SUN TZU: ESTRATEGIAS PARA LA SEGURIDAD DE LA INFORMACION CAPITULO 2
Trabajo de Master Direccion estratégica de TI – Guido Rosales, escrito el 2010.
Sin embargo las estrategias de ataque y defensa, inteligencia, posicionamiento, etc. Perduran. Cambian los instrumentos pero la Estrategia se mantiene.
Puede descargar el trabajo completo en:
http://www.criptored.upm.es/guiateoria/gt_m526a.htm
O desde el mismo sitio de Yanapti Libro Sun Tzu Estregias de Seguridad
Los Modelos DE ESTRATEGIAS DE LA GUERRA Actuales
“La seguridad es una necesidad básica. Estando interesada en la prevención de la vida y las posesiones, es tan antigua como ella”[1]
El objetivo general comprende la implementación de seguridad de la información. Es decir, caminar por un sendero que esté protegido contra las amenazas sobre la información de la empresa y sobre los recursos que apoyan el logro de sus objetivos.
Para poder determinar qué modelo es adecuado se debe analizar los modelos existentes, además del tipo de ruta o finalidad que tenemos para poder seleccionar de mejor manera el modelo adecuado.
Para esto se analizará:
- Modelos internacionales
- Rutas internacionales y nacionales
2.1 Modelos Internacionales
2.1.1 Historia De La Planificación Estratégica
El Principe (Maquiavelo)[2],
Quizás tras la lectura de esta página pueda usted pensar que lo que llamamos “maquiavélico” es en realidad un profundo conocimiento psicológico del ser humano y un gran sentido común. Le resultará útil en muchas ocasiones y hasta entenderá a los políticos…
Estrategias del Lado Oscuro[3]
Qué piensan y cómo actúan los satanistas. Verá que no son tan raros ni tienen rabo y cuernos, generalmente tienen y gran sentido común además de un gran realismo.
Del autor de la famosa sentencia “la guerra es la continuación de la política por otros medios”. Su pensamiento militar está en vigor en todo el mundo. Descubrirá que no tiene desperdicio. Como todos los enlaces de estas páginas, también se puede aplicar a todas las situaciones de su vida.
Napoleón Bonaparte (1769-1821)
Emperador de los franceses (1804-1815) que consolidó e instituyó muchas de las reformas de la Revolución Francesa. Asimismo, fue uno de los más grandes militares de todos los tiempos, conquistó la mayor parte de Europa e intentó modernizar las naciones en las que gobernó.
El Arte de la Prudencia (Baltasar Gracián) [4]
Contemporáneo de Maquiavelo, jesuita y curtido cortesano. Manual en el que encontrará cómo enfrentarse a cualquier situación.
20 Reglas para el juego del Poder [5]
Le guste o no le guste, todas las relaciones humanas se basan en un juego de poder. Cuanto mejor lo domine, más feliz será, y por lo tanto, más feliz podrá hacer a los demás. Si juega mal o se niega a jugar, en el mejor de los casos, su vida discurrirá con menos suavidad.
Carta de un fraile retirado de la Corte a su sobrino que en ésta quiere medrar. Lo primero que debes saber es que la política consiste en el arte de buscarse problemas, diagnosticarlos incorrectamente, aplicar las soluciones indebidas y encontrar luego a quien culpar del entuerto…
Escrito con la experiencia de 5.000 años de guerras, conspiraciones, golpes de estado.
El Arte de la Guerra (Sun Tzu) [8]
El mejor libro de estrategia de todos los tiempos. Inspiró a Napoleón, Maquiavelo Mao Tse Tung y muchas más figuras históricas. VALIDO PARA CUALQUIER SITUACION. “La mejor victoria es vencer sin combatir”.
