Pronósticos de seguridad de la información y ciberseguridad para 2019

Introducción

El ejercicio de anticipar el futuro exige el desarrollo del “músculo prospectivo”. No es identificar con certeza lo que puede ocurrir, sino plantear un marco común para desarrollar una conversación estratégica compartida acerca de aquello que es posible y plausible, y no necesariamente probable.

Tratar de generar una visión de lo que viene hacia adelante, es una capacidad que tiene en sí misma la inevitabilidad de la falla, pero la virtud de lanzarse a proponer futuros alternativos donde pueden crearse oportunidades o identificarse amenazas, es lo que permiten sacar de la zona cómoda a aquellos que están en el deber de tomar las decisiones claves que den cuenta del reto de posicionar a la empresa en un entorno incierto y asimétrico.

En este contexto, mirar sobre el mar incierto de las inestabilidades de la inseguridad de la información y los ciber riesgos emergentes, es un reto que implica desaprender aquello que conocemos y tratar de aprender del futuro desde las especulaciones y perspectivas del presente. En consecuencias, las reflexiones que se plantean a continuación, más que una propuesta concreta sobre pronósticos alrededor de la ciber-inseguridad, es una mirada divergente y contradictoria sobre lo que puede revelarse en los siguientes 365 días que inician en pocos meses.

Para realizar esta exploración y conversación abierta con la dinámica de la inseguridad, hace falta dejarse nutrir por los diferentes reportes de las empresas de seguridad, las vulnerabilidades publicadas, los anuncios de los gobiernos, las noticias cotidianas y sobre manera los avances científicos y académicos que generan nuevas posibilidades, para no caer en la zona donde creemos que conocemos los riesgos.

En este sentido, se detallan a continuación cinco (5) patrones emergentes (ver figura 1) que se sugiere revisar por parte de los curiosos y estudiosos de la inseguridad de la información en todos los diferentes dominios: personas, procesos, tecnología y normativas, para pensar de forma sistémica y estratégica la seguridad/ciberseguridad en las organizaciones, que en esencia demanda, un pensamiento creativo, disruptivo, orientado al futuro y experimental por naturaleza.

Figura 1. Pronósticos de seguridad de la información y ciberseguridad 2019 (Elaboración propia)

Pronósticos de seguridad de la información y ciberseguridad 2019

En primer lugar, la demanda y exigencia de las organizaciones por concretar experiencias distintas en sus clientes, acelera y aumenta la densidad digital de sus productos y servicios. Esto implica necesariamente la incorporación de interfaces y flujos de información sobre objetos físicos, que crean contextos de información personal, con apuestas individuales y particulares para cada usuario que termina por caracterizar comportamientos, actividades y gustos de los consumidores.

Lo anterior es posible a través de la incorporación del internet de las cosas, los terceros de confianza (Proveedores de servicios en la nube) y la computación oscura, o aquella representada en aplicaciones móviles instaladas por las personas y no registradas ante los departamentos de tecnología de información en las organizaciones. Estos elementos crean ecosistemas digitales que son operados por diferentes actores con diferentes tecnologías y prácticas de seguridad, que terminan siendo usados y definidos por los individuos que los usan. 

Esta nueva superficie digital de conectividad (local y en la nube), establece un especial sustrato y atractivo para los atacantes como quiera que encuentran diversos tipos de prácticas de seguridad y control sobre dispositivos inteligentes, que por definición terminan siendo “inseguros”, dado que no fueron diseñados bajo esta perspectiva, sino para ser funcionales (Perkins, 2016).

Una segunda tendencia que se advierte es el aumento de la vigilancia y monitorización de gobiernos, grupos no gubernamentales, sobre los datos de personas, empresas y estados. La necesidad de tener control sobre las comunicaciones, conocer de antemano posibles condiciones adversas frente a la gobernabilidad de las naciones, las operaciones de espionaje, manipulación y control seguirá aumentando, creando mayores inciertos y tensiones sobre los derechos fundamentales de las personas en internet.

