El concepto de dependencia respecto de la información brinda el
contexto adecuado para la consideración de guerra de información ofensiva y defensiva
La dependencia no reconocida respecto de la información -y no los
defectos conocidos o potenciales en las tecnologías utilizadas en las infraestructuras de
comunicaciones y computación- es el desafío fundamental para las operaciones
empresariales o militares en el actual mundo interconectado. En las actividades basadas en
información abundan dichas dependencias no reconocidas.
Guerra basada en información
La doctrina de combate de Estados Unidos establece que "La
Campaña Conjunta debería explotar completamente el diferencial de información, es
decir, el acceso y la capacidad superiores para emplear la información con efectividad en
las situaciones estratégicas, operativas y tácticas que las avanzadas tecnologías
estadounidenses brindan a nuestras fuerzas". Esta doctrina refleja el cambio de la
guerra industrial a la guerra basada en información.
La aplicación de esta doctrina es considerada como el generador de una
Revolución de Asuntos Militares (RMA) habilitada por el matrimonio entre municiones de
precisión, computadoras de gran velocidad, comunicaciones con gran capacidad y sensores
remotos que brindan una "visión perfecta" del espacio de batalla. Desde la
perspectiva de los defensores de la RMA, el sector estadounidense utilizará la
información para operar "dentro del ciclo de información" del adversario,
desorganizará los procesos de comando e inteligencia del adversario y proporcionará
golpes decisivos con armas de gran posibilidad letal.
El concepto de una RMA fluye de un concepto visionario precoz de la
comunidad de investigación y desarrollo de defensa denominada Red Mundial. La Red Mundial
concebía la distribución y el procesamiento agresivo de datos a nivel mundial para
permitir que cualquier consumidor -civil, inteligencia o militar- se conectara con
cualquier dato. Esto brindaría a Estados Unidos una ventaja estratégica y permitiría
operaciones de información flexibles, expansibles, interoperables y oportunas.
Los beneficios que prometía la Red Mundial no se limitaban a los
militares. La ruta desde la Red Mundial también conducía hacia una visión de una
Infraestructura de Información Nacional, o NII, inspirada en el gobierno y desarrollada
por la industria. Tal como se delineó en la Agenda para la Acción de septiembre de 1993,
el enfoque de la iniciativa de la NII se centraba más en beneficios económicos que en
beneficios militares. Sin embargo, para ser justos, los defensores del concepto de Red
Mundial esbozaron una ruta tecnológica hacia una guerra dominada por la información y
hacia las brillantes promesas de la RMA.
Dependencia respecto de la información
Sin embargo, algunos de los que entonces trabajábamos en la oficina
del Viceministro de Defensa para C3I creíamos que los defensores de la Red Mundial no
prestaban suficiente atención a la creciente dependencia respecto de la tecnología que
resultaría de la iniciativa. Esta no era una tendencia contra la tecnología, sino una
opinión de que los crecientes riesgos debían ser comprendidos y administrados. Esta
preocupación fue uno de los factores principales en la decisión del Ministerio de
Defensa de emitir la Directiva TS 3600.1 del Ministerio de Defensa, Guerra de Información
del 21 de diciembre de 1992.
Esta directiva establece que el papel central de la información en la
guerra moderna requiere que las fuerzas estadounidenses estén preparadas para operar en
un entorno de información hostil; advierte sobre no planificar para combatir de una
manera que requiera más ancho de banda de información de lo que se pueda proteger;
instruye a los comandantes para que comprendan lo que le sucederá a las fuerzas bajo su
comando si se les niega la información con la que esperan contar; y, para tener una idea
de su dependencia respecto de la información, exige a los militares que se desempeñen en
entornos hostiles a la información.
Estructura del trabajo
Las implicaciones de la dependencia respecto de la información se
pueden mostrar mejor mediante el análisis del diseño del trabajo. El trabajo se define
como un esfuerzo que apunta a la producción o al logro de algo. Todo trabajo, ya sea
cavar una zanja, construir un automóvil, vender un producto o montar una compleja
operación militar, puede ser considerado dentro de un marco organizativo u
arquitectónico común.
En el nivel superior del marco arquitectónico se encuentra un modelo
comercial. El modelo comercial encapsula la respuesta a la pregunta del nivel ejecutivo
"¿A qué empresa nos dedicamos?". Este modelo se puede explicitar, pero a
menudo es implícito.
