-->
Portada del sitio » Nacional » Estrategia de seguridad de la informacion basadas enel (...)

Estrategia de seguridad de la informacion basadas enel arte de la guerra de Sun Tzu

Miércoles 19 de septiembre de 2012, por Guido Rosales Uriona - GRU


4.5. ETAPAS

Sun Tzu define 13 etapas: recomendaciones o tareas que deben cumplirse para la preparación general de la Estrategia de Defensa o ataque. Su aparición no significa una secuencia sino más bien un conjunto integral. Se concluye que el primer capitulo de Estimativos requiere de la aplicación del resto de capítulos. Para mejor comprensión de cada capítulo se define que las frases originales están descritas con formato de letra cursiva y resaltada en negrilla. Sobre cada punto se realiza un análisis y recomendaciones de cómo tomar cada punto en su aplicación a la estrategia de seguridad.

4.5.1 TAREA 1: ESTIMATIVOS. (PLANES, CÁLCULOS)

La guerra es un asunto de vital importancia para el Estado; la provincia de la vida o la muerte; el camino de la supervivencia o de la ruina . La entidad debe estar conciente de que sus bienes intangibles y su información específicamente son apetecibles por otros, su vitalidad depende de esa percepción plena.

Su general en este caso comprende a dos figuras posibles: Oficial de Seguridad: Se puede comprender como su general encargado de la seguridad y la defensa.

Gerente de Sistemas: Cuando existe el primero, este es un ministro administrativo, encargado de administrar los recursos, cuando el primero no existe, se convierte también en General y debe velar por conocer todos los aspectos de defensa de la Entidad Dice que en la planeación de la guerra intervienen cinco factores fundamentales y siete elementos. Cinco factores fundamentales: Figura 4.1: Mapa Estimativo

1. Influencia Moral. Disciplina . Con esto se entiende todo aquello que hace que el pueblo esté en armonía con sus dirigentes sin temor de poner en peligro su vida. Esto es en todas partes, el ejército también debe estar unido y tener espíritu de equipo También conocida como Cultura Organizacional, es todo aquellos que los funcionarios de una entidad asumen como costumbre o moralidad, desde el saludo a personas visibles o por medios de telecomunicación, pasando por el saludo a entornos tecnológicos bajo el correspondiente protocolo de usuario y contraseña. Hasta las medidas de protección y cumplimiento que se desean asumir para proteger los bienes de la entidad y lograr los objetivos definidos. Todos deben estar comprometidos y en armonía con el bien común.

2. Clima . Las fuerzas de la naturaleza, las tenemos que tener en cuenta. Las condiciones meteorológicas son aquellos aspectos en torno al mercado real o virtual que tenemos. Es el entorno económico, legal, social y político. Debemos analizar estos aspectos en un esquema de capas, desde las más internas hasta las más externas. Los aspectos emergentes del clima como lluvia, viento y otros, afectan a todos en el espacio físico, entonces estos factores pueden ser comparados por ejemplo con leyes o disposiciones emergentes de la situación económica, social o política. Este aspecto debe ser tomado por cuanto las fuerzas de la naturaleza pueden también afectar a los bienes de la entidad. Debemos conocer aquellas condiciones naturales como la lluvia intensa, las inundaciones, los temblores y otros efectos naturales y estar preparados para afrontarlos en beneficio propio. Si bien no utilizaremos estas condiciones para atacar al enemigo podemos utilizar esto como ventaja competitiva para los fines de la Entidad cuando la competencia no lo este.

3. Terreno. Por este se entiende el lugar en donde se va a realizar la guerra para saber la facilidad o dificultad con la que se puede recorrer el terreno. En términos generales podemos entender el terreno como el mercado o espacio físico virtual donde llevamos a cabo el negocio empresarial. En este caso podemos entender TERRENO no como algo físico, sino como todo el espacio virtual donde día a día estamos recorriendo sus innumerables caminos. Debemos dominar todas las rutas que siguen nuestros bienes. Donde podemos ser vulnerables, que condiciones del terreno nos favorecen o nos exponen.

4. Mando . Son las cualidades del comandante o general: sabiduría, equidad, humanidad, coraje y severidad. De ahí que el ejército lo llame "el respetado". Define las cualidades de liderazgo necesarios para conducir la empresa. Todas son cualidades que nos permiten dirigir, liderar, sin embargo algo que debemos resaltar se refiere a la severidad. Cuando una orden es incumplida se debe actuar con severidad para mantener adecuados niveles de autoridad.

5. Doctrina. Es la organización, la autoridad y la promoción de los oficiales al rango conveniente, y el cuidado de mantener las necesidades esenciales del ejército. En nuestro caso hemos de referirnos a todos las Políticas y Normas que permiten organizar la seguridad de la entidad.

Figura 4.2: Dirección de análisis

La dirección de análisis expresada en el gráfico, plantea que los Estimativos pueden hacerse de afuera hacia dentro o en sentido contrario, esto dependerá del nivel o jerarquía del grupo de análisis.

Se puede deducir que en cada punto de los estimativos debemos determinar nuestras fortalezas y debilidades. Cuando analizamos el mercado y las condiciones climáticas estamos analizando los factores externos, cuando analizamos la autoridad, disciplina y doctrina, estamos analizando aspectos internos.

Cuando analizamos el terreno, estamos analizando el mercado donde negociamos con clientes y proveedores, pero donde compartimos espacio con la competencia, negociando con los mismos clientes en ocasiones o con nuestros proveedores lo cual puede repercutir en nuestras relaciones.

