electrónico y de trazabilidad de éste con el fin de ser capaces de gestionar el documento, desde el punto de vista de la seguridad, de modo proactivo y no, como hemos expuesto al principio, de modo reactivo. El estado actual de la tecnología permite intentar definir un modelo que reúna todas las características reseñadas. Con anterioridad, hemos señalado como un riesgo la conexión permanente de terminales de datos. En el modelo que pretendemos exponer, lo trataremos como una oportunidad. El diagrama adjunto expone parte de este modelo. El uso simultáneo de técnicas de firma electrónica, cifrado de documentos y metadatos adjuntos a los mismos que determinan su trazabilidad, permisos y caducidad conforman un modelo teórico cerrado susceptible de ser implementado de forma práctica, siempre que existan elementos de comunicación entre el documento y los servidores centrales que mantienen los datos de roles y permisos de acceso así como las limitaciones criptográficas de acceso al documento que, en todo caso, siempre habrá de encontrase cifrado. Es preciso señalar, como hemos hecho con anterioridad, que este modelo no se aísla del modelo clásico sino que es complementario al mismo pues no dejan de implementarse barreras basadas en un perímetro algo diferente, al tratarse de un perímetro más difuso que el existente en el modelo clásico de defensa de los activos tecnológicos de la organización. Por un lado, el terminal, sea éste del tipo que sea (ordenador personal, terminal móvil, dispositivo multifunción inteligente, etc.) habrá de estar protegido como activo de la organización que es. Esta protección seguirá un modelo clásico de protección perimetral que hará uso de elementos tecnológicos software tales como firewalls personales, antivirus, antimalware, virtualización y encapsulado de aplicaciones en sandbox de aislamiento, etc. En su relación con el perímetro de la organización se utilizarán métodos clásicos de cifrado de canal, terminadores de túneles, cifrado de información, firewalls corporativos, detectores de intrusión, streaming de aplicaciones, IPS, firewalls de aplicación, sistemas de proxy, redes honeypot y cualquier otro elemento de este modelo clásico que, en función de la clasificación Enrique Ávila Gómez |
15
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
de la información o del valor del activo a proteger, sea considerado como idóneo para la protección de la información. Al final de la cadena de protección de información, tal y como hemos señalado en reiteradas ocasiones, encontramos al ser humano. Y éste constituye el eslabón más débil de la cadena de seguridad determinando, por ello, la fortaleza de la misma. ¿Cómo podemos controlar que una determinada información va dirigida a quién ha de acceder a la misma? ¿Por cuánto tiempo? ¿Cómo podemos saber que en caso de pérdida o extravío podemos trazarla y, en su caso, inhabilitarla? La respuesta a todas esas preguntas se encuentra basada en la necesidad de interconexión continua de los terminales. Es posible, en la actualidad, consultar en línea un sistema de información especializado en la gestión de roles y permisos relacionados con un determinado documento. De esta forma, antes de enviar un documento, pueden definirse políticas organizativas que impliquen el cifrado automático del mismo, desde cualquier ubicación. Del mismo modo, es perfectamente factible asociar un conjunto de metadatos al documento de Inteligencia que establezcan políticas de acceso al mismo, caducidad de la información contenida en el mismo, ciclos de revisión, firma y cifrado que, en caso de no verificarse, inhabiliten el acceso a su contenido o, directamente, procedan a su destrucción sin posibilidad de recuperación posterior. Este nuevo concepto, sin menospreciar la complejidad inherente al mismo, y que se relaciona fundamentalmente, con la implementación de nuevos flujos de trabajo y de políticas organizativas que, en todo caso, se enfrentarán a la resistencia al cambio por parte del usuario, creemos que es importante para dotar de seguridad al activo más valioso de cualquier organización: el Documento de Inteligencia, tanto más si esta organización es un Servicio de Inteligencia.
Enrique Ávila Gómez |
16
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
6.- CONCLUSIONES Y RECOMENDACIONES. En el desarrollo de este trabajo hemos procedido a describir algunas de las tecnologías que son utilizadas por la Comunidad de Inteligencia con el fin de ofrecer un informe de Inteligencia como producto y proteger su valor. Como marco de exposición, hemos hecho uso del modelo clásico de defensa del perímetro de una organización para la protección de sus activos, señalando las limitaciones de este modelo de seguridad en un entorno que se caracteriza por la interconexión continua de dispositivos inteligentes de diferente morfología y capacidades y el acceso instantáneo a grandes volúmenes de información cuya relevancia ha de ser tenida en cuenta a la hora de diseñar los modelos de protección de estos activos digitales. El desvanecimiento progresivo del perímetro de seguridad, requiere la definición de un nuevo modelo de seguridad que traslade la defensa del activo al ámbito del usuario del documento electrónico que se convierte en el principal activo a proteger. El uso masivo de documentos electrónicos y la adaptación de la explotación de los mismos a las diferentes dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad), ha generado la necesidad de trasladar un modelo diseñado para la salvaguarda de documentos en papel al mundo virtual, provocando inconsistencias