La empresa, además de ser definida por el "propietario" de
la empresa, está conformada por factores presentes en el ambiente en el que opera la
misma. Estos factores externos incluyen las acciones de los competidores, la estructura
impositiva, las leyes y reglamentaciones, y los aspectos técnicos del entorno de trabajo.
Cuando el modelo comercial no se adapta a la realidad del ambiente externo, ya sea en
diseño original o por falta de adaptación a los cambios en el entorno exterior, la
empresa sufre y puede fracasar.
En el nivel siguiente del marco arquitectónico se encuentra el nivel
funcional de trabajo. Este nivel consiste tanto en un modelo de organización como en un
modelo de información. El modelo de organización del trabajo refleja la estructura y el
flujo de las actividades funcionales de una empresa (personas, proceso y procedimiento) y
responde a la pregunta "¿Cómo lo hacemos?". El modelo de información asociada
responde a la pregunta "¿Cómo denominamos a las cosas?". Es innecesario decir
que en una empresa compleja estos modelos pueden ser muy, pero muy complejos.
Siempre ha existido la estructura del trabajo como un modelo comercial,
un modelo de trabajo y un modelo de información. La introducción de la computación en
el entorno de trabajo provocó un cambio profundo.
En la empresa asistida por computadora se inserta un nuevo "modelo
de aplicación" a nivel funcional. Algunas de las normas de proceso y de trabajo de
la empresa ahora están comprendidas en los programas de aplicaciones adaptados a medida
para dicha empresa. Esto permitió la modificación del modelo de trabajo a fin de
aprovechar el poder de la computación y, de ser deseable, el beneficio de vincularse con
otras computadoras en el entorno distribuido. (La modificación de la estructura de
trabajo no se debe considerar como la simple adición de una computadora. A menudo, muchos
de los procesos y procedimientos del trabajo, que incluyen el papel y la conducta de las
personas de la empresa, cambian notablemente con la computarización).
La introducción del modelo de aplicación a nivel funcional requiere
la adición de otro nivel inferior en el marco arquitectónico: el modelo tecnológico. El
modelo tecnológico está compuesto por los programas de computación y de comunicaciones,
sistemas operativos y otros programas afines, y toda aplicación de programas que fuera
necesaria para soportar el modelo de aplicación de programa del nivel superior.
Prácticamente en todos los casos los componentes de la tecnología consisten en
computación comercial y en productos y servicios de telecomunicaciones.
La adición del modelo de aplicación y del modelo de soporte
tecnológico permitió la realización de grandes mejoras en la eficiencia del trabajo,
pero también introdujo nuevas vulnerabilidades y riesgos. Debido a que la tecnología de
los componentes de computación es "genérica", el conocimiento de cualquier
defecto en estos componentes es ampliamente compartido. (Para ventaja del Pirata
Informático y del Guerrero Cibernético. Sólo necesitan conocer qué tipo de
computadoras y de programas está utilizando una empresa a fin de poder explotar todo lo
que se conoce con respecto a los defectos del modelo técnico de dicha empresa
específica).
Además, una vez que se agregaron aplicaciones de programas y
computadoras de soporte a una empresa, el ejecutivo renunció a gran parte del control
sobre la empresa. La conducta de muchas de las tecnologías de información de respaldo es
controlada por otros. Y, cuanto más distribuida esté la estructura de telecomputación
utilizada, mayor será la dependencia respecto de acciones y decisiones de terceros.
Administración de la configuración
Esta mayor dependencia respecto de las acciones de individuos ajenos a
la empresa puede reducirse a un enfoque más estricto al considerar el desafío de
administrar la configuración del trabajo en la empresa. Controlar la configuración de
algo, realizar la "administración de la configuración", no significa estar al
tanto de la configuración actual. Significa que el administrador de la configuración
conoce la configuración y puede controlar cualquier cambio en la configuración.
En el marco no computarizado descripto anteriormente, el ejecutivo a
cargo posiblemente pueda conocer el estado interno actual de la empresa y tendrá un
control considerable sobre la organización del trabajo y el vocabulario del trabajo
realizado en la empresa.
Por supuesto que, a medida que aumenta el tamaño y la complejidad de
la empresa, se torna más difícil conocer si los procesos y flujos de trabajo están
funcionando como debieran, si los individuos que trabajan dentro de la organización se
comportan como corresponde, y si la empresa está obteniendo los resultados deseados -este
es el desafío básico del margen de control.