Cuando analizamos el tiempo o el clima estamos considerando el entorno que regulan el mercado, esto se refiere a la legislación, a las condiciones externas al mercado que afectará directamente sobre las condiciones de relacionamiento existentes. Por ejemplo las facilidades tecnológicas condicionan la aparición de nuevas relaciones.

Este punto concluye en que debemos tener claro el concepto fundamental, conócete a ti mismo y conoce a tu enemigo (enemigo, como alguien que puede afectar nuestros objetivos).

Sun Tzu hace mucho hincapié en que la guerra se basa en el ENGAÑO . Si eres fuerte puedes fingir debilidad, si eres débil, finge fortaleza, todo para distraer, confundir y engañar al enemigo.

Dice “Ofrece al enemigo un cebo que lo atraiga; finge desorden y atácalo ”. Esta teoría podemos ver que ha tomado cuerpo en dos teorías:

En la Defensa: Honeypots, HoneyNets o Redes de miel, algo dulce que puede atraer a los atacantes para poder conocer sus tácticas y métodos de ataque. Su implementación requiere tanto de infraestructura como de conocimientos, normalmente han sido implementadas por grupos de seguridad y no a nivel de entidades con giros de negocio diferentes al tecnológico.

En el ataque: Históricamente se ha tomado leyendas como la del caballo de Troya para dar lugar a una técnica de programas maliciosos o troyanos. Por otro lado, se la conoce hoy en día como Ingeniería social, esta técnica utiliza el engaño como principal método para la obtención de bienes con claves, usuarios, información sensible y otros.

• Enfurece a su general y confúndelo • Simula inferioridad y estimula su arrogancia • Mantén al enemigo bajo presión y desgástalo • Cuando el enemigo este unido, divídelo • Ataca al enemigo cuando no se encuentre prepara, cuando no te espere.

Todas estas recomendaciones son hoy en día base de la actual ingeniería social y la base previa a desarrollar un ataque. Entonces, podemos tomar como algo sintomático cuando están ocurriendo y a partir de ello reforzar nuestras defensas o cuando sabemos de alguna debilidad debemos estar preparados para afrontarla.

Considerando que hoy en día las Entidades no son precisamente ejércitos en expansión este capítulo debe ser tomado desde el punto de vista defensivo. No se especifica la forma de tomar esta estrategia como un instrumento de ataque, pero puede ser completamente aplicable para fines de autoevaluación o pruebas de seguridad y vulnerabilidad dirigidas y autorizadas. Consideremos la evaluación o relación de fuerzas y la Gestión de Riesgos apropiados para cubrir este capítulo. En adelante se añadirán Recomendaciones representadas con la letra R para cada capítulo.

R1.1. Análisis De La Tropa

Este aspecto actualmente lo tenemos mediante las auditorias y la unidad de Recursos Humanos. Sin embargo debemos considerar que la tropa actual es la que tenemos para definir una estrategia, entonces la consecuencia más lógica es conocerla en sus fortalezas y debilidades. Muchas empresas practican Planes de Desarrollo profesional, precisamente para fortalecer la tropa.

Se realiza un análisis del recurso humano en forma individual comenzando por los gerentes, jefes y funcionarios de sistemas que son la primera línea defensiva y bajando según las posibilidades. Si la cantidad de personal no permite completar con un solo grupo todo el análisis se deberá delegar a grupos internos por áreas o gerencias una vez que se ha definido la metodología.

R1.2. Análisis Del Terreno

El terreno comprende su ámbito físico y virtual. El terreno físico debe ser cubierto mediante el análisis de riesgo radio perimetral. Ver anexo 7. El análisis del terreno virtual mediante un análisis de recorrido hasta nuestros clientes, proveedores, reguladores y todo punto exterior. El Terreno es todo ese espacio virtual o físico donde tenemos intereses, por ejemplo:

• Bancos: contienen nuestros datos financieros • Servicio de Impuestos: contiene nuestros datos como contribuyentes • Corte Nacional Electoral: Contiene datos sobre todos nuestros funcionarios, incluidas son afinidades políticas mediante su registro partidario. • Fondos de Pensiones: Contiene datos sobre los aportes, la antigüedad laboral, el histórico de cada uno de nuestros funcionarios.

R1.3. Análisis de las defensas

Comprende el análisis de los recursos tecnológicos con que contamos para proteger las vías de acceso a nuestra fortaleza. Todos los puntos que puedan ser accedidos desde el exterior. Este análisis comprende defensas físicas y lógicas. El acceso desde el interior debe ser tomado en el mediano plazo.

R1.4. Análisis Del Clima

Comprende el análisis temporal con relación a las estaciones y el correspondiente clima que predomina. Se toma en cuenta el Clima natural y el clima nacional: económico, político y social. En el ámbito del clima natural. Si los cambios climáticos significan riesgos como inundaciones, sequías y otros deben ser considerados. También se considera el clima o las estaciones del negocio. Se debe determinar en un calendario aquellos momentos de tiempo que están asociados a riesgos climatológicos, por ejemplo épocas de fin de año, época de balances, época de feriados y otros.

En el Clima Sectorial se realiza un análisis de la situación en cada uno de estos ámbitos; por ejemplo, se determina el estado actual de la economía que puede inducir a atacantes en busca de nuestra información para paliar sus necesidades. El clima social de caos e inestabilidad puede crear expectativas para satisfacer esas necesidades sociales involucrando a las organizaciones como objetivos de protesta.