El ISF (Information Security Forum) fundamenta este pronóstico en los siguientes puntos:

• Ninguna organización podrá evitar la recolección de sus datos; será un requisito legal.
• Es probable que los datos sean almacenados en múltiples ubicaciones por múltiples partes externas, cada una de las cuales aplica diferentes niveles de seguridad.
• El creciente volumen e impacto de las brechas de datos en todo el mundo sugiere que los datos no estarán adecuadamente protegidos.
• Es probable que los atacantes que intentan explotar los datos estén mejor financiados y más motivados que las personas responsables de protegerlos.
• El valor potencial de los análisis de los datos los convertirá en un objetivo natural para los atacantes bien dotados de recursos, altamente cualificados y decididos, incluidos los grupos delictivos organizados, los competidores y los grupos terroristas. (Olavsrud, 2017)

Derivado de lo anterior y las reiteradas menciones a la temática de la pos-verdad, bien afirma el reporte del ISF (2019), que en 2019, la integridad de la información estará bajo sospecha y será la causante de muchas distorsiones y confrontaciones a nivel global. Basta ver los usos recientes de información manipulada e incompleta que se ha utilizado para crear inestabilidades e inciertos que terminan con tensiones geopolíticas que cambian no sólo la visión de las cosas, sino que provocan posiciones encontradas.

La pérdida de la integridad de la información, establece el referente natural que genera ciberconflictos abiertos, donde las naciones buscan alcanzar posiciones estratégicas globales, que le permitan tener la mayor cantidad de terreno digital disponible y el control de los datos, sin perjuicio de las implicaciones que puedan tener sobre las operaciones de las empresas y sus activos estratégicos. La erosión de la integridad de la información y su abuso, plantearán situaciones adversas creando desinformación que sólo busca distraer a todos los involucrados mientras los objetivos fundamentales que se persiguen se logran.

El estudio y experimentación aceleradas sobre el uso de la tecnología de cadena de bloques (Blockchain) será puesto a prueba. La confiabilidad criptográfica sobre la cual esta tendencia tecnológica ha creado su confianza, será el marco de nuevas fallas de seguridad y control. Lo que para unos era la solución definitiva e invulnerable, para otros será la reacción natural de las sobrevaloración de una tecnología, que quedan sometidas a la implacable acción de la inevitabilidad de la falla (Cano, 2017).

En este sentido, las cadenas de bloques serán atacadas para cometer fraude o lavar dinero, deteriorando la confianza de la que dependen. Esto podría llevar al abandono de la cadena de bloques o la reformulación de su modelo base, con el fin motivar una evolución acelerada del concepto, pensando en nuevas fronteras de conocimiento alrededor de la computación cuántica.

El quinto patrón que se identifica es la crisis del paradigma de la “gestión de parches” frente al reto del agilismo que se impone en el contexto de nuevas aplicaciones que soportan una transformación digital. Siempre habrá vulnerabilidades escondidas en cada pieza de software, lo que necesariamente implica un ciclo de descubrimiento de la falla, generación del parche, su instalación y prueba, para finalmente su estabilización y puesta en producción.

Frente a este ciclo que toma un tiempo importante, se confronta la necesidad de ajustes y despliegues rápidos en un contexto de dispositivos distribuidos, con funcionalidades y efectos sobre el mundo real, que generalmente responden al internet de las cosas. Los retos que este nuevo contexto implica para la seguridad de las “cosas” demanda crear prototipos, ver como fallan, ajustarlos rápidamente, actualizar los requerimientos y especificaciones (Schneier, 2018, p. 42), para tratar de anticipar los posibles errores, habida cuenta que ahora la materialización de una vulnerabilidad tiene un efecto concreto en el mundo real: apagar una planta, cerrar una válvula, activar un reactor o cegarle la vida a una persona.

