lunes, 20 de marzo de 2017

Riesgos y seguridad de la información. Una lectura desde las ciencias sociales y las reflexiones sistémicas

Introducción
Por más de cincuenta años se han explorado respuestas al reto de la protección de la información desde la perspectiva técnica, técnico-social, matemático formal, entre otras, las cuales han ofrecido vistas particularmente interesantes, motivando reflexiones que han sido capitalizadas en productos o servicios que hoy son parte integral de las prácticas de las organizaciones modernas.

Este ejercicio de la protección de la información, demanda no sólo el conocimiento claro de los comportamientos de los individuos y sus prácticas, sino el reconocimiento de su perfil de riesgos, del entendimiento de los inciertos, ambigüedad, complejidad e historia personal que subyace en la experiencia de las personas, como quiera que es allí donde la acción final de control o aseguramiento tiene el asidero de la práctica que se tiene.

Bajo este entendimiento, se hace necesario recurrir a las ciencias sociales y las reflexiones sistémicas, para abordar la realidad del riesgo, desde un observador externo que reconoce un entorno y la dinámica de las relaciones que las personas establecen frente a la experiencia de lo incierto e inestable, así como desde un observador interno, que asume la complejidad del entorno y las decisiones que debe tomar un individuo en el ejercicio de superar una situación ambigua o contradictoria.

Así las cosas, establecer un marco de protección de la información basado en riesgos, demanda una lectura de doble vía desde el entorno al individuo y viceversa, de tal forma que se pueda balancear las exigencias propias de la dinámica de la persona frente a un entorno inestable, con el fin de que tome las decisiones necesarias y suficientes para estar concentrado en lo que puede ser y no, en lo que no ha sucedido (Carmen, 2015), y así superar el dilema de control (Espejo y Reyes, 2016) que se plantea cuando no tiene la variedad suficiente para dar cuenta de la acción que debe tomar.

Proteger la información en el escenario de un mundo volátil, incierto, complejo y ambiguo, donde cada vez hay menos oportunidad para mantener secretos o información confidencial, implica explorar no solamente las buenas prácticas actuales y estándares de la industria, sino recabar en el imaginario de las personas y sus percepciones particulares de los riesgos frente a la información, como una forma de revelar la esencia de las decisiones que ellas toman para salvaguardarla.

En este contexto, la contraposición entre riesgo y seguridad, establece una vista complementaria que no busca opacar o resaltar alguna de ellas, sino explorar los puntos de conexión existentes en el escenario particular de las decisiones de las personas frente al tratamiento de la información y cómo en este reto de comprensión de relaciones circulares, es posible establecer un marco de acción que oriente a los individuos para superar la esencia misma de la venta de los temas de seguridad basado en el miedo, las dudas y la incertidumbre.

Por tanto, este documento explora un marco conceptual de tratamiento de la información fundamentada en las ciencias sociales y las perspectivas sistémicas, que conecte la realidad del riesgo con los retos de las seguridad y control, de tal forma que ofrezca orientaciones de actuación para los individuos con el fin de habilitar una toma de decisiones situada, aún en escenarios inciertos, complejos y ambiguos.

Recreando el concepto de riesgo. Una revisión desde los estudios sociales
El estudio del riesgo en el escenario de la protección de la información se ha conceptualizado con una vista negativa, como toda situación o acción contraria que puede comprometer alguna de las características claves de la seguridad de la información: confidencialidad, integridad y disponibilidad, generando impacto adverso sobre los intereses personales o empresariales que representa ese particular conjunto de datos procesados.

Basado en este entendimiento, las personas y las organizaciones crearon un imaginario de prevención y advertencia sobre esas situaciones, los cuales hicieron carrera con marcada velocidad en las prácticas de seguridad y control donde el control de acceso, se configura como la práctica de restricción natural para determinar quiénes pueden o no tener conocimiento de una información particular. Estas restricciones responden a declaraciones de los dueños de la información quienes definen como base la tupla: usuario, acción, objeto, que delinea quién puede acceder, bajo que acción: lectura, escritura, modificación y finalmente el componente autorizado a ser afectado: archivo, base de datos, registro, etc.

La violación de las reglas definidas por el control acceso, establecen un atentado directo a la protección de la información, como quiera que cada regla definida corresponde a una forma de disminuir el incierto sobre condiciones claves que se deben cuidar sobre una información específica, lo que en últimas, custodia un interés particular de la organización respecto de los impactos de su revelación o exposición fuera de los límites definidos por la empresa.

Cuando leemos el riesgo desde la orilla de los científicos sociales comprendemos que esta realidad es dependiente del contexto de las personas, cuya valoración positiva o negativa, estará mediada por la experiencia particular de un individuo o conjunto de personas, con el fin de tomar las acciones más adecuadas al medio donde se encuentran (Luhmann, 2006). En este sentido, la historia de la persona, la ambigüedad, la incertidumbre y la complejidad definen el marco general donde el individuo configura su nivel de exposición para establecer que tan tranquilo o inquieto se puede sentir respecto de una situación particular.

La certeza es un estado mental subjetivo (López-Barajas, 2009), que está cimentado sobre conocimientos y experiencias previas, que fundan la forma como una persona entiende una situación particular con el fin de adjudicarle un calificativo de exposición o no, el cual por lo general se encuentra asociado con una brecha de información y saber. Mientras esta brecha sea mayor, mayor será su percepción de incierto e incapacidad de manejar con lo que conoce, creando un dilema de control respecto de su flexibilidad para enfrentar la situación bajo evaluación.

En este escenario, la protección de la información no sólo deberá estar asociado con un mecanismo de control de acceso, que busca disminuir o superar el dilema de control (Espejo y Reyes, 2016), sino con el contexto donde opera la persona, comprendiendo la situación que supera sus saberes y las variables del entorno que generan ambigüedad e incertidumbre para tomar la decisión que se requiere.

Alineando el contexto con las prácticas de seguridad y control
Si bien es claro que por lo general las personas son responsables por el manejo de tareas que son inherentemente más complejas que su propia capacidad para distinguir y actuar, esto es lo que hace retador cada momento de ellas en las organizaciones. En este sentido, muchas de las actividades requieren el apoyo de otros individuos para que se hagan realidad, lo que necesariamente implica un aumento de la variedad y del espectro de posibilidades que le permitan decidir sobre una situación en particular.

Cuando en el ejercicio de protección de la información, las buenas prácticas y estándares no son suficientes para actuar en consecuencia, se entra en el escenario de la incertidumbre, donde se experimenta el estado de indeterminación frente a una causa y sus efectos, que lleva a interpretaciones legítimas de las personas frente significados socialmente aceptados, los cuales son conceptualizados en la historia personal particular basada en momentos e impactos semejantes (Rosa, Renn y McCright, 2014).

Para lograr una alineación respecto de las prácticas y las inestabilidades del contexto en el ejercicio de asegurar la información, es necesario revelar los supuestos e imaginarios de la seguridad de la información en los individuos, para luego efectuar las interpretaciones ajustadas con las expectativas requeridas por la organización. En este sentido, si no posible determinar un estado futuro de una acción, habrá que focalizar la acción más en aquello que puede ser y no en algo que no ha pasado, con el fin de procurar un cierre de la brecha informacional y de saberes que está en juego y motivar una acción informada y ajustada a aquellos estados relevantes que la empresa ha fijado como válidos.

Lo anterior supone el desarrollo de unas capacidades dinámicas (Teece, Peteraf y Leih, 2016) en los individuos, que les permita entre otros aspectos, detección proactiva para crear hipótesis sobre las implicaciones futuras de los eventos y tendencias observadas; acción informada, que entiende la brecha de saber e información para movilizar su actuación y desaprendizaje permanente, que considerando los saberes previos, es capaz de conectar con las inestabilidades del entorno.

