¿Cómo de Secreto es un Secreto?

Cuando algunos saben algo, y quieren impedir que otros lo sepan, eso es un secreto. Todo el mundo tiene secretos, algunos pequeños, como tomar chocolate sin que nos vea nadie mientras estamos a dieta, mientras que otros son personalmente más importantes, como un embarazoso error personal o profesional del pasado. Hay tantos tipos de secretos como tipos de personas y organizaciones, entre ellos:

  • Secretos personales y familiares, que normalmente están relacionados con la moral y los tabúes de la cultura a la que se pertenece.
  • Secretos comerciales, como información financiera, estrategia, y secretos industriales que le da una ventaja sobre los competidores que no conocen esta información. Este tipo de secretos se pueden perder por ingeniería inversa, y sólo se considera que existan cuando el propietario toma medidas para mantenerlo.
  • Secretos de la fuerzas de seguridad, como métodos de investigación y detalles sobre investigaciones en curso.
  • Secretos criminales, como “insider trading”, crimen organizado y pandillas.
  • Secretos sociales, como algunas religiones o sociedades secretistas como la masonería.
  • Secretos profesionales, como trabajadores sociales, de la salud, o periodistas.
  • Secretos políticos. La mayor parte de los países tienen una Ley de Secretos Oficiales y clasifican la información según el nivel de protección que precise, como por ejemplo:
  1. Diseño de armas y tecnología militar (nuclear, criptografía, camuflaje)
  2. Planes militares.
  3. Posiciones negociadoras diplomáticas.
  4. Fuentes de información, métodos e inteligencia.
  5. Relaciones Internacionales (OTAN, etc), como los acuerdos de la crisis de los misiles Cubanos, el tratado secreto de Dover, el pacto Molotov-Ribbentrop, el Acuerdo Cuatripartito, el pacto de Londres y el acuerdo Sykes-Picot.

Los secretos se guardan por varios motivos como tener una ventaja sobre los que no lo tienen, mantener la privacidad de terceros, dar una sensación de privilegio a los que lo conocen, o evitar se perseguido o avergonzado.

Mantener la privacidad de terceras partes es normalmente visto como una virtud, mientras que algunas profesiones lo tienen como un deber fundamental, que de otro modo pondría en peligro su trabajo. Abogados, médicos, trabajadores sociales y clérigos tienen un deber de confidencialidad. Mantener la privacidad tiene sus límites, como por ejemplo cuando revelar un secreto puede salvar la vida de alguien o prevenir un crimen. Una excepción llamativa son los curas católicos, para los que el secreto de confesión es inviolable. Deben mantener el secreto de confesión incluso bajo amenaza de muerte propia o de otros, sin ninguna excepción.

Los secretos son frecuente fuente de controversia. Por ejemplo, se utilizan para ocultar errores, o comportamientos ilegales, inmorales o simplemente criminales, lo que entra en conflicto directo con el interés público. La mayor parte de los gobiernos intentan ocultar información a la ciudadanía y especialmente a otros gobiernos. Algunas instituciones gubernamentales pueden, por ejemplo, retener información durante más tiempo del que la necesitan oficialmente.

Mientras todos tenemos una forma intuitiva de diferencia pequeños secretos de grandes secretos, hasta ahora no ha habido una forma de medirlo numéricamente.

Utilizando la siguiente formula:

Secreto = Log C*(Sum Tdc / Sum Tc)

Donde C es la cantidad de información, Tc la suma del tiempo durante el que alguien sabe el secreto, Tdc la suma del tiempo durante el que alguien ha querido saber el secreto.

Si tomamos C=1, podemos ver varios ejemplos interesantes:

¿Con quien se fue de fin de semana fogoso la famosa de turno? Si lo saben dos personas desde el 1 de Agosto, 48 más desde el 1 de Septiembre y 100.000 lectores de revistas rosas querrían saberlo, y lo averiguan al cabo de cinco meses, justo antes de que se revele el secreto es:

S = Log ((100.000 * 5) / (2 * 5 + 48 * 4)) = 3,39

Si sólo 8 personas lo hubieran averiguado en Septiembre, el secreto sería S = 4,04

¿Quién mató a Kennedy? Si suponemos que dos personas lo saben desde 1963m y que 300 milloneses de estadounidenses querrían saberlo, tras 44 años:

S = Log( 300 millones * 44 / 2 * 44 ) = 8,1

¿Quién era Garganta Profunda? Justo antes de que se revelase, lo sabían 4 personas, y al menos 300 millones estaban interesadas. Tras 33 años:

S = Log( 300 millones * 33 / 4 * 33 ) = 7,8

¿Y si lo hubieran averiguado dos personas más tras 30 años?

