Journal Online

Seguridad Lgica y Seguridad Fsica: Dos Mundos Convergentes

Jeimy J. Cano, Ph.D., CFE, es un miembro investigador del Grupo de Estudios en Comercio Electrnico, Telecomunicaciones e Informtica (GECTI) de la Facultad de Derecho y un profesor distinguido de la misma facultad, Universidad de los Andes, Colombia; y l es un ingeniero de sistemas y computacin, y un magster en Ingeniera de Sistemas y Computacin, Universidad de los Andes. Cano tiene un Ph.D. in Business Administration, Newport University. Caro fue presidente de ACIS durante el periodo 2005-2007. Contacto: jjcano@yahoo.com.

Introduccin Siguiendo las pautas del libro Holistic Management,1 podramos definir la seguridad (figura 1), al igual que una organizacin, como un sistema viable, muy complejo, con un propsito, probabilstico y con posibilidades (esta ltima caracterstica no es parte de lo propuesto por el libro mencionado). Viable, hace referencia a la capacidad de continuar existiendo en su entorno por s mismo independiente del medio. La seguridad es viable en s misma gracias a su dual, la inseguridad que vive permanentemente en el entorno, que le permite desarrollar la capacidad para manifestarse ante situaciones fortuitas, inesperadas y desconocidas. En este orden de ideas, no es posible pensar en la seguridad, sin considerar su dual, como el motivador clave para repensar el mismo. Muy complejo, entendida esta caracterstica como las mltiples operaciones que realiza el sistema, que bajo la coordinacin de todos sus miembros y basado en un cuidadoso diseo de estructuras de manejo y flujo de informacin, procura la viabilidad del mismo y el logro de sus objetivos. En el contexto de la seguridad, hablamos de las consideraciones de gestin del sistema de proteccin, basado en un reconocimiento y entendimiento de los riesgos como un elemento fundamental de la dinmica de la organizacin. Este sistema permanentemente se ve expuesto a las condiciones de la inseguridad, razn por la cual la complejidad propia del sistema, se debe mantener bajo observacin y administracin para lograr los objetivos propios del mismo. Con un propsito es una caracterstica que nos habla de la capacidad de lograr los objetivos deseados. Para la seguridad, lograr los objetivos significa aumentar la confiabilidad del sistema que protege. Dicha confiabilidad, no es otra cosa que el reconocimiento de la inseguridad propia del entorno y del sistema que se quiere proteger,

como la cuota de riesgos o amenaza que se debe administrar. Probabilstico significa que el comportamiento de sus partes son probabilsticas e impredecibles, pero pueden ser guiados para alcanzar el objetivo deseado. En el contexto de la seguridad, exige del administrador del sistema de proteccin, reconocer la inseguridad como el evento probable e impredecible, que dice que tan confiable puedo llegar a ser. Con posibilidades es una caracterstica que es complementaria e inherente a las interaccin de todas las anteriores, pues busca reconocer en la accin de las propiedades explicadas previamente, opciones de conocimiento, aprendizaje y desaprendizaje de la seguridad, no solamente basado en el comportamiento del sistema de gestin de la seguridad, sino en las ventanas creativas que surgen cada vez que la inseguridad se materializa.

Figura 1La Seguridad Como una Organizacin

Inseguridad Seguridad
Sistema Viable Muy Complejo Con Propsito Con Probabilstico Posibilidades

Si lo anterior es correcto, estamos ante un concepto que evoluciona y crece con las condiciones del entorno, quien se alimenta de su dual de manera permanente, para hacer de la gestin de la seguridad un ejercicio permanente y creativo para enfrentar los errores, fallas y vulnerabilidades de la seguridad y as mantener un nivel de confiabilidad en el contexto del negocio. Reconociendo a la seguridad como un concepto sistmico y holstico que debe ser parte inherente de los procesos de negocio, se hace necesario analizar la evolucin del mismo ms all de las fronteras de la lgica de los datos procesados y de los dispositivos de hardware conocidos, para avanzar en una construccin de
ISACA JOURNAL VOLUME 6, 2009