R1.5. Análisis Geopolítico

Comprende el análisis de la situación política nacional y sectorial; por ejemplo, de la entidad con respecto al territorio que ocupa tanto en el plano físico como en el virtual o de negocios. En este punto se consideran por ejemplo los entes reguladores que vigilan la entidad precautelando su espacio de negocio o actividad. En este punto se consideran aspectos legales, regulatorios, inspecciones, situación de vecinos en el campo socioeconómico, situación del país y otros.

En el marco de la situación geopolítica nacional se toma en cuenta la relación con países vecinos cercanos y lejanos, para este fin generalmente se toman estadísticas internacionales.

Figura 4.3: Desglose de las fases de Planificación

4.5.2 TAREA 2: HACER LA GUERRA

Figura 4.4: Hacer la Guerra

La victoria es el principal objetivo de la guerra. Si la victoria tarda en llegar, las armas pierden su filo y la moral decae. Cuando llegue el momento de atacar las ciudades su vigor se habrá agotado.

Se dice que toda operación bélica conlleva una considerable inversión y si la victoria demora en llegar, esto puede afectar contrariamente a la moral de la tropa y el sacrificio que hace el pueblo para soportarla.

La victoria es el logro de los objetivos institucionales, antes de comenzar una guerra definimos qué queremos, territorio, poder, riquezas, dominio, elementos motores de la guerra. En el campo empresarial son muy similares, queremos más cuotas de mercado, imponernos frente a nuestros competidores, llegar a tener tal dominio que dictemos las leyes del tiempo y el clima incluso. Por ejemplo, si analizamos el modelo de la Corporación Microsoft, vemos que tiene un dominio hegemónico en el mercado de las aplicaciones de ofimática y sistemas operativos. Dicta el Clima, genera y domina el cambio. En ese mismo sentido debemos definir un punto de victoria que alimente nuestros propios recursos para seguir combatiendo. Si pensamos en campañas cuyo retorno es a muy largo plazo podemos ver nuestro fracaso al no poder sostener la campaña con todos los gastos que involucran.

Como estrategia de defensa debemos considerar por ejemplo la estrategia que asumió la ex URSS durante la segunda guerra mundial cuando no le dejó nada al ejercito alemán para mantener a su tropa: quemó todo aquello que podía ser utilizado como botín. Entonces como defensa no debemos dejar nada sin proteger, por “poco” que lo consideremos ya que este poco puede ser utilizado para alimentar la campaña desarrollada por el enemigo o las fuerzas contrarias.

Consideremos que la estrategia de ataque deberá mantener una campaña sustentada económicamente; cuando dejamos botín seremos presa fácil y cuando dejamos puestos sin defensa, estos serán tomados como botín intermedio o de respiro para poder seguir la campaña. Sun Tzu dice: “En consecuencia, cuando en batalla con carros se capturan más de diez carros, premia a aquellos que se apoderaron del primero, reemplaza las banderas y estandartes enemigos por los tuyos, mezcla los carros capturado con los propios y móntate en ellos. Trata bien a los prisioneros y preocúpate por ellos .”

Esta teoría se ve mucho en las máquinas Zombis por ejemplo, desde donde se lanzan ataque de spam, han sido capturadas pero no destruidas y son utilizadas como propias. Es armamento capturado que será utilizado para beneficio propio.

Aunque hemos oído casos de precipitarse torpemente a la guerra, no hemos visto todavía ninguna operación inteligente que haya sido prolongada.

Dice Sun Tzu que no existen campañas militares prolongadas, estas sufren desgaste natural. Cuando uno busca objetivos mayores, en el camino puede hacerse de objetivos menores. Por ejemplo, si el objetivo es la entidad A, pero ésta presenta una defensa férrea y se tarda en encontrar debilidades, se puede trazar un perímetro de entidades relacionadas para atacarlas y mediante ellas llegar al objetivo. Si se está actuando contra o como mercenarios virtuales, estos objetivos menores permitirán recibir paga o botines aliviadores de la carga principal y dependiendo el tipo de contrato en muchos ya se consideran exitosos.

Esta teoría generalmente se aplica a las guerras formales pero es un poco diferente en la teoría de guerra de guerrillas o actos subversivos armados; en estos casos los botines de guerra son menores y muchas veces están ligados con operaciones ilícitas como terrorismo, secuestros, narcotráfico y blanqueo de dinero. Similarmente cuando el objetivo del ataque a la información debe durar por la fortaleza del objetivo, se podrá buscar fuentes de botín intermedio que estén relacionados, por ejemplo atacar a los proveedores y clientes para lograr acercamiento al objetivo principal.

La guerra puede ser evitada cuando no representamos valor alguno para nuestros enemigos o cuando estos se ven imposibilitados de conocer nuestras fortalezas y debilidades; entonces, una buena manera de evitarla será cerrando todas las brechas que delaten nuestras características internas, pero para completar esto debemos comprometer a la tropa en este cometido. La entidad deberá destinar cierto presupuesto para esta y otras actividades.

R2.1. Eliminar Botín De Guerra

El objetivo de este punto es eliminar del terreno físico y virtual toda aquella información que pueda ser considerada como información relevante para el enemigo. Por ejemplo, quitando de nuestra página web la información no relevante, correos electrónicos, direcciones y otros. Nuestros centinelas que están validando credenciales y salvoconductos deben “ser mudos” cuando la identificación y la autenticación son fallidas; es decir, quitaremos de todos nuestros sistemas publicados al exterior la posibilidad de que sean interrogados.