En esta línea, la seguridad de la información no se asume con una declaración cierta y estática, sino como un cuerpo de conocimiento que evoluciona con el entorno, el cual se reconfigura en cada instante en la dinámica de la protección de la información, mediada por las capacidades dinámicas que deben ser desarrolladas en los individuos, habida cuenta que cada nueva situación incierta revela nuevas oportunidades para concretar nuevos espacios de conocimiento que permitan una protección ajustada a los escenarios inciertos de las empresas.

El ejercicio de alineación del contexto con las prácticas, no supone acciones exclusivamente de restricción para aumentar las certezas, sino un ejercicio de amplificación de la variedad existente, como quiera que se requiere alcanzar una estabilidad dinámica en un entorno particular y relevante que permite colaborar con otros, para asumir las diferentes expresiones de la complejidad que supone proteger la información en un entorno cambiante y con discontinuidades tecnológicas permanentes (Espejo y Reyes, 2016).

Esto es, desarrollar una postura sistémica de la realidad, que reconoce que el mapa que se ha construido desde los supuestos y creencias, donde se validan las decisiones humanas, es una imagen borrosa e incompleta del territorio. Lo anterior supone descubrir en cada momento, aspectos complementarios de las interpretaciones efectuadas, reconociendo que no se tiene la variedad requerida o conocimientos necesarios para abordar una situación particular y por tanto, reconocer que no se sabe, es la experiencia más valiosa que se puede experimentar para poder “desaprender” y descubrir oportunidades inexploradas.

Un marco conceptual para el tratamiento de la información. Aportes desde las ciencias sociales y las reflexiones sistémicas
Para plantea un marco de acción para el tratamiento de la información, en un escenario volátil e incierto, es necesario comprender que las partes interesadas en proteger la información no son perfectas y que harán su mejor esfuerzo para concretar un nivel de exposición acordado, sin perjuicio de los posibles eventos adversos que se pueden presentar por efectos de la inevitabilidad de la falla.

Esto supone entender que riesgo y seguridad son un continuo de experiencias de confianza imperfecta, una confianza que se funda en los comportamientos y decisiones inestables de las personas. En palabras de Cano (2016):

Es comprender que las circunstancias, los contextos y contradicciones motivan actuaciones que pueden ser contrarias a lo esperado, una lectura de umbrales de tolerancia a fallas que sabe de la naturaleza limitada de las personas y la tendencia al error, que invita más a la reflexión y confrontación de sus propias actuaciones, para construir en conjunto con otros y afinar dichos umbrales, hasta definir aquel que es aceptado y tolerado por la empresa.

La estabilidad de esta confianza está en el entendimiento y estrategias que tiene la organización para actuar cuando los umbrales se superan y cómo desarrolla su capacidad de recuperación y resistencia ante la inevitabilidad de la falla. La estabilidad no se ve como un rango estático de compromiso de la organización, sino como una vista dinámica de la evolución del imaginario de protección que la empresa moldea con sus decisiones y aseguramiento de prácticas de acuerdo con sus propias necesidades.”

Bajo estos fundamentos, sólo cuando entiendo con claridad el resultado incierto de lo que está en juego, puedo comprender el nivel confiabilidad que se puede tener frente a la decisión de protección y de igual forma, sólo retando el nivel de confiabilidad actual disponible para los propósitos e intereses de las personas y de la empresa, puedo conocer el resultado de incierto que puede generarse con la decisión que se toma.

Lo anterior, supone que el ejercicio de comprensión de doble vía (riesgo-seguridad) (Ver figura 1), habilita a las personas para desarrollar las capacidades dinámicas (detección proactiva, acción informada y desaprendizaje permanente) con el fin de encontrar el rango de exposición que se acuerda frente al resultado de la acción que se ejecuta. Es decir, la confiabilidad no está en el riesgo cero o la protección ciento por ciento, sino en el cumplimiento de los umbrales definidos por las partes y las acciones resilientes establecidas para enfrentar los inciertos y la materialización de vulnerabilidades latentes o emergentes.


Figura 1. Riesgo y seguridad: una relación de doble vía (Autoría propia)

De esta forma, el riesgo no se configura como un elemento negativo per se, ni la seguridad como una función estática que busca el 100% de efectividad de sus acciones, sino como un continuo inestable que negocia rangos de tolerancia a la falla, donde los individuos y las empresas construyen distinciones y prácticas de forma permanente para reconstruir las prácticas conocidas y renovar los entendimientos de la protección más allá de la reducción de la incertidumbre reflejada en los controles tradicionales expuestos en los estándares ISO.

Reflexiones finales
La práctica de seguridad y control que se tiene en la actualidad responde a una lectura de la protección como restricción de eventos o inestabilidades, en procura de alcanzar confiabilidad y estabilidad que satisface el imaginario de cero incidentes requerido por las organizaciones.

Lamentablemente este imaginario se debilita en el escenario de volatilidades e inestabilidades que se presentan actualmente, como quiera que la inevitabilidad de la falla es la constante que la inseguridad de la información utiliza para materializarla de forma inesperada, ocasionando percances a nivel personal y organizacional que sacan de la zona cómoda tanto a ejecutivos como a los profesionales de la seguridad de la información.

En consecuencia y dado que se hace necesario avanzar en medio de un entorno incierto y vulnerable, tanto las personas como las organizaciones debe tomar riesgos de forma inteligente esto es, en un continuo de confianza imperfecta, que leído en términos prácticos supone ver los impactos estratégicos, las afectaciones tácticas, las lecciones aprendidas y los grupos de interés que se pueden ver afectados” para formular “escenarios, prototipos, simulaciones y pruebas que permitan desconectar los supuestos de los conceptos actuales para reconectarlos y crear nuevas ganancias teóricas y prácticas antes inexistentes.” (Cano, 2017).

En este sentido, si bien las normas, buenas prácticas y estándares permiten un cuerpo de conocimiento base, se hace necesario dominar las capacidades dinámicas presentadas previamente, en el contexto de los riesgos que se deben tomar de manera inteligente, habida cuenta que no es la reducción de la incertidumbre lo que cuenta, sino el entendimiento del flujo continuo de certezas e inciertos que supone el riesgo y la seguridad para una persona y una organización.

Por tanto, el imaginario actual de seguridad y control deberá evolucionar de la invulnerabilidad como fuente de confianza perfecta, a la vulnerabilidad y los umbrales de falla, como nuevo referente que se construye sobre la base de la confianza imperfecta, la cual hace parte natural de los comportamientos y decisiones inestables que las personas toman frente a contextos y situaciones distintas.

Referencias
Cano, J. (2016) Protección de la información. Un ejercicio de confianza imperfecta. Blog IT Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2016/09/proteccion-de-la-informacion-un.html
Cano, J. (2017) Riesgos inteligentes. Blog Frase de la Semana. Recuperado de: http://frasedelaseman.blogspot.com.co/2017/03/riesgos-inteligentes.html
Carmen, A. (2015) La ley del quizás. Cómo transformar la incertidumbre en posibilidad. Barcelona, España: Editorial Urano.
Espejo, R. y Reyes, A. (2016) Sistemas organizacionales. El manejo de la complejidad con el modelo del sistema viable. Bogotá, Colombia: Ediciones Uniandes, Universidad de Ibagué.
López-Barajas, E. (2009) Antropología, epistemología e innovación en educación permanente. En López-Barajas, E. (Coord.) (2009) El paradigma de la educación continua. Reto del siglo XXI. Madrid, España: Narcea, S.A. 15-56
Rosa, E., Renn, O. y McCright, A. (2014) The risk society revisited. Social theory and governance. Philadelphia, Pennsylvania. USA: Temple University Press.
Teece, D., Peteraf, M. y Leih, S. (2016) Dynamic Capabilities and Organizational Agility: risk, uncertainty, and strategy in the innovation economy. California Management Review. Summer. 58, 4. 13-35
Luhmann, N. (2006) Sociología del riesgo. México, México: Universidad Iberoamericana - Instituto Tecnológico y de Estudios Superiores de Occidente, A.C (ITESO).

lunes, 13 de febrero de 2017

Anatomía de un ataque basado en redes sociales. El reto de proteger el valor de una empresa en un contexto social y digitalmente modificado

Introducción
Las redes sociales han cambiado la forma como interactúan las personas. Es un medio que habilita una comunicación abierta y generalmente informal, donde se comparte todo tipo de expresiones (imágenes, video, audio) de afecto, rechazo, gusto, promoción, venta o posicionamiento, bien de un producto, servicio o sencillamente de la dinámica de la vida de una persona o comunidad.