Reflexiones finales

Estas cinco tendencias que se han identificado establece un marco de reflexión que muestra la necesidad imperante de los negocios de contar con datos para crear experiencias distintas. De igual forma, la inseguridad de la información seguirá llevando a los investigadores y curiosos de la protección de la información, a nuevos descubrimientos y retos de frontera, que serán cuidadosamente observados por las naciones y gobiernos como insumos para construir ciberarmas, las cuales inevitablemente se nutren de los efectos de la inseguridad sobre la cual están fundadas.

En el contexto actual y lo que se advierte hacia el futuro, las implicaciones de la vulnerabilidades y fallas de seguridad serán menos técnicas y más evidentes en el mundo real, dada la alta conectividad de las actividades humanas y la necesidad de estar informados de forma inmediata. Así las cosas, los algoritmos, las aplicaciones y las conexiones entre los diferentes objetos digitalmente modificados, podrán y serán comprometidas, creando confusión e inestabilidad para tomar las decisiones que se requieren en el escenario de los nuevos negocios digitales.

Si bien no es posible afirmar que la situación mencionada va a mejorar, lo que si es claro es el aumento de la asimetría de la información, que hará más complejo la interacción y coordinación entre los diferentes actores, para establecer acciones concretas que aumente la resistencia a los diferentes vectores de ataque y motive una iniciativa conjunta que controle el deterioro acelerado de la naciente confianza digital.

Referencias

Cano, J. (2017) Blockchain: “Cadena de bloques”. Reflexiones sobre seguridad y control. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. No 145. 45-51.

ISF (2017) Threat horizon 2019. Disruption. Distortion. Deterioration. Recuperado de: https://www.securityforum.org/uploads/2017/03/ISF_Threat-Horizon-2019_Executive-Summary.pdf

Olavsrud, T. (2017) 9 biggest information security threats through 2019. CIO. Recuperado de: https://www.cio.com/article/3185725/security/9-biggest-information-security-threats-through-2019.html

Perkins, E. (2016) Top 10 Security Predictions Through 2020. Forbes. Recuperado de: https://www.forbes.com/sites/gartnergroup/2016/08/18/top-10-security-predictions-through-2020/

Schneier, B. (2018) Click here to kill everybody. Security and survival in a hyper-connected world. New York, USA: W. W. Norton & Company.

Conocimiento del entorno y confianza digital: Fundamentos de la próxima generación de profesionales de seguridad de la información y ciberseguridad

Introducción

En un contexto digitalmente modificado, los retos de la seguridad de la información y la ciberseguridad cambian sustancialmente. Mientras en el pasado, las prácticas de protección de la información se mantenían con recetas conocidas: controles generales de tecnología de información, generación de alertas sobre eventos previamente identificados, evaluaciones de verificación de controles, entre otros; hoy el panorama dinámico y asimétrico de las vulnerabilidades, riesgos y amenazas demanda una vista más sistémica y prospectiva que cambia el status quo reactivo y preventivo de la seguridad y el control (Kaplan, Bailey, O’Halloran, Marcus & Rezek, 2015).

Si bien durante la última década del siglo XX y la primera del siglo XXI, la seguridad de la información, estuvo marcada por la protección de los activos de información en las organizaciones (Cano, 2018), hoy en los albores de la tercera década de este nuevo milenio, es la densidad digital, el nuevo paradigma que los profesionales de la protección de la información deben comprender, para alinear los esfuerzos de los ejecutivos y sus retos empresariales, frente a la inevitabilidad de la falla, que ahora se concentra en plataformas digitales, terceros de confianza, convergencia tecnológica y tecnologías disruptivas.

La densidad digital como “el poder de acceder de forma remota a los datos generados por las organizaciones, las personas y las cosas sin importar su ubicación física, y de articular interacciones relevantes entre ellas” (Zamora, 2017), se configura como el nuevo normal que deben asumir los profesionales de la protección de la información, para reinventar sus prácticas y modelos de seguridad y control, ahora en un contexto de flujos de datos controlados, latentes (no controlados) y emergentes, los cuales definen la condición de confiabilidad de un objeto digitalmente denso.