E2.2. Premios Y Castigos

Cuando la tropa cumple a cabalidad las órdenes se debe mantener un premio a la constancia, cuando se destaca por hacer algo mas allá de lo instruido en beneficio de la entidad, se debe premiar la iniciativa exitosa. Pero, cuando la tropa incumpla las órdenes se deberá castigar la desobediencia y peor cuando es motivada por la indisciplina. Por ejemplo, si se detecta una brecha de seguridad se deberán castigar a los responsables. Algo que afecta mucho a los funcionarios son sanciones que afecten su imagen, su bolsillo o su tiempo libre. Entonces, según la falta y la recurrencia se publicará o se comunicará el castigo, se efectuará un descuento o la supresión del premio que podía haber recibido y/o finalmente se dispondrá que el infractor cumpla su falta con trabajos de bien común, estos podrían ser limpieza general, reparación de los ambientes, pintado o algo que signifique sacrificar su tiempo libre en bien de los demás.

R2.3. Propagación Defensiva

Entendiendo que no estamos solos en el terreno y que nuestros vecinos pueden ser también nuestros aliados que pueden caer bajo el alcance de la guerra, debemos propagar nuestra filosofía defensiva para ampliar nuestras fronteras virtuales y fortalecer a los aliados. La tropa que muestre mejor desempeño junto a los jefes o gerentes actuaran como embajadores y tendrán la misión de efectuar actividades de propagación filosófica entre nuestros aliados. Si creemos en lo que estamos haciendo debemos estar plenamente convencidos para poder compartir con aquellos que podrían verse involucrados como puntos intermedios de ataques.

4.5.3 TAREA 3: ESTRATEGIA OFENSIVA

Figura 4.5: Estrategia Ofensiva

La mejor política en la guerra es tomar un estado intacto, arruinarlo es política inferior. Lo que es de suprema importancia en la guerra es atacar la estrategia del enemigo.

Si pensamos en la estrategia de mercado, en general, nuestro objetivo será tomar el mercado sin destruirlo; esto tiene que ver, por ejemplo, con la política de precios y calidad que adoptemos: si subimos la calidad y bajamos los precios mas allá de los costos, quizás podamos eliminar a nuestra competencia, pero con esto habremos dañado el equilibrio del mercado. La competencia como fuerza de resistencia que genera movimiento debe existir, pero el objetivo es que podamos controlarla, dominarla y no destruirla.

Si consideramos que debemos proteger aquello que es más sensible, entonces deberíamos proteger nuestra estrategia, táctica y operación.

La estrategia tiene que ver con elementos macro que definen la orientación general de la empresa. Sin embargo, más detalle tiene la operación táctica. Por esto se puede entender, por ejemplo, como hemos dispuesto la organización de defensa propia, bajo que principio están colocados cada punto de control como firewalls, routers y otros. Hoy en día tendemos hacia una estandarización en los recursos tecnológicos y en su parametrización. Esto está definiendo claramente la estrategia que estamos utilizando. Donde podamos deberíamos colocar elementos que nos diferencien. Donde podamos debemos asumir configuraciones no estándar pero sí funcionales. Por ejemplo, la disposición de enrutadores, antivirus no uniformes para equipos sensibles sino combinados. La estandarización por lo general comulga con la rutina y esto hace que seamos predecibles dejando camino llano para el enemigo o las fuerzas contrarias.

Lo segundo en importancia es desbaratar sus alianzas

En el ámbito de negocios se establecen alianzas para dominar el mercado y regular el clima del mismo. Debemos procurar que nuestras alianzas sean las dominantes y no al contrario. El monitoreo del mercado, del terreno o del clima nos debe alertar sobre alianzas que se están formando de tal manera que podamos crear frentes de resistencia en función de objetivos que no compitan entre sí.

Como estrategia de defensa se sugiere establecer alianzas con diferentes proveedores y especialistas, crear una cadena de defensa que pueda reaccionar cuando nuestros intereses se vean afectados. Por ejemplo, ya establecemos alianzas cuando compramos un firewall, un antivirus, estamos aliándonos con estos proveedores para combatir cierto tipo de ataques

Como estrategia de ataque debemos considerar que el enemigo también establece sinnúmero de alianzas, el bajo mundo virtual, donde comparten información relacionada precisamente con estándares establecidos y métodos de ataque.

Cuando consideramos el enemigo interno debemos considerar aquellas relaciones ínter áreas que puedan vulnerar nuestra cadena de controles por segregación de funciones. En el caso especifico debemos considerar como epicentro la unidad de sistemas clasificada por nivel de sensibilidad, bajo una figura de pulpo donde cada tentáculo es la relación que pueda existir cuando tratamos desde adentro hacia fuera.

Cuando el tema es interno debemos controlar estas alianzas, vigilarlas hasta determinar el nivel de riesgo que conlleven. La rotación de personal, la política de vacaciones son medios defensivos ante la formación de estas alianzas peligrosas.

En el caso de alianzas externas también debemos vigilar el avance que existe cuando estas alianzas son definidas, al estar participando de una cadena de dependencia, la caída de unos puede llevarnos a la caída propia. Por ejemplo, la salida de parches de seguridad es propagada inmediatamente bajo las alianzas establecidas y las vulnerabilidades que estas presentan deben ser prontamente corregidas.