un concepto de seguridad corporativo, integral y global, que vincule el mundo fsico, informtico y electrnico en una sola vista, con muchos lentes, que pueda ser comprendida por los ejecutivos de negocio, los gerentes de tecnologa y seguridad fsica, as como por los individuos de la empresa. En razn con lo anterior, se desarrolla este documento que busca animar una reflexin bsica sobre el concepto de Enterprise Security Management (ESM) (Administracin de la Seguridad Corporativa), como fundamento de una nueva generacin de ejecutivos de la seguridad, que pensando de manera relacional, avanzan desde las necesidades operacionales de la seguridad, hacia las exigencias tcticas y estratgicas de proteccin que se encuentran en las mentes y agendas de los ejecutivos de ms alto nivel de las empresas. La Seguridad Fsica y Electrnica La historia de la seguridad inicia siempre con una materia prima para su existencia: un riesgo, un peligro, una amenaza. En este sentido, el escenario de la seguridad fsica se desarrolla en el contexto de la guerra contra un enemigo, que no busca otra cosa que vulnerar las estrategias de control y contencin, entre otras, que tiene el objetivo atacado, para apoderarse de ste. De acuerdo con los tericos,2 existen cuatro categoras de seguridad fsica (figura 2): las obstrucciones fsicas, las tcnicas de vigilancia, los sistemas de inteligencia y los guardias o personal de seguridad. Estas cuatro categoras representan la caracterizacin de la seguridad misma en el mundo tangible, que an hoy por hoy existen y que cuentan, todas ellas con su referente en el mundo lgico. Las obstrucciones fsicas, al igual que en el pasado, constituyen castillos, fuertes, puertas blindadas, paredes reforzadas, entre otras. Tener una fortificacin, supona una posicin fuerte, de ventaja y cuidado para aquellos que quisieran vulnerarlo. Cada castillo era construido para hacerle difcil el ingreso a cualquier intruso que, sin autorizacin, quisiera tener acceso a los bienes protegidos por la construccin. Un fuerte era el signo de avance en tcnicas de proteccin fsica, que asistido por candados, llaves de acceso y combinaciones hacan de la edificacin un reto de inteligencia y sorpresa para aquellos que quisieran intentar traspasar sus barreras. Las tcnicas de vigilancia, como aspecto complementario a la edificacin, era un elemento clave para alertar cualquier movimiento que se percibiera en el permetro de acceso 2
ISACA JOURNAL VOLUME 6, 2009

a la edificacin. El concepto de monitoreo y vigilancia se desarrolla a la par con el avance en las edificaciones, hacindose parte inherente de los diseos de stos, como se sigue manteniendo hasta nuestros das. El monitoreo permanente y el sistema de alarmas (seguridad electrnica) que materializan algunas de las tcnicas de vigilancia, establecen nuevos procesos y procedimientos que deben cumplirse como parte del sistema de proteccin de la edificacin. La vigilancia no es componente accesorio de la edificacin, es el sistema nervioso de la edificacin, que ahora cobra vida gracias a las alertas permanentes del monitoreo. Los sistemas de inteligencia surgen como la forma ms clara de analizar la informacin resultado de los sistemas de monitoreo y de reconocimiento del entorno de la edificacin protegida. La inteligencia no solamente recaba informacin del ambiente donde se encuentra, sino indaga ms all de sus lmites para hacer mejores estimaciones que permitan tener ventaja tctica y operativa ante amenazas y situaciones que pueden afectar el nivel de proteccin de la edificacin y sus bienes. La funcin de inteligencia muestra la capacidad del componente humano, que asistido por las tcnicas modernas de procesamiento de informacin, es capaz de simular escenarios, para tomar decisiones claras ante situaciones no previstas por la organizacin, pero probables en el contexto de su anlisis. La guardia humana, los especialistas en proteccin fsica, son el componente de inteligencia humana y de efectividad operacional ante una amenaza. Es quien acta y decide frente a una alarma o un escenario de falla, con el fin de conjurar el peligro o vulnerabilidad que pueda ser detectada. La seguridad materializada en los guardias o vigilantes, representa, al mismo tiempo, la mayor fortaleza del sistema de proteccin, pero tambin su peor enemigo. Si este personal, se encuentra claramente entrenado y capacitado frente a los procedimientos de operacin previstos y reconoce en la inseguridad su aliada para desarrollar estrategias de defensa, estamos ante un elemento que edifica y fortalece el sistema de seguridad. De lo contrario, se advierte la presencia de un efecto sistmico de vulnerabilidad (falla en el diseo) del concepto de proteccin del sistema que lo contiene. Los cuatro elementos mencionados nos muestran que la seguridad es un proceso natural y propio del ser humano que vive en comunidad, es una propiedad que de manera intangible se exige en el escenario de la actividad empresarial