En el contexto de las redes sociales son los individuos los que tienen la voz y la capacidad de influir, convocar o provocar sentimientos diversos (positivos, negativos o neutrales) respecto de situaciones, instituciones, productos o servicios, habida cuenta que su experiencia particular establece, posiblemente, un referente para otras personas que puedan estar interesadas en los mismos temas sobre los cuales opina a través de los medios sociales digitales (De luz, 2014).

El flujo de información que se moviliza por los medios sociales digitales sobrepasa la capacidad de procesamiento que se puede llegar a tener y por lo tanto, establece una fuente de datos, por lo general, no estructurados, que guardan las emociones y sentimientos de aquellos que los administran, bien sea a título personal o en el escenario de la estrategia de medios digitales de una empresa.

En consecuencia, los medios sociales digitales habilitan una puerta para el flujo de información de todo tipo, que enmarca una ventana abierta para que cada individuo pueda compartir y expresar sus reflexiones de forma directa con el mundo, e igualmente filtrar información personal, confidencial, estratégica o de negocio, que comprometa los activos digitales clave de la empresa y genere así, una pérdida de reputación, financiera y de conocimiento que atente contra los planes corporativos en su afán de conquistar una posición privilegiada en su entorno (Cano, 2012).

Toda expresión que se manifieste en medios digitales sociales, establece una huella y una sombra digital para la empresa o la persona. Mientras las publicaciones efectivas que se hacen en los medios sociales digitales establecen la huella de la empresa y su tono de conversación, la sombra es lo que la información publicada de manera agregada y analizada dice de la empresa. La huella digital está bajo el control de quien la publica, mientras la sombra digital está en manos de quien procesa la información y las intencionalidades de sus análisis (Brekle, 2015).

Por tanto, las redes sociales se convierten para las empresas modernas en una ventaja competitiva de visibilidad en un sector específica y en un vector de ataque clave, que con frecuencia es ignorado por los analistas, como quiera que la volatilidad de los comentarios que se hacen y la baja especialidad técnica que se requiere para su uso, lo hace menos atractivo para estos perfiles. Subvalorar la capacidad de influencia e impacto de las redes sociales en un entorno como el actual, es evadir la responsabilidad de la protección del valor de una empresa, que ahora se encuentra social y digitalmente modificada.

En este sentido, se presenta a continuación la anatomía de un ataque basado en redes sociales, los cuales generalmente son invisibles a la dinámica social, motivados por intereses de terceros no conocidos, ejecutados tanto actores estatales como no estatales, para provocar cambios de opinión, comportamiento o imagen de una nación, empresa o individuo.

Cambio en el panorama de las amenazas
Si bien se han publicado noticias sobre el incremento de los ataques en el contexto del internet de las cosas, como es el caso de la botnet Mirai, conformada por al menos 500.000 dispositivos como DVRs (Digital Video Recorder) y cámaras de vigilancia, los cuales generalmente están en manos de individuos, que afectaron 18 centros de datos de la empresa Dyn alrededor del mundo, perturbando más de 10 millones de direcciones IP y los servicios de empresas como Twitter, Amazon, Spotify y Netflix (Gates, 2017), las redes sociales se advierten como el foco de revisión y monitoreo más relevante para la seguridad de la información y la ciberseguridad, dada la volatilidad y volubilidad que se puede presentar con los mensajes, donde técnicamente es posible perder el control de aquello que se quiere transmitir a la audiencia global.

Es la información disponible, sus flujos y la forma como ella se puede analizar, la que establece ahora el nuevo normal para los especialistas en medios sociales digitales. La capacidad de monitorear patrones y confirmar tendencias, establecen los nuevos estándares de las empresas y sus campañas de mercadeo, para posicionar una marca, producto o persona a nivel global.

En este ejercicio, los riesgos claves que se advierten en el escenario son la capacidad de promover la desinformación de forma invisible, la inhabilidad para medir los impactos en una marca y la pérdida de control de los mensajes por el efecto del Crowd sourcing, donde la comunidad abierta participa para tratar de promover, compartir o resolver una problemática particular aportando su trabajo, dinero, conocimiento y/o experiencia, esperando un beneficio mutuo (Estellés y González, 2012).

Esta nuevas condiciones del entorno, que se mantienen activas con las constantes menciones en los medios del uso de plataformas como Twitter, Facebook o Instagram, generan la suficiente distracción para que, los especialistas en desinformar y crear escenarios contrarios actúen de forma inadvertida, con el fin de ir concretando mensajes y opiniones de acuerdo con las intenciones para las cuales se les haya contratado, y así cambiar las tendencias y elaborar imaginarios en las personas de forma sutil y prácticamente imperceptible, pero real y efectiva frente a la realidad.

La necesidad de las personas de comunicarse y compartir funda el contexto natural para identificar formas para hacer fluir la información. El engaño, la sugerencia de la “información debe ser libre”, la invocación de creencia, conceptos y valores en situaciones particulares, desarrolla el ambiente necesario para el atacante que se esconde detrás de la marea de información creada para motivar acciones específicas como robos de información sensible, espionaje corporativo, robos de identidad que comprometen no solo a las personas involucradas, sino que crean un efecto dominó sobre la empresa y su reputación.

Este nuevo panorama de amenazas, demanda el desarrollo de capacidades analíticas y de pronóstico que permitan detectar y anticipar posibles cambios de tendencias en los medios sociales digitales que puedan afectar en el mediano y largo plazo los objetivos estratégicos de la empresa, los cuales ahora son más visibles y sensibles a las opiniones de terceros, algunos interesados en apalancarlos y otros con intenciones no establecidas que pueden afectarlos.

Configurando un ataque a través de medios sociales digitales (Raggo, 2016)
El foco fundamental de un ataque premeditado a través de las redes sociales no es afectar la reputación o imagen de la empresa exclusivamente, sino capitalizar la confianza de los medios disponibles para crear el contexto necesario donde desarrollar y confirmar la sensación de veracidad de las publicaciones, que afecte la postura de los lectores respecto de un tema particular.

A continuación se detalla y explica un marco general de la anatomía de un ataque basado en redes sociales. Ver figura 1.

Figura 1. Anatomía de un ataque basado en redes sociales (Basado en: Raggo, 2016)

En primer lugar, el atacante debe conocer y detallar tanto la huella digital como la sombra digital de la empresa o la persona objetivo. Esto implicar una exploración y seguimiento detallado de las redes sociales más activas como son, entre otras, linkedin, Twitter, Facebook, Google+ e Instagram con el fin de establecer un perfil particular, la dinámica de sus conexiones, las posturas en sus publicaciones y sobre manera, la frecuencia con que hace frecuencia en cada una de ellas.

Una vez se tiene identificado la huella y la posible sombra digital del objetivo, se establece un monitoreo particular de las cuentas identificadas en cada una de las redes sociales, los #hashtag que usa con frecuencia, las menciones que tiene y las palabras clave que son utilizadas para generar las publicaciones en los medios sociales digitales. Esta información, permite elaborar y desarrollar una estrategia que habilite una posible suplantación de la presencia de la persona u organización, lo cual es viable ejecutarlos habida cuenta de la caracterización del tráfico generado por el objetivo.