Tu propósito debe ser el de apoderarte intacto de TODO bajo cielo.

El propósito de una conquista del ciberespacio no radica en atacar y destruir un objetivo, esos son propósitos de política inferior, sin embargo siguen existiendo. Cuando se ataca a la Disponibilidad de los servicios se taca a la destrucción con mayor impacto posible. La información por si sola no es poder. Se convierte en Poder cuando se la utiliza o se hace saber que existe la potencialidad de utilizarla. Entonces, así como en la estrategia militar tradicional el objetivo es obtener el dominio de la mayor cantidad de tierras, en la ciberguerra el objetivo es controlar la mayor cantidad de información disponible en el espacio digital. Veamos como ejemplo la política americana ligada a la estrategia corporativa de Microsoft y sus productos Windows. Consideremos que bajo esta estrategia EEUU tiene el control de toda la información que utiliza su tecnología. Por ello, el creciente peligro de las tecnologías abiertas y el uso independiente que esas sugieren.

En niveles micro, un buen atacante debe capturar la información sin que el dueño de esta lo perciba, a diferencia de botines físicos, la información puede seguir su curso y tener mas valor sostenible en el tiempo. Ahora cuando el objetivo sea sabotear la entrega de información, debemos considerar que este fin debe llevarnos a fines mayores, por ejemplo afectar la disponibilidad de servicios en momentos muy sensibles.

El efecto de maquinas zombis capturadas nos puede ilustrar el cumplimiento de esta estrategia en el mundo actual.

Un ejército no puede administrarse con reglas de etiqueta.

En este punto se dice que el ejército no puede administrarse con las mismas reglas que la población civil. Su verticalidad siempre ha sido característica. En nuestros términos debemos considerar por ejemplo que el viejo refrán El cliente tiene la razón debe ser ampliado y podría decir El cliente tiene la razón siempre y cuando no se comprometa la seguridad y si vemos ejemplos de esto, EEUU hace mucho que ha supeditado los derechos individuales a la seguridad colectiva.

En ese sentido, deben existir mecanismos que permitan actuar bajo esquemas de defensa y utilizar todos los recursos disponibles, por ejemplo ante la propagación de virus se deberían desconectar servicios que puedan verse afectados hasta reestablecer la seguridad, quizás menoscabando la libertad de los usuarios pero en beneficio colectivo.

De igual manera la sanción por incumplimiento a las políticas de seguridad no pueden ser iguales para un usuario final y para un administrador de servidores. En este caso, por ejemplo, su no contemplación debería derivar en sanciones disciplinarias contundentes, como dice Sun Tzu incluso llegar a “decapitar” responsables, en nuestros tiempos sabemos que este termino es sinónimo de despido con proceso disciplinario e incluso con procesos civiles y penales.

Existen cinco circunstancias en que puede predecirse la victoria El que sabe cuando puede y cuando no pude luchar El que comprende como usar fuerzas tanto grandes como pequeñas, saldrá victorioso El ejercito cuyas filas estén unidas El comandante que es prudente y aguarda a un enemigo que no lo es El comandante cuyos general son capaces y que no tiene interferencia del soberano

Hoy en día esta máxima se ha traducido en análisis de Fortalezas, Oportunidades, Debilidades y amenazas, Análisis de riesgos y otras técnicas que nos permiten conocernos en virtudes y defectos. Podemos analizar desde la naturaleza humana que normalmente analizamos nuestras virtudes y no nuestros defectos. Esa misma práctica se desarrolla a nivel de entidades, cada uno disfruta de las ventajas del trabajo pero no analiza los defectos que este tiene. A nivel de gerencias debe realizarse, para Sun Tzu seria como ir a la guerra sin conocer los recursos, la tropa, la logística con la que se cuenta; el fracaso sería seguro.

Conócete a ti mismo y conoce al enemigo; nunca te encontraras en peligro en cien batallas

Ahora conocer al enemigo es actuar sobre los diferente planos tanto internos como externos, naturales como del entorno, sociales, económicos y culturales. Sin duda alguna una de las frases mas celebres citadas en la obra de Sun Tzu. La clave de la victoria está en el conocimiento de uno mismo como profesional, como empresa o como organización.

Por ejemplo, debemos considerar que los últimos 5 años se han caracterizado por el uso incremental del Internet. Si antes para conocernos se debía contar con recursos físicos en el ciber espacio esta barrera no existe y al igual que en la famosas película Matrix, uno puede crear sus ambientes. Entonces, el enemigo tiene mayor libertad de camuflarse, engañar y en consecuencia ser más difícil de controlar.

Se recomendaría, por ejemplo, que nuestros “Generales” o “Comandantes” puedan participar de programas continuos donde se les muestre y capacite en las nuevas técnicas de ataque ya que bajo el principio de que guerra avisada no mata, podrían preparar mejor sus defensas, cuando conocen las características de los ataques. Consideremos, por ejemplo, los ejercicios conjuntos que realizan FFAA y unidades policiales donde comparten información sobre nuevas amenazas.

De igual manera debe hacerse extensivo este punto a los “soberanos” o a la alta dirección ya que ellos destinarán los recursos para mantener un ejército vigilante, pronto al ataque. Consideremos, por ejemplo, la organización de COSDENA (Consejo de Seguridad y Defensa Nacional) donde participa el mismo presidente del gobierno y varios de sus ministros. En escalas empresariales se toma el esquema de Comités de Seguridad donde se busca esta cohesión entre los niveles estratégico, táctico y operativo.