y personal, no como algo que es accesorio o innecesario, sino como aquello que es necesario para actuar y animar las actividades humanas en todos los escenarios de la vida.

Figura 2Cuatro Categoras de la Seguridad Fsica

Obstrucciones Fsicas Tcnicas de Vigilancia

Sistemas de Inteligencia

Guardia Humana

La Seguridad Lgica y la Seguridad de la Informacin La evolucin normal del concepto de seguridad en una sociedad de la informacin y el conocimiento, hace que las estrategias de seguridad de la antigedad cobren vida en un mundo regido por los bits y bytes. Todas las condiciones de seguridad analizadas en el aparte anterior tienen sus equivalentes en el mundo de la informtica y la tecnologa. Si en la antigedad los activos a proteger eran de condicin tangible y real, como el oro, los semovientes y las personalidades, entre otras, hoy el activo fundamental se llama informacin. Esa pieza de datos procesados y analizados que constituyen la nueva moneda y pasaporte para vivir en la sociedad actual. La informacin se convierte en el activo de carcter intangible (por aquello que no es posible verlo a simple vista en su estado natural) y susceptible de manipulacin, que hace que cada uno de sus dueos muestre inters en su proteccin y control. La informacin es ahora la razn evidente y concreta para que la industria madure en el uso y control de la misma a travs de dispositivos informticos y electrnicos que la reciban, almacenen, analicen, controlen y reporten, de tal manera que las organizaciones tomen decisiones, revisen sus estrategias y promulguen sus planes. Es importante aclarar, que si bien, en la antigedad se tena claro el manejo de la informacin, particularmente en los sistemas de inteligencia, en el contexto de la seguridad de la informacin, los elementos tecnolgicos generan una complejidad particular que debe ser enfrentada y administrada por los nuevos guardianes, denominados analistas de seguridad.

Con la evolucin de la computacin, de un contexto cerrado y limitado en los 1970s, a uno ms abierto y con ms oportunidades en los 1980s, se inicia la carrera para el desarrollo de mecanismos de seguridad informtica, particularmente orientadas a las redes como son firewalls, sistemas de deteccin de intrusos, criptografa asimtrica, Secure Socket Layer (SSL), proxies, entre otros, los cuales establecen una nueva responsabilidad para el rea de tecnologas de informacin y por extensin de proteccin a las reas de seguridad fsica. Los nuevos mecanismos de seguridad que se presentan recogen las prcticas de los 1970s y desarrollan nuevas funcionalidades para disminuir los impactos de la inseguridad propia de los protocolos asociados con TCP/IP, protocolo fundamental que se propone para interconectar los diferentes puntos tecnolgicos disponibles en una organizacin. En este contexto, avanzan rpidamente las propuestas de seguridad y control de la informacin que ahora, no est concentrada en un punto especfico de la organizacin, sino que fluye de manera asincrnica (en diferentes momentos) y asimtrica (en diferentes lugares y con diferentes temticas) dentro y fuera de las empresas, lo cual, si lo comparamos con lo que se vea en la antigedad, es una oportunidad y amenaza que puede o no, debilitar la posicin estratgica y tctica de una corporacin. Convergencia: Seguridad Integral Siguiendo lo establecido por ASIS International para la descripcin del cargo de un chief security officer (CSO), ste es responsable por cuatro diferentes disciplinas de aplicacin de la administracin de riesgos: seguridad de la informacin, seguridad fsica, continuidad del negocio y valoracin de riesgos.3 En este contexto, se muestra claramente que el concepto especializado de seguridad, revisado en el desarrollo de este documento, tiende a integrarse en un solo, que cobija las diferentes visiones del mismo problema al interior de la organizacin. Agregaramos adicionalmente, los elementos propios de la proteccin de la vida humana como son los sistemas de emergencias, sistemas contra incendio, primeros auxilios y evacuaciones. La seguridad en el escenario propio de la globalizacin y de convergencia de los temas, no es una disciplina inmune a esta tendencia. Comprender la seguridad en un contexto integral, establece el nuevo paradigma de la seguridad corporativa
ISACA JOURNAL VOLUME 6, 2009