La adición de aplicaciones de programas y tecnologías de soporte para
la empresa hace que la administración de la configuración de la red sea mucho más
difícil. Esto puede parecer poco intuitivo debido a la facilidad con que algunos procesos
computarizados se pueden controlar. Pero la realidad, a un nivel más profundo, es que es
imposible conocer todos los estados lógicos posibles de las grandes y complejas
aplicaciones de programas, sistemas operativos de programas, o incluso de los componentes
internos de los equipos de computación. (Los programadores prueban el funcionamiento
adecuado en un entorno deseado pero no tienen manera de conocer todos los estados lógicos
posibles indeseables que se pueden producir y que un rival -delincuente o guerrero- puede
conocer y explotar).
Cuando se incluyen en la mezcla telecomunicaciones de Internet,
encaminadas en paquetes, el desafío de la administración de la configuración es aún
mayor. En esta situación, ni el ejecutivo empresarial ni el comandante militar (o su
personal) tienen modo de conocer la configuración detallada minuto a minuto de la
infraestructura de telecomunicaciones externa de la cual depende la empresa.
La falta de conocimiento de la configuración y de control sobre la
configuración en un entorno de computación distribuido es ampliamente demostrada por la
facilidad con la que piratas informáticos y delincuentes ingresan habitualmente a muchas
empresas comerciales (y militares no secretas). Aunque la aplicación de la computación y
de las telecomunicaciones interconectadas a la realización del trabajo ha promovido un
notable crecimiento económico, también ha conducido a un entorno de telecomputación
mundial sin ley ni orden, a un estado de complejidad técnica donde se detectan muy pocas
de las muchísimas irrupciones electrónicas y donde los datos que recorren las redes de
comunicación mundial a menudo se ven comprometidos, y a una circunstancia muy peligrosa
donde en Internet se dispone gratuitamente de herramientas de programas muy sofisticados,
fáciles de usar, para irrumpir en computadoras.
Un factor principal que contribuye a la actual explotación delictiva
de las actividades de información es el índice de cambio en la tecnología de
computación y de comunicaciones. La tecnología ha dejado atrás el desarrollo de
salvaguardas de seguridad y la concientización de seguridad de la mayoría de los
usuarios de las nuevas tecnologías -y la brecha continúa agrandándose. (Esta brecha
creciente también rige para la defensa en la guerra de información).
Definiciones alternativas de Guerra de Información
Los conceptos de diseño del trabajo y de dependencia respecto de la
información y de sistemas de información que ya hemos descrito conducen directamente a
la siguiente definición de Guerra de Información: "Los preparativos y el uso de
armas físicas o lógicas para interrumpir o destruir información o sistemas de
información a fin de degradar o interrumpir una o más funciones que dependen de la
información o de los sistemas de información". Esto se puede redefinir como un
ataque al trabajo, montado en la información o en los sistemas de información necesarios
para la realización de dicho trabajo.
Esta definición centra la información en las funciones que dependen
de la información y de los sistemas de información, y no en la infraestructura de
respaldo. En el aspecto defensivo esto nos permite identificar al individuo o individuos
responsables por la realización de una función y de este modo responsabilizar a dicho(s)
individuo(s) por la adopción de las medidas necesarias para garantizar la ejecución
adecuada de la función en un entorno hostil a la información. En el aspecto ofensivo,
indica al guerrero informático que dirija su atención al valor militar o político de
irrumpir en una función o de anularla, lo que puede lograr por medio de su información
de respaldo o de su sistema de información.
Comparemos esto con la definición actual de guerra de información que
utiliza el Ministerio de Defensa: "Medidas adoptadas para lograr superioridad de
información al afectar la información del adversario, sus procesos basados en
información y sus sistemas de información, en tanto que se defiende la información, los
procesos basados en información y los sistemas de información propios". Esta
definición se concentra en lograr un nivel no especificado de "superioridad de
información" sobre un adversario.
Para poder definir la superioridad de información se debe conocer la
identidad del adversario. Unicamente si se comprende el uso de la información por parte
del adversario, y los medios utilizados por dicho adversario para atacar las operaciones
de información de sus enemigos, será posible determinar qué mezcla de medidas ofensivas
y de defensa se debe aplicar a fin de lograr la superioridad de información sobre dicho
adversario específico. Si un atacante desconocido monta un ataque de guerra de
información, es imposible conocer estas condiciones.