El siguiente paso es la personificación del individuo u organización objetivo, creando perfiles con sutiles errores ortográficos, fotos semejantes a las originales retocadas con procesadores de imágenes, usando palabras claves y #hashtag equivalentes a las cuentas originales, siguiendo a personas o empresas similares, para crear la sensación de confianza y consistencia que se espera a través de las conexiones, seguidores y amigos.

Si lo anterior, motiva la generación de tráfico y seguidores en el nuevo perfil, se activa el uso de enlaces cortos, generalmente automatizados por las distintas redes sociales, para crear accesos maliciosos que comprometan la seguridad, la privacidad y el control de otras cuentas, motivando enlaces de phishing, descarga de aplicaciones con malware, en pocas palabras campañas que comprometan credenciales e información clave de las personas y las organizaciones que alteren la reputación y la imagen de la empresa o los individuos, con fines específicos.

Si el ataque resulta exitoso, se generará un marco de confusión, desconcierto y desconfianza donde la población de seguidores no sabrá quién tiene la verdadera cuenta, aumentando la inestabilidad de los mensajes de reparación o desestimación que se generen por parte de la empresa o persona. En este sentido es necesario, contar con un plan de atención de incidentes en redes sociales, que cuente con una estrategia clara que permita enfrentar, mitigar y superar la condición de incertidumbre creada y los posibles daños que se hayan podido causar por los enlaces maliciosos enviados desde las cuentas falsas personificadas.

Enfrentando el reto de un ataque a través de medios sociales digitales
Desarrollar una estrategia para enfrentar un ataque basado en redes sociales, implica más que afinar las tecnologías de seguridad informática vigentes frente a las URL maliciosas y la habilitación de un segundo factor de autenticación para las cuentas claves en las diferentes redes sociales disponibles de las empresas (Eset, 2014); supone una estrategia transversal y global que demanda un entendimiento de la presencia de la persona u organización en el mundo social digital.

Para ello, Bahadur, Inasi y De Carvalho (2012) proponen una estrategia basada en una matriz de valoración de amenazas en redes sociales denominada H.U.M.O.R, que considera las amenazas del talento humano, el uso de los recursos, las pérdidas monetarias o financieras que pueden generarse, los impactos operacionales que se pueden causar y los efectos sobre la reputación de la empresa. En pocas palabras, lo H umano, el U so de los recursos, lo M onetario, la O peración y la R eputación.

Frente a lo Humano, los autores hablan de contar con políticas concretas sobre la diseminación de información, guías para los empleados sobre el uso de las redes sociales, el entrenamiento y educación de las personas frente a los riesgos de estas redes, los marcos regulatorios y de cumplimiento del uso de los medios sociales digitales y particularmente la responsabilidad personal y empresarial sobre lo que implica participar en una red social.

Sobre el Uso de los recursos, se advierte sobre el desarrollo de políticas alrededor de los contenidos, el plagio, el manejo de la propiedad intelectual de la empresa, el uso de las herramientas apropiadas de acuerdo con los públicos que se quieren impactar, las respuestas frente al uso incorrecto de los activos digitales claves de la compañía y la cautela frente a los posibles abusos de la marca y sus activos que se puedan detectar.

Las consideraciones sobre el tema monetario o financiero, implica contar con presupuesto disponible tanto el desarrollo de ejercicio sencillos y avanzados de compromiso de la marca, provisiones previstas frente a ataques exitosos basados en redes sociales y el fortalecimiento del monitoreo y control de las tendencias y posicionamiento de la presencia en el contexto abierto de la red.

A nivel de operaciones, comprender el escenario donde se mueve la empresa, identificar los activos claves de información que son susceptibles de ser comprometidos, así como las posibles responsabilidades que pueden tener la empresa frente a terceros, mantener una valoración de amenazas y riesgos en redes sociales frecuentemente afectada por eventos externos, la coordinación necesaria con las áreas de comunicaciones y talento humano de las empresas frente a situaciones contrarias que se puedan presentar.

Con el tema de la reputación, el reto es contar con un adecuado proceso de gestión de incidentes, contar con un monitoreo permanente de la dinámica de la empresa a nivel global frente a sus grupos de interés y sus objetivos de negocio, desarrollar alianzas estratégicas con entes de policía judicial y empresas de protección de marca a nivel internacional, que anticipen y controlen posibles atentados contra la imagen de la empresa.

Como se puede observar, gobernar y gestionar los riesgos propios de las redes sociales, no es un esfuerzo exclusivamente del área de tecnologías, es un compromiso corporativo que parte de la dinámica natural de la interacción humana, que atraviesa la formalidad corporativa frente a su entorno y que se convierte en una virtud o una amenaza según la intencionalidad que tanto los internos como los externos quieran concretar bien a favor o contra de los intereses empresariales.

Reflexiones finales
Las redes sociales son un laboratorio social donde las empresas y las personas crean un tejido de significados que se reinventa cada momento en el ejercicio de compartir y construir realidades y tendencias que afectan la dinámica de las compañías y los gustos de las personas. En este contexto, ignorar la influencia de este flujo de mensajes llenos de intencionalidad y necesidad de presencia en la red, es ausentarse de la creación de imaginarios colectivos que definen tendencias y posturas que afectan la imagen o reputación de una empresa.

Amén de lo anterior, se hace necesario establecer una estrategia concreta para diseñar, mantener, monitorizar y atender la práctica de proteger la integridad, identidad, imagen y reputación de la empresa o una persona, frente a los embates de las tendencias sociales normales de las opiniones de los individuos, así como de los ataques premeditados, invisibles y mal intencionados que buscan comprometer la confianza de la empresa, sus productos y servicios, como una forma de invalidar sus esfuerzos y retirarla de forma sutil del contexto competitivo de su sector.

Las redes sociales establecen el nuevo referente de protección del valor de una empresa en el siglo XXI, habida cuenta que su presencia en la red responde a una dinámica de mensajes y consolidación de marca que le permite estar presente en la mente de sus clientes, como una compañía de confianza, que construye su propia identidad en conjunto con sus grupos de interés.

Así las cosas, poder identificar, controlar y anticipar ataques mediados por las redes sociales, exige una disciplina de seguridad, privacidad y control basada en analítica, escenarios y estudios prospectivos, que permita a la empresa desarrollar perfiles digitales sociales asegurados de tal manera, que cualquier intento de sabotaje en contra de la empresa en este sentido, sea rápidamente identificado y gestionado, aumentado la confiabilidad de la marca y lo que ella pueda significar para sus grupos de interés.

Es claro que detener un ataque en contra de una empresa vía los medios sociales digitales, no es una tarea fácil, menos cuando ésta no se encuentra preparada para enfrentarlo y darle un adecuado tratamiento; por tanto, la preparación y las simulaciones se hacen necesarias en este entorno asimétrico e incierto que se tiene en la actualidad, para incrementar el nivel de sensibilidad requerido en los niveles ejecutivos y en cada uno de los colaboradores de la empresa.

En definitiva, el reto de proteger una marca y la imagen de una empresa en internet, está en manos e intenciones de aquellos que generan las publicaciones y las posturas que leen los participantes de la red: las personas.