en el manejo de la antedicha documentación, lo que hemos intentado poner de manifiesto en este trabajo. Este modelo ha de basarse en la inclusión de reglas, dentro del propio documento, mediante las cuales podamos interaccionar con todas las dimensiones de seguridad que resulten aplicables al documento electrónico en función de su valor y/o de su nivel de clasificación. Para la determinación de estas dimensiones de seguridad, hemos seguido el modelo expresado por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Una vez fijado el modelo conceptual, hemos expuesto la necesidad de modificar en profundidad la cultura de seguridad de la organización introduciendo nuevos modelos de flujo de trabajo en los que la seguridad del documento sea un objetivo irrenunciable de la propia organización, de tal modo que la pérdida del mismo, ya sea ésta dolosa o culposa, o la mera imposibilidad de su control, generen la destrucción del documento o la imposibilidad de acceso al mismo por parte de personas no autorizadas. El modelo conceptual, basado en dos elementos clave como son los metadatos de seguridad asociados al documento electrónico y la interconexión de éste con los servicios que proveen al mismo de las reglas de acceso, cifrado, firma, caducidad y trazabilidad en su acceso y modificación, según nuestra opinión, solucionan en gran medida los requerimientos de seguridad exigidos al manejo de información valiosa o con acreditación de seguridad. Del mismo modo que hemos propuesto un modelo de manejo de documentos en un entorno caracterizado por la interconexión permanente de dispositivos inteligentes, hemos puesto de Enrique Ávila Gómez |
17
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
manifiesto la necesidad de generar una nueva cultura organizativa en la que se ponga de manifiesto el valor estratégico de la información contenida en soporte electrónico. Esta cultura, a buen seguro, generará una fuerte resistencia al cambio por parte de las personas que prestan sus servicios en la organización y, posiblemente, genere nuevos riesgos para la misma que habrán de ser solventados en la parte orgánica de la misma y no con la introducción de nuevos elementos tecnológicos o con la rebaja de los ya implementados. Consideramos, por todo lo dicho, que existen tecnologías y capacidades que nos permiten mejorar, de forma importante, la protección de los activos de la organización que, en forma de documento electrónico, albergan los contenidos del producto de inteligencia. Sin embargo, defendemos la tesis de que, además del componente tecnológico, es necesario crear una cultura de inteligencia dentro de la organización en la que se ponga de manifiesto el valor del producto de inteligencia de la propia organización que es, en definitiva, el que ofrece una ventaja competitiva para la misma, en un entorno el que la antedicha ventaja competitiva puede significar la propia pervivencia de la organización.
Enrique Ávila Gómez |
18
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
Bibliografía Bonilla, D. N. (2004). GESTIÓN DEL CONOCIMIENTO Y SERVICIOS DE INTELIGENCIA. Madrid: Boletin Oficial del Estado y Universidad Carlos III de Madrid. Bonilla, D. N. (s.f.). Universidad de la Rioja. Recuperado el 25 de 03 de 2011, de Dialnet: http%3A%2F%2Fdialnet.unirioja.es%2Fservlet%2Ffichero_articulo%3Fcodigo%3D2270 935%26orden%3D0&ei=PMP4Tfq7DoSo8QPjtYnjCw&usg=AFQjCNHS8ZttIGc931MXh8b oxc7obl3xjw Castells, M. (2000). La era de la información: economía, sociedad y cultura. Siglo XXI. Clark, R. M. (2007). Intelligence Analysis: A Target-Centric Approach, 3rd Edition. CQ Press. Elkajer, B., Seeberg, K., & Bladet, E. (2000). Echelon: la red de espionaje más grande y más secreta del mundo. El viejo topo, 137-138. Haettenschwiler, P. (1999). Neues anwenderfreundliches Konzept der Entscheidungsunterstützung. Gutes Entscheiden in Wirtschaft, Politik und Gesellschaft. Hochschulverlag AG, 189-208. Jiménez, L. (2008). Respuesta a los incidentes de seguridad de la información en las AAPP. Inteligencia y Seguridad nº 3, 43-58. Jordán, J. (03 de 2011). Introducción al análisis de inteligencia. Recuperado el 04 de 2011, de GESYP: http://wdb.ugr.es/~gesyp/analisis-inteligencia Jordán, J. (2011). Repercusión de nuevas tecnológicas en las políticas . Recuperado el 15 de 06 de 2011, de GESYP: http://www.ugr.es/~jjordan/publicaciones/robots.pdf Keen, P. (1978). Decision support systems: an organizational perspective. Reading, Mass., Addison-Wesley. Kent, S. (1966). Strategic Intelligence for American World Policy. Princeton Univ. Press. NICHOLAS TALEB, N. (2008). El cisne negro. El impacto de lo altamente improbable. BARCELONA: PAIDOS IBERICA. Ovalle, G. P. (01 de 06 de 2004). LA RED Echelon: PRIVACIDAD, LIBERTAD Y CRIPTOGRAFIA. Recuperado el 11 de 02 de 2011, de Universidad Abierta de Cataluña: http://www.virtualidadreal.com/Red%20Echelon.pdf Power, D. J. (2002). Decision support systems: concepts and resources for managers. Quorum Books. Space, F. (07 de 05 de 2011). Oracle IRM. Madrid. Torres, M. R. (2011). Dilemas estratégicos de la ciberguerra. Ejército de tierra español nº 839, 14-19.
Enrique Ávila Gómez |
19
LA SEGURIDAD DEL DOCUMENTO DE INTELIGENCIA EN LA ORGANIZACIÓN.
Turban, E. (1995). Decision support and expert systems: management support systems. . Prentice Hall. Vega, I. M. (2010). Las fuentes abiertas de información. Un sistema de competencia perfecta. Inteligencia y Seguridad nº 8, 91-112. Vignettes, M. (2010). El Ciclo de Inteligencia. Naturaleza y alternativas. Inteligencia y Seguridad nº 8, 113-136.
Enrique Ávila Gómez |
20