R3.1. Segmentación

El objetivo de este punto es eliminar la posibilidad de que el enemigo conozca toda nuestra estrategia defensiva —así como en el ejército existe las especialidades o armas: caballería, infantería, artillería y cada una comparte la estrategia pero no la táctica y peor las operaciones— de esa misma manera debemos precautelar porque nunca tengamos la misma línea táctica en todos los niveles y de esa misma manera debemos mantener el conocimiento segmentado. Por ejemplo, cuando colocamos antivirus, no coloquemos en todos los equipos el mismo antivirus, mantengamos algunos con otro proveedor. Las líneas de telecomunicación más de una. La redundancia que sea aleatoria. No definamos estándares que nos tipifiquen en un segmento general que puede ser vulnerable por analogías.

R3.2. Carros Blindados

El objetivo de este punto es eliminar la posibilidad de que el enemigo conozca lo que estamos enviando o recibiendo. Utilizaremos el concepto de carros blindados como palabra clave para el envió cifrado de información cuando esto sea posible. Implementaremos canales seguros de mensajería con aquellos clientes y proveedores con los que tengamos comunicación constante. Utilizaremos firmas digitales para aquellos documentos o mensajes sensibles, por ejemplo archivos adjuntos, correo electrónico y otros.

R3.3. Embajadores

Cuando un país desea mantener relaciones con otro, envía su embajador y lo retira cuando el interés se termina o existen motivos de seguridad nacional que le obligan. De esa misma manera estableceremos embajadores que tendrán la misión de transmitir nuestra preocupación por la seguridad ante proveedores, entidades reguladoras, entidades estatales y otras donde tengamos interés de mejorar el nivel de seguridad.

4.5.4 TAREA 4: DISPOSICIONES (APARIENCIAS, DISPOSICIONES FÍSICAS)

Figura 4.6: Disposiciones

En la antigüedad, los buenos guerreros primero se hacían invencibles y después esperaban el momento de vulnerabilidad del enemigo .

Ser invencible depende de mi mismo. La vulnerabilidad del enemigo depende de él. La posibilidad de ser invencible se funda en la defensa, la posibilidad de la victoria en el ataque. Los expertos en preparar defensas consideran fundamental valerse de obstáculos tales como las montañas, los ríos y las laderas de los montes. Hace imposible al enemigo conocer por donde atacar. Se ocultan en secreto como si estuviesen bajo un suelo de nueve capas.

Tomando esta primera parte podemos decir que mientras mas obstáculos coloquemos entre nosotros y el enemigo, será mayor la posibilidad de poder defender y mayor complicación la posibilidad de ser atacados.

Esta estrategia parte con ejemplos muy conocidos; por ejemplo, la puerta de la calle en un domicilio particular, la cantidad de chapas y candados, las puertas en los cuartos nos protegen del enemigo interno o proporcionan cierta clasificación a cada ambiente. Ya en el campo o espacio digital, tenemos firewalls, enrutadores, VPNs, sistemas con clave y contraseña, podemos decir que una primera barrera es el mismo entorno así como son los medios naturales. El mismo Internet ya es una barrera, el enemigo que no domine este medio no podrá utilizarlo para poder atacar y lo propio sino lo conocemos no servirá como medio de defensa. Http o HTTPS ya están marcando diferencia que corresponde a los obstáculos naturales.

Ahora bien mi fortaleza interna o cuan invencible soy depende de cuantos elementos de defensa están bajo mi absoluto control. La tercerización puede ser considerada como soldados mercenarios los cuales dependen de la paga y su ética de guerreros no es suficiente garantía. No existe el factor de doctrina o cultura organizacional que uno puede desarrollar con sus guerreros. Soy invencible en la medida que controlo mis medios defensivos y conozco las armas que podría utilizar el atacante.

Ahora bien, estos son los elementos del arte de la guerra: primero las medidas del espacio, segundo el estimativo de la cantidad, tercero los cálculos, cuarto las comparaciones y quinto la probabilidad de victoria.

Las medidas del espacio se derivan del terreno: Ahora nuestro entorno no sólo es físico sino espacio virtual y las medidas no son lineales o de volumen sino también de capacidad de transferencia, de onda, ancho de banda y otras,

Cantidad, cálculo, comparación y probabilidad. Derivan del terreno, conocer cada uno de ellos tendrá efecto sobre la probabilidad de victoria.

Por ejemplo: Los datos del negocio se transmiten por líneas de telecomunicación sin protección constante. Entonces el espacio es Internet, las medidas son ancho de banda, la cantidad 512 MBPS, el cálculo nos ayudará a medir el tiempo que nos toma enviar algún mensaje, archivo o información de un extremo a otro; la comparación nos permitirá definir el tiempo que podrían tener los atacantes para interceptar mi envío y en función de esto podría decir sobre las posibilidades de que mis mensajes sean conocidos, interferidos o eliminados sin llegar a su destino.

R4.1. Simulacros

El entrenamiento y puesta a punto depende de la cantidad de hechos reales donde se haya podido probar la estrategia y la táctica. Este punto define como objetivo que se efectuarán ataques simulados de baja, media y alta intensidad. El daño simulado, el tiempo y el impacto definirán la intensidad. La capacitación y entrenamiento deberá ser efectuado por funcionarios internos más el simulacro será utilizando recursos externos.