La definición del Ministerio de Defensa ha sufrido la profunda
influencia de los conceptos de guerra de comando y control (C2), un subgrupo de la guerra
de información. La guerra de comando y control es la adaptación estadounidense de un
concepto de guerra desarrollado por los rusos. La teoría rusa postulaba una guerra de
comando y control entre comandantes, respaldada por la fuerza. Los militares
estadounidenses han postulado la aplicación decisiva de fuerza habilitada por el
conocimiento del campo de combate dominante. Ambos presentan conflictos entre fuerzas
opuestas.
El hecho de que una de las partes de un conflicto dependa de
actividades de información eficientes invita a un ataque de guerra de información contra
dichas actividades por parte de la oposición. Sin embargo, la oposición puede no
depender de procesos basados en información y puede no contar con un sistema de
información que pueda ser alcanzado en un ataque de guerra de información. (Lograr
operaciones de información más eficientes y efectivas que las de un adversario potencial
es un objetivo sensato, pero no debe ser caracterizado como guerra de información).
El valor de los ataques de guerra de información ofensiva está
determinado por el valor de las operaciones de información del adversario. El valor de
las medidas de guerra de información defensiva está determinado por el grado de
dependencia que tienen los defensores respecto de sus propias operaciones de información,
independientemente de la eficiencia de dichas operaciones.
Guerra de Información ofensiva
Conforme a la primera definición que proporcionamos antes, un ataque
ofensivo de guerra de información generalmente apuntaría a interrumpir una o varias
funciones específicas [un ataque orientado]. Muchos suponen que, debido a que es fácil
irrumpir en una computadora mediante la explotación de defectos conocidos del modelo
técnico, se deduce que es fácil realizar una guerra de información significativa. Esto
no es así. El conocimiento de exactamente qué se debe atacar y cuándo se lo debe atacar
puede ser un proceso de inteligencia muy complejo e intenso. La orientación de la guerra
de información requiere comprender la(s) función(es) del adversario que se
arriesgará(n):
· ¿Qué se está
haciendo (modelo comercial)?
· ¿Cómo y cuándo se
está haciendo (modelos de trabajo y de información)?
· ¿De qué
infraestructuras de computación y comunicaciones, y de qué instalaciones de respaldo,
depende la función (modelo técnico)?
Los preparativos para un ataque importante de guerra de información
requieren que, en la jerga del rediseño de procesos comerciales, el planificador de la
guerra de información determine el modelo "As-Is" de la(s) función(es) del
blanco. Mediante una combinación de recopilación de inteligencia y de análisis de
proceso el planificador puede comprender los pasos en el flujo de trabajo de la función
que será atacada. Esto permite que el planificador deduzca qué sucederá al flujo de
trabajo, y de este modo la(s) función(es) interesadas, cuando elementos específicos de
la información subyacente o de los sistemas de información estén sujetos a distintas
formas de ataques digitales o físicos.
El desarrollo de un modelo "As-Is" sólido en un entorno de
rediseño de proceso comercial cooperativo es una tarea difícil. Intentar desarrollar a
distancia un modelo "As-Is" de las funciones del enemigo utilizando las
herramientas de las distintas especialidades puede ser sumamente difícil, especialmente
en aquellos pasos del proceso que no dependen de soporte tecnológico sino que sólo
residen en las mentes de los trabajadores. Los procesos y procedimientos humanos raras
veces están delineados en la documentación de una aplicación de programa de respaldo
que se pueda descargar fácilmente desde una computadora atacada.
Un método más sencillo consiste en obtener, por medio de compra,
alteración o engaño, la cooperación de uno o más individuos que trabajan o han
trabajado en el proceso en cuestión. Esto puede ser muy útil cuando alguien que trabaja
en el sistema puede explicar los procesos y procedimientos internos e incluso colaborar en
el ataque.
No obstante el concepto central de la primera definición
proporcionada, un ataque ofensivo de guerra de información no siempre tiene que apuntar a
una función específica. Se podría montar un ataque sencillamente para degradar el
funcionamiento de los distintos elementos de la infraestructura de información compartida
de los distintos adversarios sin saber la manera en que el ataque degradará una o más
funciones específicas o sin saber si lo hará [ataque de entropía].