Lo anterior, configura nuevos escenarios de interacción, donde las “cosas digitalizadas” hacen parte de ecosistemas con funcionalidades y características extendidas, que crean capacidades diferenciales para las empresas, con el fin de fundar experiencias distintas para sus clientes. Estas nuevas plataformas digitales, que pertenecen a diferentes compañías, se fusionan con desarrolladores especializados para proveer una variedad de interfases de programas de aplicaciones (en inglés API), que permiten integrar y potenciar la conectividad entre diferentes contextos de uso (dispositivos móviles, aplicaciones, hardware, entre otros) para lograr funcionalidades antes no imaginadas (De Reuver, Sørensen & Basole, 2018).

En consecuencia, este documento hace una revisión de los retos que enfrentan los profesionales de seguridad de la información y de ciberseguridad (en adelante psiyc) en una sociedad digital, y detalla algunas reflexiones sobre cómo deben abordar esta nueva realidad tecnológicamente modificada, con el fin de ejercer un liderazgo digital valioso, que anticipe, comprenda y comunique los riesgos como elementos claves para construir una confianza digital imperfecta, que está basada, no sólo en la protección de activos de información, sino en activos digitales que ahora en están en manos de los clientes, y que evolucionan según las expectativas y experiencias de éstos.

Retos de los profesionales de seguridad de la información y ciberseguridad en un contexto digital

Los especialistas y ejecutivos en seguridad de la información y ciberseguridad, se encuentran en una encrucijada, que les demanda resolver el reto de la velocidad y la creatividad del negocio, con la protección, no sólo de la información, sino de la realidad digital que ahora vive y experimenta el cliente.

En este sentido, los límites naturales de los profesionales en la protección de la información, que están fundados dentro de los linderos de la organización para la cual prestan sus servicios, ahora se extienden sobre los escenarios alternos que ahora plantean los negocios actuales. Un cliente digitalmente conectado, se configura como una extensión de la empresa y se convierte en parte inherente de la promesa de valor de la empresa, así como en un elemento clave en la lectura de la confiabilidad de la empresa y sus productos.

Si bien, la elaboración y configuración de los nuevos dispositivos digitalmente densos, exige un mayor detalle y consideraciones de seguridad y privacidad por diseño (Bhattari & Wang, 2018), los psiyc deben asegurar que dicho artefacto se revele a los clientes, no solo como una oportunidad que concreta nuevas experiencias, sino como un elemento digitalmente confiable, donde tanto empresa como cliente, construyen una relación de confianza digital, que conecta las exigencias de cumplimiento de calidad y conformidad de producto, y la promesa de valor de la empresa con sus usuarios.

Dicho lo anterior, los retos claves que los psiyc, se concentran en al menos cuatro (4) elementos claves: los flujos de datos conocidos (controlados), los latentes (no controlados) y aquellos emergentes, propios de las nuevas implementaciones propuestas y poco estudiadas (ver figura 1), así como priorizar la cultura de confiabilidad sobre el proceso de aseguramiento de la información.

Figura 1. Flujos de información en contextos digitalmente modificados. Elaboración propia

Los flujos de datos conocidos, están asociados con las conexiones que se han fundado sobre la infraestructura, los diseños de las aplicaciones y sus funcionalidades, las cuales cuentan con una lectura de riesgos y controles tradicional que permiten mantener una confianza base de la operación. En este escenario, los terceros de confianza y las infraestructuras compartidas en sí mismas, deben mantener una línea base de seguridad y control que mantenga su negocio bajo condiciones estables de funcionamiento y cumpliendo con la exigencias de las regulaciones y mejores prácticas internacionales.