Referencias
Bahadur, G., Inasi, J. y De Carvalho, A. (2012) Securing the clicks. Network security in the age of social media. USA: McGraw Hill.
Brekle, K. (2015) La sombra digital. Blog Ontrack. Recuperado de: http://blog.ontrackdatarecovery.es/la-sombra-digital/
Cano, J. (2012) Inseguridad en redes sociales. La inevitabilidad de la falla en nuestros comportamientos y valores. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2012/02/inseguridad-en-redes-sociales-la.html
Eset (2014) Guía de seguridad en redes sociales. Recuperado de: http://www.welivesecurity.com/wp-content/uploads/2014/01/documento_redes_sociales_baja.pdf
Estellés, E. y González, F. (2012) Towards an integrated crowdsourcing definition. Journal of Information Science. 38, 2. 189-200. Recuperado de: http://journals.sagepub.com/doi/full/10.1177/0165551512437638
Gates, M. (2017) Rise of de IoT Botnets. Security Management. February. Recuperado de: https://sm.asisonline.org/Pages/Rise-of-the-IoT-Botnets.aspx
Raggo, M. (2016) Attacks on Enterprise Social Media. Presentación. Recuperado de: https://cdn.shopify.com/s/files/1/0177/9886/files/phv2016-mraggo.pdf

lunes, 26 de diciembre de 2016

Protección de la información en las Juntas Directivas. Una lectura política de la seguridad de la información

Los hombres son criaturas muy raras: la mitad censura lo que practica; la otra mitad practica lo que censura; el resto siempre dice y hace lo que debe” Benjamín Franklin

Introducción
Las juntas directivas como cuerpos colegiados representan los órganos de gobierno naturales de las empresas (Calleja y Rovira, 2015). Sus retos y responsabilidades implican condiciones particulares de sus participantes, que es necesario comprender y analizar con el fin de establecer puentes efectivos que permitan conversar y conectar en términos de sus intereses, exigencias y relaciones para hacer realidad la visión de una organización.

Uno de esos elementos claves se funda en el capital político, esa distinción que cubre muchas de las discusiones y decisiones que se toman a nivel ejecutivo que dan cuenta de las relaciones, intereses y logros particulares que cada miembro de junta conecta y desarrolla en un sistema social interconectado para crear una vista extendida de la capacidad de influencia o transformación que es capaz de ejercer una persona sobre un grupo social relevante en su entorno.

Por lo anterior, este documento tratará de desarrollar una reflexión conceptual y práctica que permita comprender qué es el capital político en la lectura del oficial o ejecutivo de la seguridad de la información y cómo este concepto, le permite moverse y perseverar en su empeño de posicionar una distinción que muchas veces parece ajena a las reflexiones estratégica de una organización en pleno siglo XXI.

Entendiendo el capital político
De acuerdo con Bourdieu (2009, p.18-19) se distingue la existencia de dos especies de capital político: uno personal y otro por delegación. El personal “se basa en la idea fundamental de ser “conocido y reconocido” gracias a la posesión de notoriedad y de popularidad por tener cierto número de cualidades específicas propias” (Alcántara, s.f., p.4), con experiencia acumulada realizada en diferentes dominios que suponen aprendizaje y creación de distinciones distintas frente los retos encarados.

El capital político por delegación “es el producto de una transferencia limitada y provisional de un capital detentado y controlado por una institución y solo por ella” (Alcántara, s.f., p.5). En este contexto, la organización le otorga una investidura a la persona seleccionada, transfiriendo a través de sus participantes, un capital simbólico de reconocimientos y fidelidades, que lo hacen parte de la postura oficial de la empresa, representada en la tradición directiva vigente. En entornos altamente institucionalizados este capital político cuenta con un gran reconocimiento, sin perjuicio de la virtud propia de la persona representada en su capital político personal.

Por otra parte, Bunge (2009) comenta que el capital político de un individuo o grupo:
es el conjunto de sus conciudadanos que están dispuestos a ayudarlo con su voz, voto, tiempo o dinero. Quien posea algún capital político querrá acrecentarlo o al menos conservarlo. Pero es claro que el destino de semejante caudal depende tanto de la conducta de su propietario como de las circunstancias”, definición que muestra una inclinación más electoral y partidista en su conceptualización, que sin ser distante de lo anotado por Bourdieu, complementa tales apreciaciones.

Bajos estas reflexiones, un miembro de junta por lo general llega a un cuerpo colegiado por méritos propios, por sus logros en un entorno específico y relevante para la empresa, que le atribuyen autoridad y experiencia requerida para sumar a la riqueza natural de aprendizaje y años de trabajo de los otros miembros del consejo directivo. No faltan los casos, de nombramientos por delegación otorgados por instituciones influyentes, con tradición en el escenario nacional o particular de la organización, los cuales hacen valer sus condición y posición para mantener influencia sobre la empresa particular.

Este capital político, como indica Bunge (2009), cada miembro de junta querrá mantenerlo y acrecentarlo, como quiera que no hacerlo implica debilitarse frente a la capacidad de influencia en el entorno y en las decisiones finales que afecten los destinos de la organización. En este sentido, las relaciones que cada ejecutivo del cuerpo colegiado pueda realizar, tanto al interior como al exterior de la empresa, será relevante siempre y cuando pueda concretar acciones que aumenten su visibilidad e importancia en el medio.

El capital político y el ejecutivo de la seguridad de la información
Considerando la dinámica anterior, frente al ejercicio de influencia y transformación que debe hacer un ejecutivo de seguridad de la información, si su nombramiento se ha efectuado fuera de la esfera del gobierno corporativo, su capital político será muy escaso para conquistar las reflexiones ejecutivas claves donde ocurre el futuro de la organización.

En este sentido, deberá buscar caminos alternos, muchas veces espinosos y contradictorios, para lograr obtener visibilidad en este nivel y tratar de posicionar un capital político personal. Si lo logra, tendrá al menos dos fuerzas que lo mantendrán en tensión permanente: la necesidad de dar resultados y visibilizarlos al nivel directivo y la inevitable competencia con su superior inmediato, que lo verá como un candidato que comienza a ejercer presión sobre su silla en el mediano o largo plazo. Si lo anterior es correcto, no es raro que existan toda clase de limitaciones y trabas administrativas para que los resultados suban al nivel ejecutivo.

Contar con un interlocutor en el cuerpo colegiado con capital político tanto personal como delegado, se vuelve una herramienta clave para la gestión de un gerente de seguridad de la información, como quiera que encontrará un canal para llevar y posicionar mensajes relevantes que deben ser asumidos y revisados por el cuerpo directivo, para que poco a poco, la alfabetización digital permee el imaginario de los miembros del directorio (Cano, 2016) y haya más espacio de participación en este nivel. No es una tarea fácil, es un trabajo que requiere construcción previa y visibilidad de resultados en el sector lo suficientemente públicos para que sean reconocidos por los otros participantes de la junta.

Ahora bien, si el ejecutivo de seguridad de la información es elegido desde el directorio, surtirá el proceso como otro miembro de junta, su capital político personal se hará visible como parte del proceso y contará con reconocimiento de la tradición institucional, que le permitirá tener un espacio privilegiado, donde con su capacidad de comunicación y escucha deberá leer las expectativas y los retos que la junta tiene respecto de la información, actuando inicialmente como asesor temático y mutando rápidamente a participante político como ellos, donde las reflexiones serán animadas por el futuro de la empresa, cuidando el valor que ella representa tanto en su información como en su conocimiento.

El ejecutivo de seguridad de la información debe no solo mantener y aumentar su capital político, una vez sentado en la junta, sino desarrollar la inteligencia política necesaria que es aquella que le permite alcanzar poder, entendido este como capacidad de hacer, para construir una visión conjunta que sume expectativas y genere igual cuota de poder para todos aquellos que participan en la junta. Este ejercicio le permite al dirigente de la seguridad de la información aumentar su gusto por la aventura, la curiosidad por lo desconocido, la sensación de dominio, la pasión por el riesgo, lo que en definitiva se traduce en la satisfacción de ver un sueño hecho realidad que beneficia a otros (Montañés, 2009).

