Saludos,

El Uptime Insitute, quienes se definen así mismo como una organización imparcial de asesoría en temas relacionados a la certificación de Centros de Datos (de manera general), publica un manual ejecutivo que titula “Risk Management for IT Infrastructure” (tengo el PDF por si alguien quiere leerlo) . Mientras leía este documento con la intención de preparar esta entrega, sucedió ese mega ataque cibernético (Wannacry) que asoló un número grande de computadores en el mundo.

Para que esta historia de casi ciencia ficción no quedará incompleta, luego del mega ataque se presentó al héroe que frenó el desastre. Adivinaron, el héroe es un adolescente, que vive con sus padres, autoeducado en cuestiones de burlar la seguridad que sus padres ponían a su acceso a internet (parental control), y que ha hecho de él un experto en la materia. El corolario de esta historia es que los Sistemas de Seguridad del Reino Unido han invitado al actor principal de esta historia para que trabaje con ellos, y colorín colorado, esperemos los próximos capítulos de esto que ciertamente es casi un ciber juego tenebroso.

Regresemos al mundo real, al mundo en el que más de 1,000 centros de datos en el mundo han sido auditados y certificados por el Uptime Institute. Las personas de esta organización no la tienen fácil desde que tienen que lidiar con los altos ejecutivos de grandes compañías para decirles qué es lo que están haciendo bien y qué es lo que están haciendo mal, máxime cuando estos ejecutivos forman parte de una elite a la que se le exige casi perfección, y que como parte de ello entreguen resultados positivos, con cifras de crecimiento constante, mismos que se deben reflejar en el valor de las acciones de las organizaciones que los contratan. No es un mundo sencillo para vivir, principalmente porque el tema tecnológico a pesar de que forma parte intrínseca de las operaciones de negocios, los ejecutivos aún lo ven como un costo que hay que mantener bajo control, y no necesariamente, como una inversión estratégica. Hay que decir que dichos ejecutivos tienen en gran parte mucha razón, porque si uno comparta el rendimiento financiero de ese tipo de inversiones, en realidad los resultados históricamente han sido muy pobres, en buena cuenta, debido al avance tecnológico.

El consejo del organismo del que les vengo contado a la comunidad de profesionales TI para frontar ese escenario de alta competencia en los negocios es:  ”Aléjese de su rol de papel de proveedor de servicios centralizado,  y conviértanse en profesionales que con una presencia mejor distribuida en diferente tipo de ambientes de negocios y plataformas tecnológicas. Todo ello con la intención de proveer servicios de sistemas estratégicos para las organizaciones (Corporate Governance) a través de diferentes líneas de negocios, evaluando la seguridad, los costos, el desempeño de las plataformas TI y de los usuarios finales”.

Enmarcado en el consejo anterior, el documento en cuestión describe un tópico interesante que le denomina “Theory of Complex Systems Failures”, hay que tomar en cuenta un término que es el que da sentido a esta teoría “Complex” – Complejo. Resalto dicho término porque la naturaleza de Complejo implica un número de componentes, es decir, un sistema complejo es la reunión de varios diferentes elementos que armónicamente generan una operación. Debido a esa diversidad, la planificación estratégica de la Gestión de Riesgos tiene un sentido más estratégico que el mero hecho de reaccionar a incidentes buscando cuál fue el origen del problema. La prevención, incluso cuando hablamos de Tecnologías de la Información aplicadas en situaciones de negocios, es un factor crítico para el buen desempeño organizacional, operacional y financiero de las compañías.

Uno de los argumentos que más se utiliza para explicar las fallas en sistemas complejos es “Error Humano”, según la teoría a la que me refiero, ese argumento es muy frágil e intenta desviar la atención de lo que realmente ha sucedido, es decir, para que un sistema complejo falle tienen que darse una serie de circunstancias que decantan en una gran falla, o lamentablemente en una tragedia. Los ejemplos que describen dicha situación son de Plantas Nucleares, Líneas Aéreas, Plantas Industriales de Manufactura, etc. Los siguientes son 18 puntos que describen la naturaleza de Sistemas Complejos que habría que tomarlos en cuenta para generar una adecuada estrategia de Gestión de Riesgos:

  1. Los sistemas complejos son intrínsecamente sistemas peligrosos.
  2. Los sistemas complejos están fuerte y exitosamente defendidos contra fallas.
  3. Las catástrofes requieren múltiples fallas, un único punto de falla no es suficiente.
  4. Los sistemas complejos contienen una diversidad de fallas latentes consigo.
  5. Los sistemas complejos tienden a un desgaste de la calidad de sus operaciones.
  6. Las catástrofes siempre están a la vuelta de la esquina.
  7. Buscar la raíz del problema después de un accidente es fundamentalmente un error.
  8. La retrospectiva de lo sucedido desvía las evaluaciones del desempeño del factor humano.
  9. Lo operadores humanos tienen una doble actuación: son los que producen las fallas y los que defienden contra las fallas.
  10. Todas las acciones de práctica son eso mismo, prácticas.
  11. Acciones que se tomen en el lado más peligroso de la operación, resuelven todas las ambigüedades.
  12. Operadores humanos constituyen los elementos adaptables en sistemas complejos.
  13. La experiencia del factor humano dentro de los sistemas complejos esta siempre en constante cambio.
  14. El cambio introduce nuevas formas de fallos.
  15. Mirar la “causa” del problema limita la efectividad de la defensa.
  16. La seguridad es una característica de los sistemas, pero no de sus componentes.
  17. Las personas continuamente crean ambientes seguros.
  18. Un sistema a prueba de fallas requiere experiencia lidiando con fallas. (Cook, 1998)

Cada uno de estos puntos invitan al diálogo y al cruce de ideas, personalmente he podido abrir un poco más la perspectiva, entender mejor ese número de informaciones a los que somos sometidos en cuanto a noticias de Ciber Seguridad, me ha permitido construir una idea de aquello que trato de usar desde mi vida personal, familiar y por extensión profesional: prevención. He podido sumar, o reafirmar, la idea de que las cosas no son únicas sin que tienen relación entre sus componentes, y que encontrar los responsables quitan perspectiva a un esquema de Gestión de Riesgos. Aquello de que la seguridad es una característica de los sistemas, pero no de sus componentes es poderoso. Quiere decir que un elemento por sí mismo genera riesgo, pero enmarcado en un sistema puede colaborar a brindar servicios seguros.

Gracias por leerme.

Lorenzo H. Gómez