Ya sea en reuniones de negocios, artículos de prensa o bien en conversaciones cotidianas, he podido notar que cada vez es más recurrente el tema de la seguridad informática. Pareciera que el uso masivo de Internet, las facilidades del comercio electrónico y las nuevas tendencias de compartir información en «la nube» nos obligan a tomar mayor conciencia de los riesgos de seguridad a los que estamos expuestos en nuestro día a día; el simple hecho de existir como entes digitales ya representa un riesgo que debemos evaluar de manera permanente. Por ello, en este espacio quisiera comentarles algunas ideas y datos de lo que hoy es la seguridad y los posibles cambios en las necesidades de seguridad para un futuro que ya no está lejano.

Para el desarrollo de estas ideas utilizaré dos apoyos principales: una referencia etimológica[i] y un estudio realizado en Venezuela respecto al comportamiento humano. Además, y como una libertad literaria, emplearé una esfera de esas en las que se puede ver el futuro, y claro es, que dicha esfera está teñida con el color de mi propia perspectiva.

Iniciemos pues por los orígenes mismos de la palabra seguridad, esta proviene del latín securitas (se-curu-tas) o bien sin-cuidado-andar, claro que, para sin cuidado poder andar, se requiere toda una planeación y establecer mecanismos de control y protección adecuados, en cualquier caso, el ser humano desarrolla muchas actividades y algunas se consideran más sensibles que otras, por ejemplo: puede ser irrelevante para nosotros dar a conocer la marca de refresco que tomamos, pero somos más cuidadosos cuando se trata de divulgar el nombre del banco donde tenemos chequeras o inversiones, ya no se diga el número de la cuenta o la clave de acceso a nuestra cuenta en Internet. Estos datos jamás deberían publicarse en un medio electrónico.

Entrando en materia de lo que hoy en día se considera importante resguardar, tenemos por ejemplo que el acceso a los datos personales en México ya se encuentra regulado por una ley que protege el derecho de las personas para decidir sobre el uso, almacenamiento, transferencia y divulgación de sus datos personales, ya sea que esta información sea entregada a una entidad gubernamental o a una persona o empresa privada, estos no deben compartirlos -nombre, dirección, datos relativos a nuestra salud, familiares y hábitos de consumo- con un tercero sin su aprobación; este es un gran avance en cuanto a normalizar el uso de nuestra información y alrededor de ello existen esfuerzos individuales y corporativos que implican grandes inversiones económicas para su cumplimiento.

En apoyo a lo anterior, encontramos algunos estudios de empresas de consultoría que muestran las tendencias en gastos de las organizaciones:

  • “5% de la utilidad de las empresas se destina a seguridad de la información” – E&Y, publicado en Infochannel el 30 de mayo de 2011.
  • “El mercado del software de seguridad en el 2010 se calculó en $16.5 mil millones de dólares” – Gartner, publicado el 1 de agosto de 2011 por Infochannel
  • “En México la inversión estimada en telecomunicaciones durante el 2010 se calcula en $2.9 mil millones de dólares – COFETEL, Dirección de Información de Estadística de Mercados, actualizado al 9 de agosto de 2010.
  • “En México durante el 2010 el 33.8% de la población es usuario de Internet” – INEGI, encuesta nacional sobre disponibilidad y uso de las tecnologías de información en los hogares 2010, actualizado el 14 de marzo de 2011.

Sin embargo, la pregunta no es si el gasto e inversión para la seguridad va a crecer o a disminuir, tampoco está en duda si tendremos herramientas más rápidas con algoritmos que otorguen mejores capacidades de análisis, la pregunta que definirá hacia dónde enfocar los esfuerzos de seguridad es: ¿Seguirá considerándose prioritario resguardar la misma información que se protege ahora?  Para contestarla, hay que revisar el enfoque del valor percibido de la información, y una forma de hacerlo es desde la perspectiva de los valores personales, que se encuentran directamente relacionados con el tipo de interacciones existentes entre los individuos en la actualidad, y en este caso particular a través de los medios de comunicación informáticos.

