Tratar la “ciberincertidumbre”. Parte I
Una de las asignaturas contempladas en mi programa de doctorado “Información, Conocimiento y Documentación” del departamento de Ciencias de la Computación de la UAH, fue la denominada si mal no recuerdo “Tratamiento Computacional De La Incertidumbre”.
Se basó casi al 100% en lógica difusa y había que conocer los detalles del funcionamiento matemático de algunos operadores difusos pero nunca llegué a verle una aplicación real con un resultado satisfactorio, por aquel entonces ya estaba embarcado en proyectos de desarrollo software para la Armada y mi visión del mundo profesional pronto se centró en aspectos más prácticos.
Con el paso de los años sigo igual de intrigado por conocer formas de tratar la incertidumbre, y en las últimas charlas informales con Jorge acaban apareciendo los “unknown unknowns” que el Secretario de Estado para la Defensa de EEUU ya citó en una frase que le costó un premio “Foot in Mouth Award” por ser una de las frases más desconcertantes del año 2002. Os invito a interpretarla.
A día de hoy, siguen proponiéndose métodos para tratar la incertidumbre en materia de ciberseguridad, algunos de ellos son técnicas para realizar un ejercicio introspectivo que ayude a la organización a reducir sus áreas de incertidumbre como la “Ventana de AREM”, presentada este año en la XIII Reunión Española sobre Criptología y Seguridad de la Información, celebrada en Alicante a principios del pasado Septiembre. Este método está basado en otra ventana propuesta por los psicólogos JOseph Luft y HARry Ingham, conocida como la “Ventana de Johari”[1], pero evidentemente ellos no lo aplicaron a la ciberseguridad sino a las relaciones interpersonales.
En el año 2013, Jeimy J. Cano [2], un reconocido profesional de la ciberseguridad propuso un nuevo método basado en la ventana de Johari, a la que llamó la “Ventana de AREM” (Análisis y Riesgos EMergentes). El objetivo de este método es comprender las relaciones de la empresa con su entorno en el ámbito de los riesgos, amenazas y oportunidades. Según su autor, la ventana de AREM debería “mover las reflexiones desde el cuadrante de lo conocido, hacia aquello que es latente, es decir, aquello que no es evidente en el momento, pero que existen condiciones y señales en el ambiente que establecen patrones de actividad, que advierten de una situación que aparece como irrelevante, pero que existen suficientes elementos para tenerla en consideración en los análisis”, dicho de otro modo, abordar esa incertidumbre de una forma metódica.
Como nuestra visión es el enfoque hacia una metodología defensiva desde el punto de vista de la ciberseguridad, en un primer análisis se puede dilucidar que las áreas donde existe desconocimiento “interno” (Amenazas y Riesgos latentes y emergentes) son las más peligrosas y donde otras herramientas están irrumpiendo en el tratamiento de esa incertidumbre. Un ejemplo de herramienta para tratar esa incertidumbre son las Redes de Creencia Bayesiana, y debo reconocer mi debilidad por estos modelos matemáticos que van más allá de una metodología, método, o procedimiento para tratar la incertidumbre. Por desgracia el post es demasiado grande como para publicarlo de golpe, así que el próximo post estará dedicado a las Redes de Bayes.
Referencias
- Luft, J. and Ingham, H. “The Johari window, a graphic model of interpersonal awareness”, Proceedings of the western training laboratory in group development, UCLA, 1955.
- Jeimy J. Cano, “La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre”, http://insecurityit.blogspot.com.es/2013/06/la-ventana-de-arem-una-herramienta.html, 2013.