como una disciplina de carcter sistmico y sistemtico, que no escatima en anlisis y revisiones para identificar posibles focos de inseguridad en cualquiera de los dominios presentados, para avanzar en estrategias interdisciplinarias que permitan una mejor comprensin de los riesgos de seguridad organizacionales. Por tanto, no existe una priorizacin de temas, o valoracin de importancia entre ellos, pues todos suman al descubrimiento y construccin del sistema de gestin de seguridad, que cruza culturas, dominios de conocimiento, tipos de riesgos y amenazas, para concentrarse en los efectos de stos, no en activos particulares, sino en los procesos de negocio, en sus flujos de informacin y su impacto en el logro de los objetivos organizacionales. La seguridad integral en el contexto actual exige una reflexin profunda de cada uno de los especialistas actuales, sus ideas, culturas e intereses, para que superando sus reas de conocimiento, se establezcan rutas de conocimiento conjunto, armonizados por un solo objetivo, que es delinear una cultura de proteccin y valoracin de activos, que sumando en un lenguaje comn, pueda comunicar, actuar y modelar los riesgos a partir de la experiencia misma de las personas y su percepcin de las amenazas en el desarrollo de sus actividades. Establecer lineamientos que permitan una seguridad integral, un concepto unificado de proteccin, implica cruzar los dominios de la seguridad fsica, informtica, continuidad de negocio, valoracin de riesgos, emergencias, evacuaciones, contraincendio, primeros auxilios e investigaciones derivadas de la materializacin de los riesgos, en el escenario de sus operaciones y actividades detalladas, para luego evaluar las consideraciones tcticas de las mismas, que nos lleven a una visin estratgica de la seguridad que sea aplicable al proceso mismo de negocio; que apoyado con el especialista del rea, reconozca lo sistmico del concepto y, lo sistemtico y especializado de su aplicacin. Del Enterprise Security Management (ESM) al Enterprise Security Governance (ESG) La literatura especializada en temas de seguridad integral, as como las tendencias internacionales sobre la convergencia de servicios y conceptos, detalla nuevas propuestas conceptuales que buscan ayudar a los profesionales y tericos para visualizar una nueva prctica de la seguridad, ahora en un mundo global y ms dinmico. 4
ISACA JOURNAL VOLUME 6, 2009