¿Por qué el libro “The Art of War” de Sun Tzu, escrito hace aproximadamente veintisiete siglos, es importante para los esfuerzos de las organizaciones en protegerse eficazmente contra las amenazas en seguridad informática? Si una organización siguiera el concepto de Sun Tzu –que uno necesita conocerse a sí mismo tanto como al enemigo para tener éxito. La idea resultante nos permitiría centrar más nuestra preparación en seguridad informática en las amenazas factibles que en tener una estrategia reactiva. Los resultados de la Encuesta Global de Seguridad de la Información 2006 de Ernst & Young [9] indican que muchas organizaciones ni se conocen a sí mismas como debieran ni conocen al enemigo, por lo que tienen una visión sesgada de las amenazas existentes.
El Arte de la Guerra II (Sun Bin)
Sun Bin, descendiente directo Sun Tzu lo escribió un siglo después. Se puede considerar una continuación del Arte de la Guerra, ya que lo complementa.
El Libro de los Cinco Anillos (Miyamoto Musashi)[10]
EL ARTE JAPONES DE LA GUERRA, le ayudará a comprender el éxito de Japón. El autor fue un samurai que venció en duelo a muerte a más de cincuenta enemigos, por lo que se deduce que sabe lo que escribe por propia experiencia.
El Libro de los Cinco Anillos es uno de los textos más importantes sobre la lucha y la estrategia surgido de la cultura guerrera japonesa. Escrito originalmente no sólo para los hombres de armas, pretende explícitamente simbolizar procesos de lucha y de maestría en todos los campos en intereses de la vida.
El Libro de los Cinco Anillos fue escrito en 1643 por Miyamoto Musashi, duelista invicto, samurai sin señor y maestro independiente. Musashi fue un hombre de armas profesional nacido en una larga tradición de cultura marcial que al final llegó a dominar la totalidad de la política y de la sociedad japonesas. Sus intuiciones son relevantes, no sólo para los miembros de la casta militar gobernante, sino también para los dirigentes de otras profesiones, así como para las personas en búsqueda de la maestría individual en cualquier camino de la vida que escojan.
Titulado con más propiedad El Libro de las Cinco Esferas, la obra de Miyamoto Musashi está dedicada a la guerra como una empresa puramente pragmática. Musashi censura la teatralidad vacía y la comercialización de las artes marciales, centrando la atención en la psicología y los movimientos físicos del asalto letal y de la victoria decisiva como esencia de la guerra. Su enfoque científicamente agresivo y absolutamente rudo de la ciencia militar, aunque no es universal entre los practicantes de artes marciales japonesas, representa una caracterización altamente concentrada de un tipo particular de guerreros samuráis.
Mao Tse Tung (Estrategia y Táctica) [11]
Mitad poeta y mitad soldado revolucionario, con sus originales estrategias venció a los japoneses y posteriormente la guerra civil en China. Su sabiduría se puede aplicar a cualquier conflicto, no necesariamente armado.
2.1.2 La Planificación Estratégica Moderna[12]
El significado del término estrategia, proviene de la palabra griega Strategos, jefes de ejército; tradicionalmente utilizada en el terreno de las operaciones guerreras.
El uso del término estrategia en gestión significa mucho más que las acepciones militares del mismo. Para los militares, la estrategia es sencillamente la ciencia y el arte de emplear la fuerza armada de una nación para conseguir fines determinados por sus dirigentes.
La estrategia en dirección es un término difícil de definir y muy pocos autores coinciden en el significado de la estrategia. Pero la definición de estrategia surge de la necesidad de contar con ella.
Las dos últimas décadas fueron mucho más controvertidas que los tiempos anteriores. Las transformaciones que se operan tanto sociales como tecnológicas, políticas y fundamentalmente las económicas, nos afirman que en este planeta debe existir novedad, individualidades, diversidad y transitoriedad.
Estos cambios pudieran encontrar límites en el espíritu creativo y la capacidad de innovar de los seres humanos, de la empresa; y, esto está indisolublemente vinculado a la estrategia trazada. La estrategia es descubrir, no programar, es guiar, no controlar. Es liderar las ideas.