Sin embargo, realizar amplios ataques de entropía es como intentar
atrapar un róbalo excepcional mediante la dinamitación de lagos al azar. Pueden morir
muchísimos peces sin ninguna garantía de atrapar el pez específico, marcado, necesario
para ganar el concurso de pesca. A menudo los especialistas en computación proponen
técnicas de ataque digital para utilizar en la ejecución de la guerra de información
(por ejemplo, muchas formas de virus informáticos) que son como trofeos de pesca con
dinamita -los beneficios no se pueden predecir con ningún grado de certeza. A diferencia
de la violencia callejera, la guerra aplica, o amenaza aplicar, violencia -física o
digital- de una manera centrada a fin de respaldar la consecución de un objetivo militar
o político definido.
Comando y Control en la Guerra de Información
La necesidad de obtener un resultado militar o político útil conduce
a la consideración de aspectos de comando y control de la guerra ofensiva de
información. En general, antes que un individuo con autoridad se preste a aprobar una
acción militar, primero desea comprender por anticipado y con cierto grado de precisión
los resultados del(los) ataque(s) propuesto(s). La autoridad a cargo de la adopción de
decisiones puede querer saber muchas cosas:
· ¿La acción propuesta concuerda con las leyes de guerra y con las
obligaciones de tratados que el actor específico tiene interés en cumplir?
· ¿Se puede controlar el alcance del ataque?
· Si el enemigo solicita la paz, ¿se podrán detener las medidas
iniciadas?
· ¿El ataque se puede contrarrestar?
· En algunos casos, ¿se puede detectar el ataque?
· Si el ataque depende de la sorpresa, ¿cuál es el riesgo
comprometido?
· ¿De qué información depende el ataque? (¿Qué es lo que se debe
saber?; ¿Cuándo se lo debe saber?; ¿Se puede confiar en que se obtendrá la
información necesaria?)
· ¿Cómo se evaluarán los daños?
En resumen, ¿el objetivo del ataque y el proceso de ejecución del
ataque se pueden explicar al encargado de la adopción de decisiones como una acción
militar racional?
Medios de ataque
A partir del análisis anterior del diseño del trabajo y de los
mayores riesgos asociados con la computación distribuida, no supongamos que los ataques a
operaciones de información (modelo de trabajo y modelo técnico) se limitan a técnicas
digitales "transmitidas por el cable". La guerra de información se puede
realizar mediante distintos medios y puede incluir:
· Ataques físicos a los componentes de la infraestructura de
información, por ejemplo, computadoras, dispositivos de comunicaciones, programas,
cables, dispositivos de control, etc.
· Ataques físicos a los componentes que contienen o soportan la
infraestructura de información, tales como edificios, sistemas eléctricos, servicios
ambientales.
· Ataques físicos o subversión de personas (conocedoras o ignorantes)
que operan elementos de la infraestructura de información.
· Destrucción física de información (borradura o sobrescritura) sin
perjudicar los componentes de la infraestructura.
· Ataques lógicos (códigos nocivos) a los componentes de la
infraestructura de información, por ejemplo computadoras, dispositivos de comunicaciones,
programas, dispositivos de control, etc.
· Ataques lógicos a componentes controlados por computadoras que
soportan la infraestructura de información. Estos pueden incluir acondicionadores de
aire, administradores de aire, distribución eléctrica, y agua de refrigeración.
· Ataques a la información suministrada por medio de la
infraestructura de información que es utilizada por una o más funciones específicas
(por ejemplo, información falsa y engañosa introducida en la infraestructura).
· Corrupción de información utilizando ataques lógicos o digitales
sin perjudicar los componentes de la infraestructura de información. (El peor daño puede
resultar de un ataque que corrompe o introduce información falsa de una manera que no
puede ser detectada por los usuarios de dicha información, los que en consecuencia
adoptan medidas en base a dicha información corrupta o falsa).
· Ataques combinados donde se realizan ataques físicos y lógicos
combinados contra la infraestructura de información o los elementos de soporte de la
misma a fin de encubrir uno de los tipos de ataque o para obtener los beneficios de un
ataque combinado.
Defensa en la Guerra de Información
Los conceptos que esbozamos antes también rigen para el aspecto
defensivo de la guerra de información. En un nivel superior, para poder defendernos de
amenazas de guerra de información contra una o más funciones, debemos comprender el
flujo de trabajo, los procesos y procedimientos, la información y la infraestructura de
información utilizada por dichas funciones.