El cambio en los valores generacionales se ha estudiado principalmente como una herramienta para lograr una buena interacción en los equipos de trabajo en las empresas, ya que se presenta un fenómeno social donde los “veteranos” siguen ocupando posiciones laborales, en lugar de retirarse, aparte de que el vertiginoso avance en la tecnología ha hecho que las generaciones sean cada vez más cortas; no se comporta igual frente a una computadora alguien que escribía sus tareas en máquina de escribir (aunque haya sido eléctrica) que alguien que hacía sus tareas en Word, simplemente por el cuidado que se debe tener en uno y otro caso o, dicho de otra forma, el costo del error ha tendido a disminuir.

Los estudiosos proponen el término generación como “un grupo de edad que comparten a lo largo de su historia un conjunto de experiencias formativas que los distingue de sus predecesores”. De acuerdo a Nidia Chirinos, investigadora de la Universidad de los Andes, los grupos generacionales mayormente aceptados y que se consideran laboralmente activos son:

  • Veteranos: nacidos antes de 1946, con una edad de más de 66 años.
  • Baby Boomers: nacidos entre 1946 y 1964, entre 48 y 66 años.
  • Generación X: nacidos entre 1961 y 1980, entre 32 y 51 años.
  • Generación Y: nacidos después de 1980, menores de 32 años.

El siguiente cuadro muestra algunos rasgos de personalidad destacados en cada generación a partir de la generación de los Baby Boomers, por considerar que la participación de la generación anterior, los veteranos, es limitada  en cuanto a las tecnologías de información:

 

Generación

Rasgos de personalidad más destacados

 .  
Baby Boomers
  •   Dispuestos   a dar “la milla extra”.
  •   Optimistas.
  •   Conducidos.
  •   Positivos.
  •   Amor/odio   en su relación con la autoridad.
  •   Idealistas.
  •   Quieren   tenerlo todo.
 .  
 .  
Generación X
  •   Ferozmente   independientes.
  •   Orientado   a resultados.
  •   Escéptico.
  •   Pragmático.
  •   Lealtad   a la empresa.
  •   Hemisferio   izquierdo más desarrollado.
  •   Trabajo   como parte del balance en su vida.
 .  
 .  
Generación Y (también   conocida como millenium)
  •   Idealistas.
  •   Buscan   felicidad.
  •   Conexión   24/7.
  •   Trabajo   en equipo.
  •   Pensamiento   social y activo – Respeto por el otro.
  •   Orientados   al logro.
  •   Estructurados.
  •   Búsqueda   de la mejor oferta.
  •   Dinero.
  •   Hemisferio   derecho más desarrollado (creatividad).
  •   Excelente   formación académica.
  •   Actitud   desafiante y retadora.
  •   Entusiasta.

Extracto del cuadro “Guía para identificar arquetipos de generaciones y estructuras de valores”[ii]

.

En términos de seguridad informática estamos viviendo en un marco de políticas, herramientas y modelos definidos y diseñados por aquellos que pertenecemos a la generación X; sin embargo, estos marcos ahora son desafiados por la nueva visión de la generación Y y ciertamente deberán ser adecuados para ellos.

Como un ejemplo muy simple vemos el efecto del manejo de la información en las redes sociales, donde las fronteras entre lo que se puede considerar confidencial y público son muy delgadas y, por tanto, complicado establecer un esquema robusto de seguridad de acceso, simplemente porque el diseño fue pensado para romper las barreras de comunicación, donde se aprecian rasgos como el trabajo en equipo, el pensamiento social y especialmente el idealismo.

La seguridad de la información se basa en tres pilares: la CIA (confidencialidad, integridad y disponibilidad, por sus siglas en inglés); si analizamos cada uno de estos pilares desde la perspectiva de cada generación, podemos intentar inferir, con mi esfera para visualizar el futuro, algunos de los cambios que ocurrirán en los próximos años.

Confidencialidad.

El paradigma de la generación “X” marca que la información es un activo que debe ser protegido por quienes la poseen y se gana el derecho a contar con ella después de demostrar una gran lealtad y manejo consciente de la misma, enfocado a un objetivo determinado, de ahí los modelos de arquitectura de seguridad como Bell-LaPadula, muy utilizado en el ámbito militar, establece tres reglas básicas de seguridad: 1.- Seguridad simple, un sujeto no puede leer información de niveles superiores de autoridad; 2.- Propiedad de estrella, un sujeto no puede escribir o modificar información de niveles inferiores de autoridad; y 3.- Propiedad de estrella reforzada, para poder leer y escribir información esta debe ser del mismo nivel del sujeto que realiza estas actividades.