Por estrategia básicamente se entiende la posición transformadora que permite la adaptación de los recursos y habilidades de la organización al entorno agresivo e inestable, aprovechando oportunidades, atenuando el efecto de las amenazas y evaluando riesgos en función de objetivos y resultados.
Recurrimos a la estrategia en disímiles situaciones tanto favorables como inciertas; es decir, en aquellas situaciones donde hay competidores cuyo comportamiento no podemos pronosticar.
Tener un propósito estratégico implica tener una visión sobre el futuro, debe permitir orientar, descubrir, explorar. El sentido de la orientación debe responder a estas interrogantes:
- ¿Qué empresa queremos ser?
- ¿A dónde queremos llegar?
A continuación ofrecemos una breve panorámica de cómo evoluciona este concepto partiendo de las consideraciones de los principales gurús de la época.
Fue uno de los primeros en mencionar el término estrategia en la administración. Para él, estrategia de la organización era la respuesta a dos preguntas:
- ¿Qué es nuestro negocio?
- ¿Qué debería ser?
Define a la estrategia como la determinación de metas y objetivos básicos a largo plazo de la empresa, la adición de los cursos de acción y la asignación de recursos necesarios para lograr dichas metas. Para él, la estructura sigue a la estrategia. Su interés estaba puesto en el estudio de la relación entre la forma que las empresas seguían en su crecimiento (sus estrategias) y el diseño de la organización (su estructura) planeado para poder ser administrada en su crecimiento.
Combina las ideas de Drucker y Chandler en su definición de estrategia. La estrategia es el patrón de los objetivos, propósitos o metas y las políticas y planes esenciales para conseguir dichas metas, establecida de tal modo que definan en qué clase de negocio la empresa está o quiere estar y qué clase de empresa es o quiere ser.
La estrategia es el lazo común entre las actividades de la organización y las relaciones producto-mercado tal que definan la esencia naturaleza de los negocios en que está la organización y los negocios que la organización planea para el futuro.
“El programa general para definir y alcanzar los objetivos de la organización; la respuesta de la organización a su entorno en el transcurso del tiempo“.
“La estrategia competitiva consiste en desarrollar una amplia fórmula de cómo la empresa va a competir, cuáles deben ser sus objetivos y qué políticas serán necesarias para alcanzar tales objetivos”.
2.1.3 La Seguridad de la Información
La década de los 90 se ha caracterizado por el surgimiento de políticas, normas y estándares tanto de carácter limitado a un país como de carácter internacional. Por ejemplo la famosa colección Arco iris del gobierno americano que por espacio de casi 10 años ha definido el nivel de seguridad informática, la norma británica BS7799 predecesora de la conocida familia 27000, la NB/ISO 17799 ahora ISO / IEC 27002. También podemos incluir en esta historia el surgimiento de una metodología de administración y control que se considera en muchos países como un estándar de facto, la metodología COBIT que también tiene sus inicios en la primera mitad de la década de los 90.
Estos estándares han evolucionado y se han especializado. Hoy en día tenemos entre los más utilizados y difundidos:
Estándar australiano neozelandés considerado como base para la Gestión de Riesgos. La mayoría de estándares toman las fases y estructuras que fueron definidas en este estándar desde su primera versión para temas referidos a Gestión de Riesgos.
System Security Engineering Capability Maturity Model (SSE CMM) ó ISO/IEC 21827, provee una vista estructurada de las prácticas ingenieriles de seguridad de sistemas. El SSE – CMM provee un entorno para las prácticas de ingeniería que cubren todo el ciclo de vida desde el desarrollo, operación y actividades de mantenimiento. También está orientado a todo el negocio, cubre proyectos, actividades de organización y seguridad.
Promulgada a raíz de los escándalos financieros o fraudes como ENRON, Worldcom y otros en USA, obliga a todas las empresas a transparentar su administración financiera, sobre todo cuando cotizan en Bolsa. Deben disponer su información en forma transparente a sus accionistas.