A diferencia del aspecto ofensivo, el defensor, mediante la aplicación
de las herramientas de captación de proceso del rediseño del proceso empresarial, puede
comprender directamente las funciones y las relaciones de dependencia. (Con cierta
previsión este análisis puede resultar un proceso muy económico de "dos al precio
de uno". Se pueden descubrir maneras de obtener una mayor eficiencia funcional al
mismo tiempo que se identifican dependencias respecto de la información en el modelo
"As-Is" existente).
Un análisis similar a BPR debería permitir que el defensor: 1)
conozca las dependencias de seguridad de información de las funciones bajo su
responsabilidad; 2) comprenda qué es lo que sucede con los procesos de trabajo si un
adversario, un acto natural, o un error por parte de un empleado con acceso autorizado a
la información y a los sistemas de información de la empresa interrumpe alguna parte del
entorno de telecomputación; 3) diseñe un medio para controlar la información y los
sistemas de información de una empresa para detectar intrusiones, contener ataques, y
restaurar el servicio; y 4) conozca en qué aspecto capacitar y practicar ejercicios
realistas de manera tal que los trabajadores de la empresa puedan reconocer un fallo en el
proceso de trabajo y estén preparados para adoptar medidas correctivas adecuadas.
Es muy fácil determinar estos pasos, pero puede resultar muy difícil
aplicarlos.
Medidas de defensa
Entonces las cuestiones de importancia consisten en cómo adaptar la
empresa y el modelo empresarial, cómo diseñar los procesos y procedimientos utilizados
en el modelo de flujo de trabajo, cómo aplicar la tecnología y cómo capacitar a la
fuerza laboral a fin de obtener las ventajas, económicas o militares, del uso de una
infraestructura de telecomunicación interconectada a nivel mundial sin sucumbir a los
riesgos endémicos de realizar operaciones en este entorno interconectado. A continuación
expondré un listado parcial de posibles respuestas a estos interrogantes.
Enclaves
Un método para controlar las actividades funcionales que se deben
supervisar, controlar y defender consiste en crear enclaves de información dentro de la
infraestructura mundial como un medio para transmitir información segura entre los
enclaves de usuarios de información protegida cuando es necesario. Se pueden utilizar
firewalls, si están bien configurados, para crear enclaves y brindar cierto grado de
aislamiento contra adversarios potenciales.
La operación de enclaves más seguros -aunque nunca absolutamente
seguros- en la infraestructura mundial más extensa sólo será posible si se puede
controlar el acceso a los enclaves, que incluye el comportamiento de los trabajadores con
acceso autorizado al enclave. Si un deseo de sinceridad en el gobierno, un deseo de
obtener el menor precio posible en servicios de computación o comunicaciones, o la
indiferencia ante las actividades de los trabajadores en la empresa resultaran en libre
acceso al enclave por parte de cualquier habitante de la población mundial, entonces no
se podrá obtener ninguna defensa significativa a ningún precio.
Evidentemente, el medio más fácil para eliminar el riesgo asociado
con la operación en una infraestructura de computación interconectada a nivel mundial
consiste en simplemente desconectarse de la misma. Si la función comercial o militar no
depende de la interconexión con la infraestructura de información compartida, entonces
probablemente no se debería conectar, debido a que esto simplemente agrega riesgo sin
ningún beneficio que lo compense.
Análisis de riesgos
Si la ejecución de una función debe depender del uso de la
infraestructura de información compartida, entonces el ejecutivo responsable por la
función debe pensar en operarla con cierto grado de riesgo. En esta circunstancia, el
análisis informado de riesgo-beneficio debería respaldar todas las acciones defensivas
propuestas. Un factor que se debe tener en cuenta al realizar el cálculo de
riesgo-beneficio es que, en tanto que los beneficios en general -económicos o militares-
se multiplican de manera predecible, los riesgos pueden conducir a resultados no lineales.
(Cuando un partidario del beneficio que se va a obtener al asumir o aumentar una
dependencia funcional -respecto de actividades de telecomputación compartida o de
actividades de computación distribuida- expone su caso, siempre preguntemos qué es lo
peor que puede suceder al flujo de trabajo y al modelo empresarial como consecuencia de la
acción propuesta).