Para lograr esto, el nuevo miembro de la junta que cuida el valor de la información y el conocimiento de la empresa, frente a las inestabilidades del entorno, debe comunicar y construir un imaginario distinto al vigente en el cuerpo colegiado, para lo cual debe “educar a sus colegas” desde la experiencia práctica vivida en sus empleos anteriores y trayendo personajes relevantes de la vida internacional claves para la empresa, que colaboren en este empeño y de manera colateral, expandan el capital político delegado, del cual se nutren todos los participantes de la mesa directiva (Cloutier, 2016).

La lectura política de la seguridad de la información en la empresa
Por lo tanto, comunicar desde la intersubjetividad (Correa de Molina, 2004) de cada miembro de junta, para que accedan al sentimiento particular de su identificación con la protección de la información requiere concretar comportamientos propios de los directores respecto de la temática, su percepción de los otros frente al reto de la protección, creando una identidad que confirma y acepta ciertas características que son reconocidas públicamente dentro de la dinámica de las relaciones ejecutivas, las cuales no sólo hacen parte de una conversación particular, sino que son un instrumento para continuar acrecentando su capital político personal y delegado.

Figura 1. Lectura política de la seguridad de la información (Autoría propia)

En este punto un director o gerente de seguridad de la información, sabrá que no debe dejar que su ego dictamine sus actos, para alimentar su gloria personal, que no logra una relación sana con el mismo ni con nadie (Cala y Cruz, 2016, p.47), para mantener una agenda políticamente correcta que tenga la capacidad de influir y desarrollar una hoja de ruta que no sólo responda a las exigencias tácticas y ejecutivas que la empresa requiere para hacer la diferencia en su sector, sino que sea la ocasión para mantener una espiral permanente de crecimiento en la junta que lo mantenga vigente y proyectado más allá de las fronteras de la organización.

Así las cosas, cuando se hable del capital político que tiene un CISO (Chief Information Security Officer) en una organización debemos leer más allá de su cargo, las virtudes personales y logros de visibilidad mayor, así como la investidura de autoridad que requiere para formar parte de las reflexiones estratégicas que construyen la dinámica empresarial, donde día a día los miembros de junta se juegan su capital político personal, esperando que el capital político delegado les permita mantenerlo o expandirlo según los retos, contradicciones o crisis del entorno.

De igual forma un CISO posicionado desde el directorio ejecutivo, contará con la inteligencia política necesaria para saber dónde está y donde quiere ir; sabrá evitar la autocomplacencia, la falta de autocrítica, el riesgo latente de ser víctima del éxito (Montañes, 2009) y sobre manera contar con los suficiente fondos políticos creados para que ante la inevitabilidad de la falla, pueda acolchonar los juicios de responsabilidad en su contra y continuar en la dinámica política que ya conoce o terminar en algún momento su viaje en esa organización para seguir haciendo carrera en otros dominios.

Reflexiones finales
No es fácil darle sentido a la expresión capital político en los retos de un CISO en una organización, como quiera que no es un ejercicio que se realice comúnmente en países en vías de desarrollo, donde la lectura política general de las empresas está muy asociada con las dinámicas de los gobiernos de turno, donde los intereses cruzados tanto de empresarios como de funcionarios de alto nivel de los estados, deben conciliarse para mantener relaciones políticamente estables y correctas, que sean resistentes a los embates de los cambios geopolíticos del mundo.

Por tanto, si un CISO está interesado en construir un capital político personal, que sea relevante para una empresa y que su llegada pueda habilitar una extensión del capital político delegado que ya tiene, debe explorar dimensiones colaterales del ejercicio del direccionamiento de la seguridad de la información, entender la dinámica de los distintos negocios, crear espacios de conquista y logros comunes con áreas productivas, que lleven mensajes positivos al nivel respectivo que aumenten la visibilidad de su trabajo y afirmen una lectura positiva del mismo.

De igual forma, contar con un interlocutor clave y válido en el cuerpo colegiado que vaya dando forma a un capital político delegado, que habilitado desde el reconocimiento de los logros personales y colectivos del área de seguridad, sean la cuota periódica que se suma al banco de acreencias políticas que permitan en el mediano y largo plazo, ser convocados para compartir una visión más estratégica que anticipe situaciones y retos de la organización que motiven un incremento del capital político delegado y personal de cada uno de los miembros de la junta.

La seguridad de la información en el imaginario de los miembros de la junta directiva, es un objeto de conocimiento, en el cual confluyen diferentes niveles comprensión, cada uno con su propia especificidad e independencia, el cual se construye sobre la propia historia de cada participante y dentro de ella, se configuran sus propias expectativas, las cuales en su satisfacción se legitiman (Adaptado de Correa de Molina, 2004). Por tanto, una vez constituido este imaginario, se convierte en aliado fundamental que genera un puente intercomunicativo que permite darle vida a esta distinción como algo natural de la esencia misma de la dinámica del cuerpo colegiado.

Por tanto, un CISO debe saber “escuchar y calibrar” este imaginario (Cano, 2016) para llevarlo a un punto donde nadie tenga que ceder nada y todo salgan ganando, esto es, crear una “lectura atenta total” que conduce a una comunión de personalidades en la que el todo es mucho más que la suma de las partes (Cala y Cruz, 2016, p.47-48). Un ejercicio de construcción sistémica que reconoce la potencia de la sabiduría digital del equipo directivo frente los retos de un entorno volátil, incierto, complejo y ambiguo.

Referencias
Alcántara, M. (s.f.) La carrera política y el capital político. Artículo de investigación. Universidad de Salamanca. España. Recuperado de: http://americo.usal.es/iberoame/sites/default/files/files/Alcantara._La%20carrera%20politica_y_el_capital_%20politico.pdf
Bourdieu, P. (2009) La representación política. Elementos para una teoría del campo político. Traducción David Velasco, S.J. Recuperado de: https://davidvelasco.files.wordpress.com/2009/01/la-representacion-politica.pdf
Bunge, M. (2009) Obama: cómo derrochar capital político. Revista electrónica Sinpermiso. Recuperado de: http://www.sinpermiso.info/textos/obama-cmo-derrochar-capital-poltico
Cala, I. y Cruz, C. (2016) Las dos caras de la comunicación. Bogotá, Colombia: Ed. Taller del Éxito.
Cano, J. (2016) La seguridad de la información en el imaginario de las Juntas Directivas. Un reto de transformación de creencias, actitudes y valores. Revista Nova et Vetera. Universidad del Rosario. ISSN: 2422-2216. 2, 22. Diciembre. Recuperado de: http://www.urosario.edu.co/revista-nova-et-vetera/Inicio/Cultura/La-seguridad-de-la-informacion-en-el-imaginario-de/
Calleja, L. y Rovira, M. (2015) Gobierno institucional. La dirección colegiada. Navarra, España: EUNSA.
Correa de Molina, C. (2004) Currículo dialógico, sistémico e interdisciplinar. Subjetividad y desarrollo humano. Bogotá, Colombia: Cooperativa Editorial Magisterio.
Cloutier, R. (2016) Becoming a Global Chief Security Executive Officer. A how to guide for next generation security leaders. Kidlington, UK: Butterworth-Heinemann.
Montañes, P. (2009) Inteligencia política. El poder creador en las organizaciones. Séptima edición. Madrid, España: Pearson Educación S.A 


domingo, 27 de noviembre de 2016

Compartir información: el futuro de la ciberseguridad y la seguridad de la información en un escenario de ataques asimétricos e inesperados

Introducción
Se dice que “sin riesgo no hay innovación posible” (Álvarez, 2016) y es una realidad que está apalancada desde la curiosidad natural del ser humano, donde es necesario abandonar la zona cómoda para experimentar los límites de lo conocido. En este contexto, la seguridad de la información, debe seguir los pasos de su dual la inseguridad, como quiera que todo el tiempo ella está explorando los límites para concretar nuevas opciones, anticipando nuevas posibilidades que la seguridad no habrá de explorar en corto plazo.