Es una ley que protege la información personal en las manos de organizaciones del sector privado y propone pautas para la recolección, uso e intercambio de esa información en el curso de las actividades comerciales. El Acta, basado en diez principios desarrollados por la Asociación de las Normas canadienses, es vigilado por la comisión de privacidad de Canadá y la Corte Federal.
Exige la privacidad y protección de los registros de los clientes de las instituciones financieras. Específicamente exige que las compañías de servicios financieros establezcan “protección administrativa, técnica y física”. Aunque algunos detalles más específicos varían de un organismo regulador a otro, la mayoría de las instituciones supervisoras de entidades financieras han adoptado las Pautas de los interorganismos para el establecimiento de normas que protejan la información de los clientes.
HIPAA es la Ley de Portabilidad y Responsabilidad del Seguro Médico, una ley federal que protege la privacidad de la información personal y de salud de un paciente, provee seguridad física y electrónica de información personal y de salud.
La Directiva requiere que cada nación miembro de la Unión Europea cumpla la legislación que requiere controles de confidencialidad e integridad para las redes, sistemas y datos que contengan información personal. La Directiva de la UE de protección de la información explícitamente incluye información personal de los empleados, además de la información de los clientes. Específicamente, toda la información personal que se reúne debe estar protegida contra la destrucción, pérdida, alteración y divulgación o acceso no autorizado accidentales o ilegales.
Ofrece orientación sobre el cálculo de los riesgos (de crédito, de mercado y operativos) de un banco. Aunque no menciona directamente el componente de la seguridad de la información, el cálculo de riesgos requiere la identificación, evaluación y administración de riesgos que afronta una organización. Cuando se trata de riesgos operativos, es imposible ignorar los riesgos que se derivan de las amenazas a la seguridad y la posibilidad de los fracasos en el entorno de controles de la seguridad.
Un conjunto de controles basados en prácticas recomendadas en seguridad de la información; Estándar internacional que cubre todos los aspectos de la seguridad informática: Equipos, Políticas de gestión, Recursos humanos y Aspectos jurídicos. Este estándar es sucesor del estándar Británico BS-7799 y ahora predecesor del estándar ISO /IEC 27002. Se toma la denominación anterior por cuanto se renombró en junio del 2007 y no está aún muy difundido.
Desarrollado por ISSA – Information System Security Association. Sucesor del proyecto GASSP (Principios Generalmente Aceptados de Seguridad de Sistemas) 1992. Comprende un conjunto de principios rectores o dominantes y un conjunto de normas funcionales que desarrollan a detalle los principios de seguridad tales como la proporcionalidad de los controles con los activos, la integración con el negocio, la oportunidad de los controles, la equidad, la valoración y otros que en sus diferentes niveles cubren la expectativa de seguridad a nivel negocio.
OSSTMM Manual de la Metodología Abierta de Testeo de Seguridad. Permite definir el nivel o estado en el que se encuentra el sistema de gestión de seguridad de la información en el negocio. Importante que la metodología esta basada en un principio de plataformas libres.
Generada por la Asociación para la auditoria y control de sistemas de información – ISACA. Propone un conjunto de objetivos de control organizados en dominios, procesos y tareas.
2.3 Las Estrategias Militares Históricas
Desde el inicio mismo de la humanidad siempre han existido aspectos tanto físicos como materiales que el hombre ha protegido. Se ha protegido la tierra, la gente, los recursos naturales, las ideas, y muchas otras cosas. Esta necesidad de proteger lo que es considerado valioso ha dado lugar a la formación de ejércitos, grupos especializados en la seguridad y protección, ha dado lugar a las batallas, guerras y actos bélicos de diferente escala.
El hombre ha invertido gran cantidad de su tiempo en desarrollar ideas, estrategias de cómo proteger por un lado; y, por otro, de cómo obtener lo que otro hombre esta protegiendo.