S = Log( 300 millones * 33 / (4 * 33 + 2 * 30) ) = 6,7

En una empresa, un secreto puede ser importante por unos pocos años, y todos los competidores pueden estar interesados en conocerlo. Si 10 personas de la empresa lo saben durante un años, y ciento cincuenta de otras empresas querrían saberlo:

S = Log( 150 * 1 / (10 * 1) ) = 1,17

Si al cabo de dos años el mercado es más competitivo y hay más gente que querría saberlo (1500):

Secret = Log (1500 * 1 / (10 * 1) ) = 2,17

Para los ejemplo, utilizaré los siguiente grupos para medir secretos:

  • Familia 10
  • Entornos social 100
  • Institutito 300
  • Compentencia 300
  • Banda 50
  • Policía 100000
  • Ejército 1000000
  • Población de un país 30000000
  • Ejércitos extranjeros 15000000

Aplicando la fórmula, los siguientes valores aproximados pueden servir como ejemplos de medidas de secreto:

  • Un secreto social, como una confidencia de un amigo o una coartada acerca de donde has dormido, 0,70
  • Señales secretas de una banda, 0,95
  • Ocultar un accidente, como romper algo, 1,00
  • Mantener la privacidad de otros, como una confesión, o la situación social de alguien, 1,00
  • Mantener la privacidad de un ciudadano medio, como por ejemplo la lista de videos que alquila o los libros que lee, 1,04
  • Engañar a tu mujer o marido, 1,44
  • Secretos de la Masonería, Cienciología, or Mirraismo, 1,48
  • Un secreto industrial normal, 2,18
  • Un error o mal comportamiento de un político 2,40
  • Secretos de la Mafia, Yazuka o “Insider Trading”, 3,30
  • Mantener la privacidad de un político como la lista de libros que lee, o películas que alquila, 3,48
  • La identidad de un testigo protegido en un caso penal, 5,70
  • Una fuente periodística, 5,78
  • La fórmula de la Coca Cola, 6
  • Corrupción, uso fraudulento de fondos públicos 7,57
  • Armas nucleares, técnicas avanzadas de análisis criptográfico, 8,00

Los misterios son secretos no conocidos por nadie, como los descubiertos por Champollion cuando descifró los jerogíficos egipcios tiene S=infinito.

La ignorancia sobre la existencia de un secreto, lo hace menos secreto, dado que el interés por averiguarlo es menos, y el esfuerzo para mantenerlo secreto puede ser menor. Por desgracia es muy difícil estimar el número de personas interesadas en un secreto, de modo que la precisión no será normalmente muy alta. Esta forma de medir secretos puede llevar a algunos ejercicios interesantes, como por ejemplo añadir un factor que mida el grado de interés por el secreto como complemento al número de personas interesadas por el secreto, o analizar la difusión de un secreto en un grupo dependiendo de la probabilidad de que cada miembro del grupo lo revele.

Los profesionales de seguridad tienen que trabajar a diario con secretos, dado que uno de los incidentes que más preocupa a los usuarios es su revelación. Normalmente las medidas técnicas utilizadas para mantener secretos son el control de acceso y el uso de criptografía. Las medidas de naturaleza organizativa suelen ser la firma de compromisos de confidencialidad, y clasificaciones personales de acceso a secretos clasificados, aunque también suele ser precisa cumplir con la condición de justificar la necesidad del conocimiento para acceder a secretos clasificados.

Una de las acepciones más usadas de “confidencialidad” es “mantener los secretos”. El factor humano es el principal factor que limita lo que la tecnología puede conseguir en lo referente a mantener secretos, siendo DLP una tecnología reciente que intenta superar las limitaciones existentes. Aquellos en los que se confía para que conozcan el secreto pueden copiar y transmitir con mucha facilidad la información, por lo que la selección de estas personas es probablemente el factor que más incide a la hora de mantener los secretos como tales. Clasificar secretos es complicado, debido a que hay varios requerimientos que entran en conflicto. Un número pequeño de categorías es fácil de comprender y gestionar, pero la clasificación puede ser poco estricta. Por el contrario, si el número de categorías es grande, la clasificación será más flexible y granular, pero puede ser difícil clasificar y la gestión puede ser costosa.

El impacto de los secretos en una organización puede ser serio, dado que un esfuerzo serio normalmente implica utilizar zonas físicas y redes separadas para manejarlos, crear procedimientos detallados para conceder acceso, utilizar sistemas especialmente configurados para prevenir la fuga de información, y realizar una comprobación exhaustiva de aquellas nuevas personas a las que se vayan a confiar secretos importantes.

Las consecuencias de revelar secretos pueden ser graves. Para una empresa pueden significar el fin de una ventaja competitiva, o el fracaso de acuerdos importantes, como fusiones, o puede implicar un cambio drástico de su valor en bolsa. Las empresas tiene un deber de mantener la privacidad de sus clientes, y la revelación de información privada puede llevar a multas muy onerosas.

Mediante la medición de secretos podemos entender mejor como de secreta es la información que manejamos, y qué tipo de medidas tomar para mantenerla secreta. Para entender mejor los motivos para mantener un secreto y la influencia del paso del tiempo, del interés y cantidad de personas qiue conocen el secreto puede dar pistas acerca de cómo gestionarlo. Hay dos conclusiones fácilmente deducibles de la fórmula:
1. Impedir que otros conozcan la existencia del secreto hace más fácil mantenerlo.
2. Mantener el grupo de personas que conocen el secreto tan pequeño como sea posible previene fugas con mayor efectividad que cualquier medida de tipo técnico.

Entender con claridad el tipo de secretos en una organización, como de secretos puede estimarse que sea y el impacto de que sean revelados es el primer paso para establecer una protección de secreto eficaz y de un coste proporcionado.

 

Pages