Los simulacros comprenderán ataques sobre todos y cada uno de los recursos: defensas, terreno, tropa, perímetro y otros. Para el simulacro se podrá contratar mercenarios precautelando que el posible botín no sea confidencial. También se simularán desastres naturales, convulsión social y otros que permitan definir la capacidad de reacción en todos los ámbitos.

Para los simulacros se utilizará como mínimo el arsenal de ataque o defensa descrito en el Anexo 6. El contenido de recursos es enunciativo, debe ser revisado en forma anual como mínimo para ser actualizado.

R4.2. Cinturones

El entrenamiento debe ser evaluado en forma individual, para esto se utilizará la medición y el nivel que cada individuo ha logrado; se representará mediante el reconocimiento de un nuevo cinturón: blanco principiante, amarillo, café, azul, rojo y finalmente negro cuando haya logrado el nivel de instructor. La obtención de un nuevo cinturón significara recibir un reconocimiento y premio por su esfuerzo. Un individuo que no logre ascender de nivel en un periodo definido, no recibirá reconocimiento alguno, por el contrario será pasible a sanciones. De acuerdo a los méritos, experiencia y conocimiento, un soldado podrá saltar a un grado superior sin rendir prueba; sin embargo, debe reflejar en su conducta y acciones el nivel que ha logrado. Caso contrario será degradado. En el anexo 8 se presenta el programa de Capacitación que se implemento.

R4.3. Métricas

Toda actividad defensiva debe estar expresada en cantidades que digan sobre su calidad, efectividad o eficiencia. No será tomada en cuenta ninguna actividad, iniciativa, respuesta o pregunta que no pueda ser medida, estimada, calculada o comparada. Además cuando el tema gire entorno a un recurso defensivo, se deberá incluir la probabilidad de éxito o fracaso sobre una base porcentual con una precisión de 1%. En Este punto es importante implementar sistemas de medición y monitoreo.

4.5.5. TAREA 5: ENERGÍA (FUERZA, INFLUENCIA, AUTORIDAD)

Figura 4.7: Energía

Manejar a muchos generalmente es lo mismo que manejar a pocos. Se trata de un asunto de organización.

Nos dice de una estructura piramidal donde se dirige a unos cuantos, pero estos a su vez dirigen a otros y estos a otros. Se supone la verticalidad y la autoridad que debe existir para que cuando una orden se dé en el primer nivel, esta llegue hasta el último.

Cuando aplicamos Políticas, Normas y Procedimientos, debemos suponer que ésta llegara y se aplicara en todos los niveles defensivos establecidos. Por ejemplo, que todos los dispositivos estén bajo la identificación y autenticación debería propagarse a todo nivel, desde firewall hasta servicios de mensajera.

El que un ejército tenga certeza de que aguantara un ataque enemigo sin sufrir derrota se debe a operaciones de fuerzas ordinarias y extraordinarias.

Unidas estas fuerzas no tiene limites; en nuestro caso las fuerzas ordinarias normalmente son todo lo conocido y estandarizado. Contemos con que tanto para el ataque como para la defensa siempre debemos considerar fuerzas extraordinarias, aquellas que no siguen patrones de conducta establecida o estándares definidos. Dejemos volar nuestra imaginación para ver cómo más podemos defendernos o como podrían atacarnos dotados de fuerzas extraordinarias o consecuentes. Por ejemplo, después de una tormenta que es una fuerza ordinaria quedamos sin energía por un tiempo medido en horas, el atacante utilizaría una fuerza extraordinaria para burlar nuestras ya vulnerables defensas. Esto da lugar a ataques compuestos que no necesariamente obedecen a un patrón establecido sino actúan bajo el principio de causalidad.

Un comandante hábil, busca la victoria a partir de las situaciones y no la exige a sus subordinados.

Tomemos en cuenta que el atacante podrá utilizar situaciones diversas o casualidades que dejan de ser tales cuando han sido planificadas. Este principio es utilizado, por ejemplo, por los creadores y propagadores de virus que utilizan la fuerza ordinaria de los virus con la fuerza extraordinaria que les proporciona los eventos como desastres naturales, noticias sociales impactantes, eventos mundiales, celebraciones y feriados próximos. Pensemos en el virus Chernobil, como un ejemplo entre miles otros que se han difundido por motivo del tsunami.

Entonces actuemos con antelación, como si nosotros estuviésemos dirigiendo el ataque y preparemos las defensas en forma preactiva ya que la reacción puede no tener el tiempo suficiente y la brecha puede ser aprovechada.

Debemos tener comandantes que puedan interpretar las señales o fuerzas extraordinarias para preparar y reaccionar con fuerzas ordinarias.

Este punto también tiene que ver con las cualidades de la tropa y sus característica, cada uno podrá ser utilizado en diferentes situaciones; como dice Sun Tzu, el valiente puede combatir, el cauto defender, el sabio aconsejar de tal manera que el talento de nadie sea desperdiciado.

E5.1. Puestos De Mando

Comprende la subdivisión en batallones, compañías, escuadras o patrullas. Dependerá de la cantidad de recursos empleados y no solo de soldados. Por ejemplo, un comandante de telecomunicaciones y redes tiene bajo su mando enrutadores, firewalls, switches, y otros dispositivos. Un comandante de datos tiene gestores de bases, bases de datos, servidores, utilitarios y otros. Cuando uno de estos falle el primer y único responsable será el comandante directo. Cuando falle más de un comandante y la falla sea cuestión de estrategia o presupuesto, la responsabilidad será escalada. Cada comandante debe manifestar y pelear por sus necesidades. El fracaso no se responde con excusas, estas deben ser analizadas interiormente y no presentadas como motivo.