En este contexto, el riesgo o exposición que las empresas logran identificar posiblemente no corresponda con la realidad, habida cuenta que las variables y condiciones del entorno varían y evolucionan tan rápido, que éstas no cuentan con los mecanismos requeridos para aumentar la sensibilidad para anticipar situaciones que puedan comprometer sus medidas de seguridad y control.

Esta realidad volátil, incierta, compleja y ambigua demanda de las empresas extender sus capacidades de anticipación crítica que le permitan interpretar mejor las intenciones de terceros o internos contradictores, reconocer y entender el contexto donde la organización opera, percibir las tendencias y alertas veladas en medio del tejido digital, discernir los motivos y actuaciones de los actores del entorno, detectar movimientos inesperados de los contrarios y presentar conclusiones concisas sobre las alternativas que se pueden plantear frente a eventos inesperados (Adaptado de: Robinson y Aronica, 2016).

Para lograr lo anterior, se hace necesario concretar esquemas de colaboración entre los diferentes actores del ecosistema digital, con el fin de potenciar las capacidades de todos los participantes de tal forma que se aumente la resiliencia frente a ataques inesperados e inciertos, se fortalezca el aprendizaje, ubicando aquellos “espacios en blanco” donde es posibles experimentar, aumentar la oportunidad de la respuesta y atenuar los impactos de los acciones que comprometan los activos digitales de las empresas.

Así las cosas, se hace necesario cambiar el paradigma de protección de las empresas, el cual está articulado desde las vista interna de sus necesidades y riesgos, por uno que reconociendo al esfuerzo de seguridad y control que se realiza al interior, sea capaz de reconocerse como parte de un todo superior, donde se sabe parte de una dinámica mayor, para construir nuevas posibilidades y aprendizajes que permitan anticipar acciones más complejas de los atacantes, ahora desde una propuesta de actuación conjunta donde todos suman con su experiencia y las relaciones entre los participantes definen las nuevas opciones de respuesta frente a lo incierto.

Por tanto, este documento presenta un marco de compartir información entre los actores de un ecosistema digital, como premisas de la construcción y movilización de capacidades de respuesta y acción de las empresas frente a ataques informáticos cada vez más sofisticados y menos evidentes, de tal forma que se gesten competencias claves que faciliten un aprendizaje permanente y una resiliencia del ecosistema que sorprenda a los atacantes en sus propios terrenos.

Competencias organizacionales claves para compartir información
Si bien existen múltiples definiciones de competencia, Echeverría (2014, p.77) establece que son “comportamientos creativos, derivados de la puesta en práctica de conocimientos, aptitudes y rasgos de personalidad”, que se caracterizan predominantemente por poner en acción conductas y actos pertinentes en situaciones inéditas.

Lo anterior, sugiere que las empresas deben motivar espacios de aprendizaje, momentos de experimentación e incertidumbre basados en escenarios inciertos sobre la protección de sus activos digitales, para motivar acciones prácticas de los conocimientos previos y así desarrollar nuevas aproximaciones y aptitudes para responder a la inestabilidad del entorno, con la confianza y serenidad requeridas, que genere la misma ambigüedad en el contexto del atacante.

Para ello, la organización debe conceptualizar como un todo el desarrollo de competencias como la curiosidad, la creatividad, la crítica, la comunicación, la colaboración, la proyección, la serenidad y la ciudadanía (Adaptado de: Robinson y Aronica, 2016, p. 187-192).

La curiosidad hace referencia al desarrollo de la experimentación y pruebas, esa capacidad de hacerse preguntas y establecer cómo se pueden crear situaciones de inestabilidad sobre los activos digitales. Una curiosidad que anima la investigación y profundización que revelen aspectos ocultos de la inseguridad, que no solo den respuesta a lo que se requiere, sino que estimulen reflexiones sobre lo identificado que lleven a una espiral de conocimiento que se capitalice en las conversaciones sobre los riesgos de la empresa.

La creatividad busca potenciar la imaginación y explorar posibilidades, expandir las posibilidades planteadas sobre la inevitabilidad de la falla, que lleven a pensamientos más elaborados, que destruyan las restricciones autoimpuestas por los modelos vigentes y rompan con la estabilidad de las prácticas vigentes, no para reemplazarlas de facto, sino para nutrirlas o complementarlas de tal forma que se tengan patrones enriquecidos de entendimiento de la realidad, que anticipen acciones previamente no aplicadas.

La crítica no es solamente el uso de la lógica formal, sino la capacidad de distinguir, revelar alertas veladas, detectar sesgos sobre apreciaciones realizadas, develar motivos de las acciones de terceros, en pocas palabras, desarrollar acciones de inteligencia activa que distingue ente hechos y opiniones, certezas y engaños, de tal forma que reten las posturas vigentes para provocar aprendizajes significativos en el ejercicio de comprender las tendencias y amenazas emergentes identificadas.

La comunicación como fuente de construcción de sentido y no como sólo transmisión de información. Esto es, la capacidad de elaborar y comunicar aquello que cada organización está detectando en su entorno y que puede afectar de manera relevante al ecosistema; un ejercicio de elaboración de realidad colectiva que busca el bien general y progreso colectivo como fundamento de las estadísticas y análisis que son relevantes frente a los inciertos o alertas tempranas detectadas por cada uno de los participantes del ecosistema.

La proyección es el desarrollo de una simulación de eventos ubicándose en la posición de los otros miembros del ecosistema, con el fin de comprender la dinámica de los posibles impactos de un ataque sofisticado y cómo es posible diseñar acciones de protección que permitan una actuación coordinada y asistida por las virtudes de los demás miembros del ecosistema, como expresión de la regla básica de la comunidad: juntos es posible llegar más lejos y hacernos más resilientes.

La serenidad en el escenario de la defensa colectiva, exige un conocimiento de las capacidades de resistencia interna y las posibilidades disponibles en los participantes externos. Esta es una actuación que es contraria a lo que el atacante espera, pues establece un equilibrio al interior del ecosistema digital, que revela la identidad del mismo, haciendo de sus actuaciones, acciones pensadas y claramente diseñadas para contener y aprender de la inestabilidad, sin miedo a los inciertos y juicios (muchas veces injustos) que implica enfrentarse a la inevitabilidad de la falla.

La ciudadanía en este escenario se entiende como la capacidad de implicarse constructivamente en el desarrollo de propuestas y opciones de defensa colectiva en el ecosistema digital, de tal forma que se establezcan claramente los derechos y obligaciones de los participantes, para crear un ambiente de confianza digital que de valor a los activos digitales, equilibre las capacidades disponibles e influyan en el mundo que lo rodea, haciéndose responsable de sus actos y posturas frente a comunidades semejantes.

Marco general para compartir información: Base de la resiliencia organizacional
Si las empresas logran desarrollar las competencias mencionadas en el aparte anterior, se cuenta con una base formal para movilizar un escenario concreto para compartir información, como fundamento de la capacidad de resiliencia organizacional frente ataques informáticos, donde ya no es sólo una empresa la que trata de enfrentar la situación, sino la fuerza de un colectivo que aprende y se reinventa frente a la inestabilidad de su entorno.

En este contexto, se establecen cuatro (4) elementos claves para establecer y fortalecer un esquema para compartir información: relaciones de confianza, roles y responsabilidades, estándares y procedimientos, y coordinación y monitorización, como actividades relevantes en medio de la inevitabilidad de la falla, que permita el desarrollo de las competencias claves antes indicadas, que son el fundamento necesario para darle vida al marco general que se expone a continuación.