Los flujos latentes (no controlados), se derivan de las conexiones y usos alternativos que se configuran sobre los dispositivos digitalmente modificados. Las funcionales y la conectividad que se habilitan en estos objetos digitales a través de APIs, establecen un mapa extendido de la infraestructura, que crea rutas alternas de enlaces entre la infraestructura, los datos de las personas y las características del mencionado objeto, que no son visibles ni para el administrador de la infraestructura, ni para el desarrollador de las aplicaciones, ni para el cliente; creando una zona gris de interacción que debe ser revelada y asegurada en tiempo real (Calabro, Púrpura, Vasa & Perinkolam, 2018).

Los flujos emergentes, surgen cada vez que un nuevo ecosistema aparece con capacidades diferenciadas, brindando espacios de conectividad, contenido y acoplamiento con infraestructuras previas, lo que si bien, habilita y establece nuevas oportunidades para hacer cosas distintas y anticipar expectativas de los usuarios, también abre espacios donde se cultiva de manera acelerada la inevitabilidad de la falla, dada la opacidad de los flujos de información que se generan, la forma como se concretan las interacciones y los caminos (entre las infraestructuras, las aplicaciones y los individuos) que se habilitan para lograr el efecto deseado en el cliente.

Si lo anterior representa un reto de diseño, implementación y anticipación relevante para los psiyc, la cultura de confiabilidad, representada en la responsabilidad digital compartida entre el cliente y la organización por un uso adecuado de la información, la protección de la privacidad y el cumplimiento normativo, no es menos importante, para asegurar una vista complementaria de los desafíos de estos profesionales. La cultura de confiabilidad (o de seguridad o ciberseguridad) configura una serie de comportamientos que confirman un imaginario de confianza, que debe anclarse en cada uno de los participantes de los ecosistemas de negocios actuales: desde el desarrollador hasta el usuario final (Reed & Carleton, 2018).

Nuevas habilidades para asumir el reto de la confianza digital

Asumir reto de proteger un mundo mediado por flujos conocidos, latentes y emergentes, demanda un cambio en la manera como los psiyc, comprenden la forma como se alcanza la protección y la confianza en un entorno digital. Para ello, estos profesionales deben pasar de actuar de forma mecanicista basado exclusivamente en prácticas conocidas, a pensar de forma sistémica, es decir, observar el panorama general y sus relaciones visibles, así como las emergentes, de tal manera que pueda construir un mapa del ecosistema digital que la organización ha construido, con el fin de anticipar posible eventos y amenazas que generen tensiones negativas sobre la promesa de valor de la empresa.

Lo anterior supone, desarrollar distracciones productivas (Lund, 2018), que permitan observar y analizar diferentes perspectivas del entorno donde se encuentran, identificando detalles en las interacciones, sin perder la dinámica general del movimiento general del ecosistema donde opera la organización. Esto supone un ejercicio de curiosidad y concentración, que combine la capacidad de asombro (Calvo, 2016) de los profesionales y ejecutivos de la seguridad, con la práctica deliberada de focalizar la atención, sobre situaciones que puedan ser contradictorias, raras o inciertas.

Para lograr lo anterior, los psiyc deben estar atentos para no dejarse llevar por los “cantos de sirenas digitales” (Lund, 2018) que distraen la atención desde la “falsa sensación de seguridad”, la comodidad de sucesos que se enmarcan en la normalidad de la operación y sobremanera, en la zona cómoda de los estándares y buenas prácticas de seguridad y control donde la inercia y la decisiones conocidas no dejan espacio para pensar diferente.

Así las cosas, los psiyc deben combinar su experiencia previa, con su capacidad de asombro sobre tendencias y situaciones emergentes, que le permita ir en profundidad en su campo de conocimiento, mientras interactúa de forma colaborativa con sus pares y terceros de confianza, así como con profesionales de otras disciplinas, para liberarse de las cegueras cognitivas (Richards, 2018), crear una zona de tensiones sobre los controles actuales y abrirse a nuevas formas de caracterizar los comportamientos del ecosistema que ahora custodia, no sólo desde la realidad de la empresas, sino con las implicaciones para los clientes.