E5.2. Intuición

El logro de objetivos puede no seguir métodos preestablecidos. Un comandante o soldado puede seguir su intuición para lograr un objetivo. Si logra el éxito el premio será doble, pero si fracasa el castigo también será doble. Los métodos están establecidos para soldados pasivos. Se debe mantener un equilibrio entre eficacia y eficiencia. Este método fue impuesto por Hitler durante la segunda guerra mundial y representó los éxitos alcanzados.

4.5.6 TAREA 6: DEBILIDADES Y FORTALEZAS

Figura 4.8: Debilidades y Fortalezas

Por lo general, quien primero ocupa el campo de batalla y espera al enemigo está sosegado; el que llega después al escenario y se precipita en la lucha, esta cansado. Y así, los que saben de guerra llevan al enemigo al campo de batalla y no se dejan llevar por él.

En este caso debemos suponer que nuestro campo de batalla son situaciones y no lugares físicos o digitales. La estrategia debería ser diseñar un ataque simulado en diferentes escenarios y diferentes fuerzas combativas; por ejemplo, si el escenario es la LAN simulamos un ataque y vemos las defensas de tal manera que cuando el ataque real se produzca ya estén cubiertas las situaciones típicas más algunas que consideremos como extraordinarias. Si las defensas ya están probadas a priori conoceremos donde y en cuanto pueden provocarnos derrotas.

Para poder llevarlo al campo propio debemos pensar en estrategias para alejarlo de los puntos débiles que tenemos; por ejemplo, si nuestro punto débil son los usuarios, debemos llevar al enemigo al campo de batalla de los dispositivos de seguridad perimetral para no llevar el combate al interior sino asegurar que este se desarrollara afuera, precisamente en el perímetro definido.

Ligero e inaccesible, el que sabe no deja huellas; divinamente misterioso, es imperceptible. De este modo es dueño del destino de su enemigo.

Esta es una técnica muy utilizada por los atacantes, considerando las técnicas forenses consistiría en borrar todos los logs y registros que permitan detectar el patrón del ataque, aprender de este y consecuentemente detectar al atacante y prevenir su reincidencia.

Desde el punto de vista de la estrategia defensiva debemos prestar especial atención a los puntos de vigilancia desde los cuales podríamos percibir el movimiento del enemigo; por ejemplo, el registro del guardia de seguridad, las cámaras de CCTV, los logs de acceso, los logs de error, las pistas de auditoria y otros.

La aparente calma no debe ser señal de seguridad, como dicen en época de paz prepárate para la guerra podemos suponer que estamos siendo espiados e incluso atacados por un enemigo que no busca destruir sino capturar si dejar huella.

Inquieta el enemigo y de esta forma veras el patrón de sus movimientos. Lo esencial al disponer las tropas propias es darles una forma indescifrable. De este modo los espías más perspicaces no podrán escudriñar, ni el sabio tramar planes contra ti.

Muchas veces se puede lanzar un ataque leve con la finalidad de medir la capacidad de reacción. Este principio se aplica, por ejemplo, para los IPS donde no existe respuesta, cuando un dispositivo que es considerado un guardia de seguridad responde con información ante la pregunta de rigor, puede estar dando mucha información. Preparar el terreno de ataque significa por ejemplo enviar virus, spam, probar con ingeniería social, pero todo esto es metódico probando las defensas de la entidad.

Estas situaciones por ejemplo son utilizadas por los que roban casas o domicilios. Estos proceden a realizar llamadas o fingen ser vendedores para estudiar el siguiente objetivo. Se debe implementar un patrón de respuesta que proyecte fortaleza o por el contrario que en su hermetismo deje la duda y no permita establecer patrones de conducta.

R6.1. Serenidad

La anticipación al movimiento enemigo da serenidad. Aún cuando no hayamos podido predecir algo y estemos rodeados de incertidumbre deberá prevalecer el espíritu sereno, todas las decisiones y sobre todo reacciones deben realizarse con la mayor serenidad posible. Aquel comandante que efectué algo motivado por la ira, cólera, o cualquier reacción hormonal y no neuronal, deberá ser castigado.

La respuesta defensiva debe ser proporcional al ataque. La serenidad nos dará la oportunidad de movernos con sigilo para asegurar nuestras defensas.

R6.2. Huellas

Cuando un soldado está utilizando su tiempo libre o se halla fuera de la entidad, tanto física como virtualmente, debe cuidar y evitar rotundamente referirse a su puesto, a la entidad, a los recursos o cualquier dato o información relacionada con sus funciones. Debemos tomar en cuenta que las huellas no son sólo físicas, éstas nos pequeños trazos que permiten definir la ruta de alguien o sus características. La rutina es una huella, el hábito de hablar sobre el trabajo en ambientes públicos es otra huella. Todo aquello que permita realizar un seguimiento físico o virtual es una huella. Cuando se compruebe que un soldado ha dejado huellas éste deberá ser sancionado.

en los siguientes dias publicaremos la segunda parte de la cuarta parte de todas formas el documento completo esta disponible en http://www.criptored.upm.es/guiateoria/gt_m526a.htm


P.-S.

Tesis de maestria en direccion estrategica de TI. Presentada por Guido Rosales Uriona. Tiene mas cositas en el documento completo

Ultimos Artículos