La historia cita entre los más destacados hombres interesados en esta lucha de obtener o proteger:
- Sun Tzu – Estratega Chino, a quien se debe la joya literaria “El arte de la Guerra”
- Alejandro Magno[13] – Alejandro III de Macedonia, llamado el Grande (Alejandro Magno; en griego Μέγας Αλέξανδρος, transliterado como Megas Alexandros [1]; Pella, 21 de julio de 356 AdC – Babilonia, 13 de junio de 323 adC[2]), rey de Macedonia desde 336 AdC hasta su muerte. Es considerado uno de los líderes militares más importantes de la Historia, por su conquista del Imperio Aqueménida.
- Atila[14] – Generalísimo de los Hunos, (nacido hacia el 406 y muerto en el 453) fue el último y más poderoso líder de los hunos. Gobernó el mayor imperio europeo de su tiempo desde el 434 hasta su muerte. Sus posesiones se extendían desde Europa Central hasta el Mar Negro, y desde el Danubio hasta el Báltico.
- Cayo Julio César[15]. En latín Gaius Iulius Caesar (IMP·CAIVS·IVLIVS·CAESAR·DIVVS) (13 de julio o 12 de julio, 100 AdC – 15 de marzo, 44 AdC) fue un líder militar y político de la etapa final de la República de Roma. Sus conquistas en la Galia extendieron el dominio romano hasta el Océano Atlántico: un hecho cuyas consecuencias directas son visibles todavía hoy día. En el 55 AdC César se lanzó a la primera invasión de Britania por parte de los romanos.
César luchó y ganó una guerra civil contra la facción conservadora del senado romano, cuyo líder era Pompeyo. Después de la derrota de los optimates, se convirtió en dictador vitalicio (en el concepto romano del término) e inició una serie de reformas administrativas y económicas en Roma.
- Napoleón Bonaparte[16] – (Ajaccio, 15 de agosto de 1769 – Santa Helena, 5 de mayo de 1821), militar y estadista francés, general republicano durante la Revolución, artífice del golpe de Estado del 18 de Brumario que le convirtió en gobernante de Francia como Primer Cónsul (Premier Cónsul) de la República del 11 de noviembre de 1799 al 18 de mayo de 1804, para convertirse posteriormente en Emperador de los Franceses (Empereur de Français) desde el 18 de mayo de 1804 al 6 de abril de 1814 y nuevamente por un breve lapso desde el 20 de marzo hasta el 22 de junio de 1815.
- Adolf Hitler[17] – Adolf Hitler (20 de abril de 1889 en Braunau am Inn, Austria – 30 de abril de 1945 en Berlín) fue un militar y político alemán de origen austríaco que estableció un régimen nacionalsocialista en el que recibió el título de Reichskanzler (canciller imperial) y Führer (caudillo, líder o guía). Como jefe del Partido Nacional Socialista Alemán de los Trabajadores (Nationalsozialistische Deutsche Arbeiterpartei o NSDAP), dirigió el gobierno del país de 1933 a 1945, período en el que ocupó sucesivamente los cargos de canciller, jefe de Gobierno y jefe de Estado.
El final de la segunda guerra mundial, precisamente con la derrota del poder alemán, constituye un momento histórico de gran trascendencia en la lucha por el dominio en el espacio digital. Si bien la protección y ataque a las comunicaciones y posteriormente a las telecomunicaciones tiene raíces históricas tan antiguas como las guerras mismas, es durante la segunda guerra mundial que el dominio por el espacio de las comunicaciones queda completamente demostrado mediante la interceptación de señales cifradas con Enigma.
Es en este momento, por ejemplo, que la criptografía —Ciencia de ocultar lo visible para que no sea conocido por extraños—, se hace parte indivisible de las estrategias tanto de ataque como defensa. Este momento histórico está marcado por Enigma, la maquina de encriptar alemana y los equipos de decodificación implementados por los aliados.
Las Cuatro Generaciones comenzaron con el Acuerdo de Paz de Westfalia en 1648, el tratado que puso fin a una Guerra de Treinta Años. En este tratado el estado estableció el monopolio sobre la guerra. Anteriormente, una variedad de entes habían combatido en las guerras —familias, tribus, religiones, ciudades, empresas comerciales— empleando muchos métodos.