En este nuevo escenario volátil, incierto, complejo y ambiguo, los psiyc deben ajustarse rápidamente a las demandas del entorno, aumentar su capacidad de análisis, desaprender/aprender de forma ágil frente a la asimetría de las vulnerabilidades y amenazas, de tal manera que, comprendiendo la convergencia tecnológica acelerada, pueda construir un modelo de ciber-resiliencia (Boyes, 2015), que haga resistente a las fallas, no sólo la infraestructura, las aplicaciones y los objetos digitalmente densos, sino la conexiones y relaciones entre los diferentes actores de los nuevos ecosistemas digitales de negocios.

Creando profesionales de seguridad y control valiosos para el contexto digital

Para concretar esta nueva raza de psiyc, requeridos en una sociedad digital y tecnológicamente modificada, es necesario comprender donde se encuentran las ventajas competitivas que les permitan avanzar tan rápido como los desarrollos tecnológicos e iniciativas de negocio. En razón con lo anterior, se presenta a continuación una lectura de nuevas fuentes de ventaja competitiva para dichos profesionales, basado en las reflexiones desarrolladas por Weil & Woerner (2018), asociadas con la manera como las organizaciones de nueva generación crean valor para sus clientes.

Para fundar este análisis, se consideran dos elementos fundamentales para configurar la nueva generación de psiyc, que son el conocimiento del entorno y la confianza digital. El primero habla de la capacidad de los profesionales para ampliar su entendimiento de las tendencias emergentes que pueden potencialmente afectar negativamente la dinámica de los negocios con impactos contrarios y efectos no deseados; mientras el segundo es la propiedad emergente que debe surgir en los ecosistemas digitales al articular las distinciones de ciberseguridad, seguridad de la información, privacidad y cumplimiento, que tiene como centro el cliente y su experiencia.

El cruce de estos dos elementos crea cuatro cuadrantes (Ver figura 2), donde los psiyc se pueden mover, para generar apuestas de valor distintivas que conecten su habilidad para reconocer y anticipar riesgos y amenazas en el entorno de negocios de la empresa y así, custodiar la promesa de valor de la empresa, considerando al cliente como vértice de sus acciones y fundamento de la confianza digital empresarial.

Figura 2. Fuentes de ventaja competitiva para los psiyc. Elaboración propia (basado en Weil & Woerner, 2018).

El primer cuadrante, donde el conocimiento del entorno y confianza digital es baja, los psiyc se mantienen fieles a las prácticas y estándares conocidos de la industria, como una manera de preservar la confiabilidad de las operaciones, requerida en entornos conocidos y de tareas repetitivas. Si bien, la maestría alcanzada para implementar y evaluar estos estándares revela un importante reto  y logro profesional para los especialistas en seguridad y control, no genera apuestas distintivas que puedan ser percibidas como valiosas tanto por los clientes como por los ejecutivos de la empresa.

El segundo cuadrante, donde el conocimiento del entorno es bajo y la confianza digital es alta, los especialistas en seguridad y ciberseguridad, deben rápidamente contratar plataformas especializadas con terceros para aumentar el conocimiento de su entorno de operaciones, y establecer patrones de tendencias de los comportamientos de sus clientes, de tal manera que pueda brindarles espacios confiables para concretar experiencias nuevas de los clientes. El reto es acoplar el modelo de seguridad vigente y su infraestructura, con las capacidades de los terceros, creando un visión extendida de seguridad y control, que aumente la visibilidad y acción efectiva frente a eventos y situaciones inéditas de los productos o clientes.

El cuadrante tres, que surge de la necesidad de un alto conocimiento del entorno y bajo desarrollo de la confianza digital, demanda de los psiyc, crear capacidades analíticas para identificar y anticipar tendencias, lo que significa habilitar una vista multicanal de las amenazas y vulnerabilidades presentes en el ecosistema digital de la empresa, con el fin de crear escenarios de interacción ágiles y confiables para los clientes, donde a pesar de lo agreste del entorno, tanto la organización como sus compradores, encuentren razones para interactuar con sus productos y servicios digitalmente modificados.