La generación “Y” percibe la información como un derecho público e inherente al ser humano y en la generalidad considera que el enriquecimiento de la información se logra del trabajo abierto de grupos (de ahí el éxito de la Wikipedia), donde todos los sujetos cuentan con el mismo nivel de autoridad para crear, leer o modificar contenidos, esto pareciera una anarquía del control de la información por ello, y debido al problema que presenta la desinformación para estos modelos colaborativos, ha sido necesario crear auditores o, dicho de otra forma, es necesario censurar la información que contienen estas poderosas herramientas; de aquí se percibe que los modelos de arquitectura de seguridad deberán ser adecuados a esta nueva realidad.

Integridad

La generación X, al ser individuos que suelen poner por encima de sus creencias personales las creencias de las instituciones en las que trabajan, dan la mayor importancia a identificar e implementar controles sobre la “trazabilidad” de la información, por lo cual surge el problema que representa el actual control de bitácoras de información, que en búsqueda de comportamientos anómalos en el acceso a la información — mediante la correlación de los eventos y acciones ejecutadas por los grupos que intentan acceder a ella–, identifican posibles ataques o intentos de modificar o acceder a información de manera ilegítima.

Mientras tanto la generación Y se preocupa más por el valor agregado en sí de la información, no es relevante quién filtra o da a conocer información, sino la información por sí misma, así vemos que wikileaks se percibe más como un servicio público de valor que como una intromisión a la propiedad de la información; esto supone un cambio radical de paradigmas, ya que lo importante se deriva de la veracidad de la información publicada, sin importar que los medios utilizados para obtenerla puedan rayar en la ilegalidad o inclusive generar consecuencias personales, ya que no siempre se logran identificar todos los contextos en los que la información ha sido generada originalmente.

Disponibilidad

En términos de disponibilidad identificamos que la generación X, al haber crecido con mayores limitantes técnicas que se han erradicado conforme el poderío de cómputo avanza,  es más sensible al posible costo asociado a las altas disponibilidades, por lo que puede llegar a considerar inclusive válido la indisponibilidad de la información relacionada a la complejidad técnica de mantener una disponibilidad de “siete por siempre”, y hasta, si es posible, no se comprometerán nunca a una disponibilidad mayor al 99.98%.

Para la generación Y, la disponibilidad esperada es mayor, de ser posible de 100%, y la decisión de otorgamiento de valor se asocia a un menor costo del servicio y a una mayor capacidad para compartir, por lo que la idea de servicios de almacenamiento y aplicaciones en la nube son la solución más lógica a sus necesidades, pese a que se pueda percibir un riesgo asociado a no tener el control total de su información.

Hay que reconocer, por tanto, en lo que se refiere al número de usuarios de servicios de información por rango de edad, que la generación millenium o generación Y, serán los nuevos encargados de determinar el camino que seguirá la seguridad informática, por lo que hay que estar preparado para moverse rápido, proporcionando mejores disponibilidades con nuevos modelos arquitectónicos, inclusive si mucha de la información que hoy es resguardada con mucho celo poco a poco se convierte en dominio público.

Nuestro trabajo como especialistas de seguridad se seguirá centrando en encontrar un buen balance entre el costo y el beneficio de la seguridad, iniciando por entender lo que es realmente importante para las nuevas generaciones a fin de trabajar en hacer más robusta la seguridad en nuevos canales de comunicación. Tener en mente las diferentes formas de pensar de cada una de las generaciones nos acerca a diseñar soluciones adecuadas a las necesidades reales de la nueva generación que va marcando la pauta.

[email protected]

 

[i] etimologias.dechile.net

[ii] Nilda Chirinos, artículo “Características generacionales y los valores. Su impacto en lo laboral” publicado en Observatorio Laboral Revista Venezolana Volumen 2 No.4, 2009.