En este escenario los especialistas plantean una estrategia denominada enterprise security management (ESM), que podra traducirse como Administracin o Gerencia de la Seguridad Corporativa, como ese concepto que permite a un analista monitorear la infraestructura de una organizacin en tiempo real, indistintamente el producto, proveedor y su versin.4 Si bien el concepto se utiliza generalmente en temas de tecnologas de informacin, recientemente se hace extensivo a los temas de seguridad fsica y electrnica, forjando una visin integrada de la seguridad organizacional, ms all de una alarma de alerta informtica o ataque informtico o de un acceso no autorizado o violacin de un permetro de seguridad fsica. El ESM es una respuesta concreta y prctica a la integracin de tecnologas y conceptos de seguridad fsica, electrnica e informtica que busca recolectar los registros de auditora (logs), mensajes de error, fallas y alertas, que se denominan eventos, los cuales vienen de diferentes fuentes y con diferentes formatos, para luego correlacionarlos y establecer posibles patrones o vectores de ataque o incidentes en curso, que proporcionen a los analistas de seguridad orientacin sobre las acciones que puedan adelantar frente al riesgo o amenaza identificada. Contar con un ESM es una manera de visualizar un tablero de control y monitoreo de los diferentes puntos de la infraestructura, que alineados con las mejores prcticas internacionales de registro, seguimiento y reconstruccin de eventos, es capaz de responder a las iniciativas normativas internacionales sobre proteccin de activos (cualquiera que stos sean) y como soporte a las investigaciones que de sus anlisis se deriven, para identificar a los posibles intrusos o atacantes de la infraestructura. Es importante anotar que contar con un ESM exige una infraestructura tecnolgica especializada, un conocimiento holstico de los riesgos corporativos y la habilidad de cruzar de un dominio de especialidad tcnica en seguridad a otro. Esto implica que las culturas de los especialistas de seguridad, los nuevos profesionales de la administracin de riesgos y los entes de control, deben conjugar su experiencia y conocimiento para desarrollar unos nuevos lentes preventivos y correctivos, que vean ms all de un hecho mismo y correlacionen las diferente variables del escenario disponibles en los registros del ESM.

Si lo anterior es correcto, la siguiente evolucin lgica del ESM ser el Enterprise Security Governance (ESG), que podramos traducirlo como el Gobierno de la Seguridad Corporativa, como un tema emergente tctico y estratgico que desarrolla una arquitectura de seguridad corporativa general y transversal, que basada en la administracin corporativa de la seguridad, es capaz de alinear las necesidades de los ejecutivos de la empresa: disponibilidad, acceso, precisin y agilidad5 en un lenguaje comn de accin que sea parte natural de los procesos de negocio. Esta arquitectura requiere de un arquitecto de seguridad; ese visionario que crea el concepto de cmo se deben dar las relaciones entre las diferentes especialidades de la seguridad e instaura las reglas de diseo que permitan definir los atributos del negocio crticos a proteger, los objetivos de control a considerar, las estrategias de seguridad y control a implementar, el personal especializado para operar, los puntos de seguimiento y auditora para monitorear y, una mente abierta y despierta para desaprender y evolucionar.6 En esta nueva etapa planteada, que no es posible establecer cuando pueda ocurrir, las organizaciones podrn hacer parte de sus discusiones de alto nivel los temas de seguridad, no como requisitos funcionales de la operacin de la empresa, sino como una manera de generar valor y diferenciacin en los clientes. La seguridad ser parte de los niveles ejecutivos como factor fundamental del proceso de la planeacin del negocio; como esa propiedad que le da profundidad a las tendencias del mercado en cada una de las industrias. Reflexiones Finales La preocupacin por el futuro, la idea de dnde estn las oportunidades y la comprensin del cambio organizativo no son patrimonio exclusivo de un grupo concreto: las personas de todos los niveles de la empresa pueden ayudar a definir el futuro.7 Si esta afirmacin es correcta, el futuro de la seguridad integral o el gobierno de la seguridad corporativa, se inicia en cada una de las iniciativas que se adelanten para comprender las diferentes integraciones de los dominios de especialidad en la seguridad. Estos esfuerzos de aprendizaje y descubrimiento de los puntos en comn de los diferentes temas que aborda la seguridad, no es un desconocimiento de la necesidad de la especializacin de cada una de las reas, sino el llamado

formal de la academia, la industria, los reguladores y los gobiernos, para comprender de manera relacional y global los efectos de la inseguridad en la dinmica de los negocios actuales. La convergencia de la seguridad, en todos sus escenarios es la manera concreta y real de comprender que requerimos modelar los riesgos y no asumirlos; que requerimos mayor confiabilidad de los procesos y no seguridad; que requerimos una mente que descubra los nexos causales de los hechos y no slo concentrarnos en los hechos particulares. Si asumimos los fenmenos convergentes de la seguridad en el escenario actual de un sistema globalizado, es posible avanzar con mayor agilidad a la siguiente etapa planteada denominada el Gobierno de la Seguridad Corporativa (figura 3).