El cuadrante cuatro donde tanto el conocimiento del entorno y la confianza digital es alta, es un estadio donde los psiyc, deben integrar tanto las prácticas y estándares conocidos, el uso de plataformas especializadas, y el desarrollo de las capacidades analíticas, para motivar el despliegue de ecosistemas digitales de seguridad y ciberseguridad, que asistidos por avances tecnológicos como la inteligencia artificial y el uso de algoritmos de aprendizaje, establezcan propuestas sobre una “protección a la medida” o “como servicio” que no solo conoce del entorno, sino del contexto del cliente y su perfil de riesgo.

Los cuatro cuadrantes establecen las posturas que los psiyc pueden asumir con el fin de avanzar o no en este nuevo entorno digital. En consecuencia, los especialistas en seguridad y control deberán articular su capacidad para anticipar inestabilidades en el entorno, de comunicarse y vincularse con la junta directiva, y crear una cultura de seguridad y de ciberseguridad, donde la responsabilidad digital empresarial se convierta en el mantra que conecta la promesa de valor de la empresa, con las expectativas y experiencias tanto de clientes como de los supervisores de los diferentes sectores de negocio.  

Reflexiones finales

La práctica de los psiyc debe reinventarse de cara al reto de los riesgos en un escenario digitalmente modificado. Mientras en el siglo XX un especialista de seguridad y control, tenía un marco de actuación cierto y medianamente verificable, en un contexto asimétrico y variable de vulnerabilidades y amenazas, se hace necesario cuestionar los saberes previos y, salir a buscar y descubrir las opacidades de los modelos de seguridad y ciberseguridad diseñados e implementados en las empresas.

En esta nueva renovación se requiere desarrollar una vista sistémica que reconozca la confianza digital como fundamento de las actuaciones de los psiyc, donde se incluyan fabricantes, clientes y organizaciones, como núcleo central de operaciones y análisis de los retos asociados con los nuevos activos digitales que se crean, sin descuidar las interacciones propias de los ecosistemas digitales donde estos tres actores participan.

Bajo este entendido, y considerando las relaciones que se pueden concretar entre cada uno de los participantes mencionados, los retos de los psiyc asociados con los flujos conocidos, latentes y emergentes, definen la densidad digital que se configura en este entorno de trabajo, de tal forma que, las afectaciones originadas por la explotación vulnerabilidades generen resultados contrarios tanto a nivel lógico como físico, creando un efecto adverso sobre los clientes, que incide en la confianza digital necesaria para seguir explorando las inéditas propuestas que surgen de la convergencia tecnológica.

Por tanto, si se quiere que la nueva raza de psiyc, se convierta en el tan deseado “aliado estratégico” del negocio,  se precisa que sea capaz de elaborar y mantener un mapa del ecosistema digital de la empresa y sus riesgos conocidos, latentes, focales y emergentes (Cano, 2017), así como el fortalecimiento de una cultura de seguridad/ciberseguridad empresarial que reconoce y desarrolla la ciber-resiliencia como una capacidad empresarial necesaria para competir en un entorno asimétrico e inestable.

Lo anterior demanda “salvar la brecha entre los objetivos empresariales (el problema inicial que se desea resolver) y la experiencia de los clientes (preferencias y necesidades profundas del mercado que no están siendo bien atendidas) para reformular el problema y generar nuevas oportunidades” (Vila & Camps, 2018, p.16). Esto leído en clave de seguridad y ciberseguridad, implica crear oportunidades de mayor confiabilidad del ecosistema desde sus vulnerabilidades, para formular un ejercicio de confianza digital imperfecta, donde todos los actores (fabricantes, clientes y empresas) hacen parte de una vista holística de la seguridad que se sustenta en un diseño de protección sensible a la promesa de valor.