Figura 1. Marco general para compartir información

Las relaciones de confianza implican crear vínculos de comunicación y responsabilidad compartida donde cada participante del ecosistema es fideicomiso del otro; un ejercicio de esperanza de cumplimiento y cuidado mutuo que construye una vista compartida que no debe ser interpretada como una revelación de mis debilidades, sino como la oportunidad para reinventar y flexibilizar la defensa colectiva. Dentro de las posibles acciones se encuentran:
  • Revelar amenazas y vulnerabilidades en sistemas de misión crítica en reuniones cerradas.
  • Desarrollar conversatorios privados sobre tendencias identificadas.
  • Compartir lecciones aprendidas de incidentes de seguridad de la información.

Tener claridad de los roles y responsabilidades, es procurar un flujo de comunicaciones y acciones debidamente estructuradas, de tal forma que prime en este ejercicio la flexibilidad de las actuaciones, lo que demanda tomar la iniciativa, liderazgo rotativo y tolerancia a la falla. Los roles y responsabilidades no son camisas de fuerza de los límites de la actuación sino ordenadores de la acción y la oportunidad para complementar las acciones previstas ante eventos inesperados sobre alguno de los miembros del ecosistema. Dentro de sus posibles acciones se tienen:
  • Nombrar formalmente representantes de las entidades.
  • Establecer alcance de la participación.
  • Validar alertas o tendencias compartidas en el ecosistema.
  • Correlacionar la información relevante compartida en los escenarios definidos.

Los estándares y procedimientos se vuelven una de las formas claves para asegurar una respuesta coordinada y ajustada con los retos del evento inesperado. Una actuación ajustada con los estándares definidos permite no solo tener claridad de los pasos a seguir, sino la confianza de la respuesta del ecosistema frente la inevitabilidad de la falla, como fundamento de la resiliencia y los aprendizajes que se deben concretar antes, durante y después del posible ataque informático. Dentro de las acciones previstas están:
  • Establecer la estructura y formato de la información a compartir.
  • Definir el nivel de confidencialidad de la información a compartir.
  • Determinar los mecanismos de seguridad y control para asegurar el ciclo de vida de la información.
  • Verificar el cumplimiento de los estándares y procedimientos establecidos.

La coordinación y monitorización termina concretando la dinámica planteada en los otros tres elementos, pues mantiene en el horizonte los objetivos de la defensa activa (Conneran, 2014) del ecosistema, validando el direccionamiento estratégico del ecosistema frente a la resiliencia requerida y asegurando una debida rendición de cuentas sobre las capacidades que se deben desarrollar para cumplir la promesa de valor frente a los interesados o participantes de dicho ecosistema. Dentro de sus actividades se encuentran:
  • Definir y validar escenarios claves de amenazas emergentes.
  • Desarrollar el marco normativo vinculante para los participantes.
  • Adelantar la rendición de cuentas de los resultados de las actividades realizadas.
  • Mantener la alineación y acción con la estrategia de resiliencia organizacional planteada.

Para que este marco de compartir información se haga realidad, se hace necesario por una parte el desarrollo de las competencias claves enunciadas previamente y asegurar que el gobierno del ecosistema digital se funde en los siguientes cinco (5) criterios: (Adaptados de: Robinson y Aronica, 2016)
  • Diversidad: Cualquier aproximación o postura de los miembros del ecosistema es bienvenida, para crear oportunidad de nuevos entendimientos que aumente la variedad de las respuestas disponibles frente a eventos inciertos e inesperados.
  • Profundidad: Contar con espacios de reflexiones más detallas y elaboradas frente a escenarios de amenazas emergentes identificados, que si bien, no ocupen la agenda del cuerpo colegiado, si tengan la posibilidad de revisiones más elaboradas que maduren y delineen contextos relevantes para el ecosistema.
  • Dinamismo: Revisar de forma permanente las tendencias y supuestos de los escenarios y amenazas planteadas, de tal forma que se puedan concretar vistas alternas que nutran los análisis previos, actualizando los saberes previos y creando distinciones nuevas que miren nuevos horizontes posibles y no solo probables.
  • Experimentación: Motivar la generación de espacios para probar hipótesis planteadas sobre escenarios “impensables” hasta el momento para anticipar los errores y aprender rápidamente, para incorporar las lecciones aprendidas y ésta sean comunicadas eficiente y ágilmente a todos los miembros del ecosistema.
  • Transparencia: Cualquier actividad o actuación de los miembros del ecosistema frente a una amenaza identificada, deberá ser oportunidad para concretar posturas conjuntas de protección, que activen y actualicen la práctica de defensa activa (Denning, 2013) que procure un entorno resiliente para los actores del ecosistema.

Reflexiones finales
En una era de sobrecarga de información, de inestabilidades geopolíticas y acciones coordinadas por actores estatales y no estatales, contar con mecanismos tradiciones de protección y aseguramiento de información establece una postura particular y medianamente resistente frente a las incursiones de ataques más elaborados por los atacantes.

En este medida las empresas poco a poco deben comprender que se necesita una evolución del modelo de seguridad y control hasta hora implementado y lanzarse a reconocerse dentro de un tejido de relaciones digitales, con actores igualmente interesados en construir una red de protección extendida que permita respuestas coordinadas, resilientes y estratégicas, que den cuenta de las exigencias de los cuerpos ejecutivos para anticipar escenarios de falla que puedan afectar la dinámica de las empresas.

Por tanto, no sólo es continuar con el proceso evolutivo de la gestión de la seguridad de la información, sino comenzar a estructurar una vista compartida de la protección, reconociendo a otros actores interesados para construir un ambiente de confianza donde es posible creer y crear una capacidad emergente para resistir los ataques y reinventar la inevitabilidad de la falla ahora desde el aprendizaje significativo y permanente de los eventos inciertos, los cuales definen espacios privilegiados para salir de los saberes rutinarios de la seguridad de la información (Johnson, Badger, Waltermire, Snyder y Skorupka, 2016).

Así las cosas, la siguiente evolución de la seguridad de la información y ahora en términos de un mundo digitalmente modificado, de la ciberseguridad, la colaboración se hace una postura estratégica y políticamente correcta para enfrentar las ambigüedades del entorno, como una forma para habilitar las comunicaciones y acuerdos entre los niveles ejecutivos de las empresas, para crear la confianza necesaria que permita alcanzar capacidades de defensa activa (MITRE, 2012) antes inexploradas y así superar la vista individual vigente, que sólo favorece las pretensiones de los adversarios.

Referencias
Álvarez, G. (2016) Sin riesgo no hay innovación posible. Recuperado de: http://www.elartedepresentar.com/2016/11/citas-sin-riesgo-no-hay-innovacion-posible/
Conneran, K. (2014) Cyber security active defense: Playing with fire or sound risk management. Richmond Journal of Law & Technology. 12. Recuperado de: http://jolt.richmond.edu/index.php/cyber-security-active-defense-playing-with-fire-or-sound-risk-management/
Denning, D. (2013) Framework and principles for active cyber defense. Research document. Recuperado de: http://faculty.nps.edu/dedennin/publications/Framework%20and%20Principles%20for%20Active%20Cyber%20Defense%20-%2011Dec2013.pdf
Echeverría, B. (2014) Competencias y cualificaciones. En Echeverría, B. (Coordinador), Isus, S., Martínez, M. y Sarasola, L. (2014) Orientación profesional. Barcelona, España: Editorial Universidad Oberta de Cataluña. 69-123
Johnson, C., Badger, L., Waltermire, D., Snyder, J. y Skorupka, C. (2016) Guide to Cyber Threat Information Sharing. NIST Special Publication 800-150. Recuperado de: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-150.pdf
MITRE (2012) Active defense strategy for cyber. Recuperado de: https://www.mitre.org/sites/default/files/publications/active_defense_strategy.pdf
Robinson, K. y Aronica, L. (2016) Escuelas creativas. La revolución que está transformando la educación. Bogotá, Colombia: Ed. Grijalbo.