Posterior a la Segunda guerra mundial y considerando la teoría de 4G2 – 4 generaciones de guerras donde se habla de:
Primera Generación– Guerras Napoleónicas, caracterizadas por el despliegue masivo de tropas, infantería y caballería, avance lineal y en columnas.
Segunda Generación– Primera guerra mundial, donde la característica la impone el poderío de las armas de largo alcance la artillería y la sincronización con la infantería. La artillería conquista y la infantería ocupa.
Tercera Generación – Segunda Guerra Mundial, con la inserción de elementos como la aviación, los submarinos, la “blitzkrieg” de Hitler donde el orden militar ha sido cambiado por el poder de las iniciativas. Se define el objetivo pero no el método. La guerra ya no es lineal. El lema es sobrepasar y derrumbar. Se puede considerar similar a la guerra de guerrillas.
Cuarta Generación[18] – La guerra en la retaguardia del enemigo. El terrorismo y la guerra de la información. En esta generación se observa la caducidad del Acuerdo de Paz de Westfalia en 1648, perdiendo el estado el monopolio de las Guerras y volviendo a guerras contra fuerzas irregulares, terroristas, insurgentes, revolucionarios, narcotraficantes y otros grupos. Se vuelve a las guerras culturales y religiosas. Se habla de invasiones pacificas por inmigrantes como un alto riesgo de estado. Se destaca el nacionalismo y orgullo como factores detonantes.
Esta teoría, por ejemplo, y sobre todo la aparición e intensiva difusión de nuevas tecnologías —Internet y dispositivos de computación de uso múltiple— han dado lugar a un nuevo campo de batalla en lo que se ha denominado hoy en día Guerra virtual, Guerra digital, o guerra de los bits.
La computación ya no es dominio exclusivo del sector militar, gubernamental o empresarial. Se la esta canalizando de manera directa hacia las manos de individuos muy creativos, en todos los niveles de la sociedad[19].
[1] Presentación del Libro “Seguridad una introducción”. Dr. Manunta, Giovanni, Consultor y Profesor de Seguridad en Cranfield University. http://www.seguridadcorporativa.org/
[2] Fuente: http://www.personal.able.es/cm.perez/maquiavelo.htm
[3] Fuente: http://www.personal.able.es/cm.perez/satan.htm
[4] Fuente: http://www.personal.able.es/cm.perez/prudencia.htm
[5] Fuente: http://www.personal.able.es/cm.perez/artepoder.htm
[6] Fuente: http://www.personal.able.es/cm.perez/aprendizdecortesano.htm
[7] http://www.personal.able.es/cm.perez/36estrategias.htm
[8] Fuente: MARC MARTÍNEZ, Director Technology and Security Risk. Services (TSRS) ERNST & YOUNG \\http:www.es.ey.com
[9] Fuente: http://www.ey.com/Global/
[10] Fuente: http://www.personal.able.es/cm.perez/
[11] Fuente: http://www.es.wikipedia.org/wiki/Mao_Zedong
[12] Fuente: Material del programa de Maestría en Planificación Estratégica de TI. Modulo Dirección y Planificación Estratégica.
[13] Fuente: http://es.wikipedia.org/wiki/Alejandro_Magno
[14] Fuente: http://es.wikipedia.org/wiki/Atila
[15] Fuente: http://es.wikipedia.org/wiki/Cayo_Julio_Cesar_(desambiguacion)
[16] Fuente: http://es.wikipedia.org/wiki/Napoleon
[17] Fuente: http://es.wikipedia.org/wiki/Hitler
[18] Fuente: extracto del informe titulado «Preserving America’s Privacy and Security in the Next Century: a Strategy for America in Cyberspace», dirigido al Presidente de los EE.UU. de 1999. La versión íntegra en inglés puede encontrarse en http://www.pub.whitehouse.gov/
[19] Fuente: Negroponte Nicolas (1998, p.89)