Consideraciones adicionales para la defensa
Ahora bien, la situación de gestión de riesgos no es completamente
sombría. Se pueden hacer muchísimas cosas inteligentes a bajo precio para reducir el
riego a nivel computación y telecomunicaciones.
Las medidas más económicas consisten en proporcionar una cantidad
suficiente de personal bien capacitado y equipos de supervisión adecuados para
administrar el entorno de telecomputación en el enclave o enclaves operativos. Siempre
que un sistema de administración sea tratado como un empleo parcial que se puede asignar
a individuos no capacitados, la capacidad de lograr un nivel significativo de protección
o de reacción ante un ataque es problemática.
Una vez que se comprenden los procesos y procedimientos de la función,
se puede establecer una capacidad para controlar su configuración. La actividad de
supervisión debería ser exterior a los procesos controlados y debería estar soportada
por una capacidad robusta de computación y comunicaciones. Los defensores deben tener la
capacidad de realizar actividades de selección para limitar la diseminación de un ataque
y para administrar la restauración de operaciones sin tener que depender de la misma
estructura que están defendiendo (una lección fundamental del incidente Morris
Internet).
Una advertencia. La dependencia de actividades de defensa excesivamente
centralizadas es peligrosa. Para un atacante resulta muy económico desatar una
persecución costosa e inútil por parte del personal defensivo centralizado. El método
preferido para diseñar una capacidad de administración de defensa de guerra de
información (o seguridad de información) es un método estratificado para obtener
conocimiento y control de configuración, con algunos procedimientos para la adición de
conocimiento a fin de detectar patrones de actividad que no son perceptibles a niveles
inferiores.
Los responsables de supervisar el estado de la empresa y de montar la
defensa deben estar al tanto de toda perturbación en la planta física que alberga los
elementos de computación y comunicaciones que deben defender. Las interrupciones de
servicios producidas por incendios, cortes de cables u otros daños físicos se pueden
considerar "accidentes" a nivel local y, cuando son consideradas en general,
pueden ser reconocidas como ataques de guerra de información.
El diseño de sistemas inteligentes colocará programas y datos
críticos en servidores que están separados física y lógicamente de aquellos utilizados
para alojar programas y datos que son útiles pero que no son fundamentales para la
supervivencia de la empresa. Dicha separación facilitará el proceso de reparación y
acelerará la restauración de procesos fundamentales. El mantenimiento de versiones de
programas "limpias", protegidas, también puede acelerar la recuperación.
Puede ser fundamental prestar atención esmerada a la copia de respaldo
de los datos para poder recuperarse de dicho ataque. Pero hacer copias de respaldo y
archivos puede ser mucho más difícil que lo que algunos sospechan. Una etapa de
preparación prolongada para un ataque de guerra de información puede haber alcanzado los
datos almacenados o incluso puede haber arruinado el proceso utilizado para realizar las
copias de respaldo y el almacenamiento de los datos.
La duplicación de información puede ayudar al defensor. (Duplicación
significa que es posible copiar la información sin cambiar la información original. La
duplicación es la característica de la información que la separa del mundo de los
artefactos físicos. La duplicación también es la característica que permite el robo no
detectable de información debido a que, a diferencia de los bienes físicos, el guardián
de la información puede conservar su copia de información, pero también lo puede hacer
el ladrón y el guardián puede no estar al tanto de ello). Al colocar múltiples copias
de información en servidores distribuidos se puede lograr que el adversario ignore qué
servidor se está utilizando en un momento determinado para soportar una función y, de
este modo, se puede eliminar la capacidad del adversario de destruir la información con
un ataque en un único lugar.
El cifrado de la información utilizada por una función, en tránsito
o almacenada, es otra técnica que se puede utilizar para mejorar la defensa de la
función. Sin embargo, algunos medios de cifrado proporcionan una vía rápida para un
atacante que no pretende leer la información cifrada sino que simplemente desea montar un
ataque para producir la interrupción del servicio. Al atacar determinados elementos de
una señal o de un sistema de cifrado, el atacante puede evitar que el futuro usuario de
la información pueda descifrar y leer la información.
Se debe solicitar a programadores de sistemas y de software que
diseñen software y sistemas de información que brinden conocimientos de configuración
dinámica, permitan la administración de las configuraciones, y garanticen la facilidad
de reparación. (En la actualidad se presta poca atención a dichas características, y no
se entienden bien los métodos de diseño utilizados para el logro de dichos objetivos).