Figura 3Gobierno de la Seguridad Corporativa

Gobierno De La Seguridad
Arquitectura

Expectativas

Administracin De La Seguridad
Infraestructura

Acuerdos

Operacin De La Seguridad
Tecnologa, Procesos e Individuos

Requerimientos

Relaciones entre gobierno, administracin y operacin de la seguridad Este gobierno necesariamente estar enmarcado en un proceso de madurez, que deber asistir las acciones que fortalezcan las estructuras concretas de toma de decisiones para actuar, los canales de comunicacin necesarios para coordinar y los acuerdos corporativos para alinear y satisfacer las expectativas de la alta gerencia sobre la proteccin de sus activos fsicos y de informacin. La convergencia de la seguridad, en sus diferentes especialidades, es la respuesta nativa de la evolucin de la inseguridad, como ese intruso invisible que habita en las relaciones evidentes entre la tecnologa, la organizacin, las personas y las normas. Avanzar en la convergencia de la seguridad, con una mente sistmica, es dejar al descubierto los rastros de la inseguridad en cada relacin, como una forma para seguir de cerca los retos y desafos que implican las
ISACA JOURNAL VOLUME 6, 2009

vulnerabilidades propias de los activos a proteger. Por tanto, si usted est pensando en avanzar hacia una modelo convergente de la seguridad recuerde los siguientes cinco (5) ingredientes vitales, que alimentarn su nimo y harn evidentes las relaciones entre el gobierno, la administracin y la operacin: 1.  Defina las expectativas de la Alta Gerencia como aquellos atributos de seguridad (confidencialidad, integridad, disponibilidad, confiabilidad, trazabilidad, entre otros) que deben ser inherentes al negocio. 2.  Disee su arquitectura de seguridad basada en los atributos propuestos en punto 1 y en los flujos de la informacin corporativa. 3.  Disee, implemente y actualice la infraestructura de seguridad conforme lo establecido en punto 2. 4.  Administre los incidentes de seguridad como parte inherente de la operacin en punto 3. 5.  Monitoree los temas de cumplimiento y normatividad que les sean aplicables. Si est atento a estos ingredientes, su postura de seguridad convergente no slo tendr vida propia, sino que animar la discusin sobre la transformacin de los ejecutivos de la seguridad, que ahora no sern slo parte del grupo tctico y operacional, sino elementos de consideracin en las reflexiones de las juntas directivas.

Agradecimientos El autor agradece de manera especial al Maestro Francisco Rivas Dueas, Subgerente de Informtica [Chief Information Officer (CIO)] y al Coronel Hugo Ricardo Acua, Director de Proteccin y Seguridad ambos ejecutivos que prestan sus servicios al Banco de la Repblica (Banco Central de Colombia) por sus comentarios y reflexiones para afinar las ideas expuestas en el documento. Endnotes Christopher, W.; Holistic Management: Managing What  Matters for Company Success, John Wiley & Sons, USA, 2007, p. 10-11 2 Contos, B.; W. Crowell; C. DeRodeff; D. Dunkel; E. Cole;  Physical and Logical Security Convergence, Syngress, USA, 2007, p. 20-51 3 Ibid., p. 215 4 Ibid., p. 256 5 Westerman, G.; R. Hunter; IT Risk, Turning Business  Threats Into Competitive Advantage, Harvard Business School Press, USA, 2007, p. 23 6 Sherwood, J.; A. Clark; D. Lynas; Enterprise Security  Architecture. A Business-driven Approach, CMP Books, USA, 2005, p. 37 7 Hamel, G.; C.K. Prahalad; Compitiendo por el futuro,  Harvard Business Review, 1994, p. 51-52, in La gesin en la incertidumbre, Editorial Deusto, 1999
1

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving ITgovernance professionals, entitles one to receive an annual subscription to the ISACA Journal. Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors content. 2009 ISACA. All rights reserved. Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25 per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited. www.isaca.org

ISACA JOURNAL VOLUME 6, 2009