Los fabricantes de programas y equipos para telecomputación podrían
mejorar ampliamente la circunstancia de defensa (y posiblemente lo harán) si cada
dispositivo o programa de software estuviera equipado para proporcionar una firma digital
segura que lo identificara al ser interrogado por las herramientas de gestión del
administrador del sistema (Soy la estación de trabajo con el número de serie xxxx).
De manera similar, los dispositivos biométricos que de manera
exclusiva, permanente y pasiva identifican a cada individuo participante en las
actividades de telecomputación del enclave harían una gran contribución en la
eliminación de la presencia de intrusos que se hacen pasar por participantes legítimos
de la actividad funcional.
Si se adoptan en conjunto, estas medidas y otras similares mejorarían
notablemente el conocimiento de la configuración, aumentarían el control del entorno de
telecomputación, eliminarían muchos ataques triviales (de la clase de ataques piratas) y
habilitarían una defensa más robusta. Sin embargo, el uso de tecnología dividida
significa que estos pasos nunca brindarán un entorno totalmente seguro para las
operaciones de información.
Del mismo modo, siempre que las personas forman parte del proceso
funcional, el estado de la naturaleza humana impone una limitación superior a la
perfectibilidad del conocimiento y del control de la configuración. Por lo tanto,
independientemente de los beneficios de la tecnología esbozada arriba, el método
recomendado para el logro de una defensa robusta en la guerra de información consiste en
centrarse en el diseño de un trabajo flexible.
Diseño para un entorno de incertidumbre
En vez de continuar buscando una bala de plata tecnológica, o de
intentar vanamente lograr una conducta humana libre de errores, se debe modificar el
diseño mismo de la función o del modelo comercial para permitir que la empresa se
desenvuelva en un entorno de riesgo. El primer paso consiste en que el propietario de la
empresa (o el comandante militar) acepte el hecho de que no se puede proteger
completamente a toda empresa que opera en un entorno que incluye la rápida introducción
de tecnología. Tarde o temprano sucederán cosas malas, por accidente o intencionalmente.
El modelo comercial se debería adaptar para que abarque las
vulnerabilidades intrínsecas, desconocidas, que acompañan al uso beneficioso de las
tecnologías de telecomputación. Con este fin, el flujo de trabajo se debe entender con
suficiente detalle para que sea posible describir y medir límites aceptables de la
producción de cada proceso o procedimiento en el flujo de trabajo, que incluye el
comportamiento de los trabajadores en la empresa. (Este método de diseño permitiría que
el administrador o el comandante encaren mejor la amenaza interna. Si hubiera existido un
proceso de administración de configuración bien administrado, alguien se habría visto
obligado a preguntar: "Sr. Ames, por qué está obteniendo datos de ese lugar si no
lo necesita para su tarea?").
Cuando la supervisión detecta que se han alcanzado los límites
aceptables de la producción de trabajo intermedio, los procesos de trabajo automático y
los trabajadores de la empresa deberían "conocer" a qué modo de trabajo
alternativo pueden cambiar hasta que las medidas correctivas permitan regresar al estado
preferido. Esta capacidad de cambiar entre procesos para evitar fallos es la esencia del
trabajo flexible. Si no puede responder con rapidez, la empresa puede sucumbir a un fallo
fatal, no lineal.
Por otra parte, todavía no comprendemos bien el proceso mismo de
diseño de trabajo para poder supervisar su configuración, las herramientas necesarias
para asistir en la administración y control de los procesos de trabajo y los medios para
cambiar dinámicamente entre distintos procesos de trabajo.
Disuasión
El ejecutivo y el comandante militar exitosos del siglo XXI que operen
en un entorno de guerra de información comprenderán lo que pueden conocer sobre la
empresa de la cual son responsables. También comprenderán lo que no pueden conocer
debido a la tecnología utilizada. Con este conocimiento, el ejecutivo estará preparado
para administrar cualquier cambio no deseado en el proceso de trabajo -ya fuera provocado
por fallos, errores o ataques al sistema. Ese ejecutivo garantizará que existan medios
robustos para detectar un cambio en el entorno de trabajo antes de que sea suficientemente
grande como para no poder ser controlado y produzca un fallo en la empresa. La obtención
de este grado de comprensión de las características operativas y las dependencias de la
empresa respecto de la información constituyen la mayor disuasión posible para un ataque
exitoso contra la información de la empresa.
|