Si un psiyc no es capaz de asombrarse con las posibilidades que la inevitabilidad de la falla puede generar en un escenario hiperconectado, instantáneo, móvil y con terceros de confianza, no podrá crear escenarios posibles y plausibles que aumente su capacidad de aprendizaje/desaprendizaje. Es decir, no podrá orientar a las organizaciones para asumir riesgos de forma inteligente y proponer alternativas de seguridad y control ajustadas con la dinámica que los ecosistemas exigen.

Por tanto, comprender que los datos recolectados por los servicios e infraestructuras de seguridad no predicen el futuro y es en la comprensión de la dinámica actual de la inevitabilidad de la falla, donde es posible explorar oportunidades para vislumbrar nuevas formas para asegurar el ejercicio de una confianza digital imperfecta, se hace necesario entender esta confianza como una proposición de valor que resuene en el imaginario de los equipos ejecutivos, como un elemento útil y relevante para construir en conjunto con los fabricantes, los clientes y la organización un marco de responsabilidad digital empresarial donde todos se hagan uno con los productos y/o servicios digitalmente modificados.

Referencias

Bhattarai, S. & Wang, Y. (2018) End-to-End trust and security for internet of things applications. IEEE Computer. April. 20-27

Boyes, H. (2015) Cybersecurity and cyber-resilient supply chains. Technology Innovation Management Review. 5(4). 28-34

Calabro, L., Púrpura, C., Vasa, V. & Perinkolam, A. (2018) El imperativo de API. Desde preocupación de TI hasta mandato de negocios. Deloitte Insights. Recuperado de: https://bit.ly/2HB5I

Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.

Cano, J. (2017) The AREM Window: A Strategy to Anticipate Risk and Threats to Enterprise Cyber Security . ISACA Journal. 5.

Cano, J. (2018) El profesional de seguridad de la información. Un análisis de su evolución: 1960-2030+. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. No. 147. Abril-Junio. 65-72. Doi: 10.29236/sistemas.n147a6

De Reuver, M., Sørensen, C. & Basole, R. (2018) The digital platform: a research agenda. Journal of Information Technology. 33(2). 124-135. Doi: 10.1057/s41265-016-0033-3

Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley

Lund, C. (2018) Managing the distraction-focus paradox. Sloan Management Review. Summer. 72-75. Recuperado de: https://sloanreview.mit.edu/article/managing-the-distraction-focus-paradox/  

Reed, J. & Carleton, J. (2018) The Global State of Online Digital Trust. A Frost & Sullivan White paper. Commissioned  by CA technologies. Recuperado de: https://www.ca.com/us/collateral/white-papers/the-global-state-of-online-digital-trust.html

Richards L. D. (2018) Changing the Educational System: The Bigger Picture. Constructivist Foundations. 13(3): 331–333. Recuperado de: http://constructivist.info/13/3/331.richards

Vilà, J. & Camps, X. (2018) De la identificación de necesidades a la generación de oportunidades. IESE Insight. 37. Segundo trimestre. 15-21. Doi: 10.15581/002.ART-3168.

Weil, P. & Woerner, S. (2018) What’s your digital business model? Six questions to help you build the next-generation enterprise. Boston, Massachusetts. USA: Harvard Business Review Press. Cap.3

Zamora, J. (2017) ¿Es posible programar modelos de negocios? IESE Insight. 33. Segundo trimestre. 23-30. Doi: 10.15581/002.ART-3013.

Ciber riesgo/Ciberseguridad. Superando cinco (5) imaginarios comunes en los cuerpos de gobierno corporativo

Introducción

La ciberseguridad como un tema emergente en los cuerpos de gobierno empresariales, ha venido creando reflexiones ejecutivas, que dan cuenta de nuevas realidades y retos que las organizaciones deben asumir frente a una amenaza digital, que evoluciona y se transforma tan rápido como las disrupciones tecnológicas actuales.

Sin perjuicio de lo anterior, los ejecutivos, al parecer siguen manejando imaginarios sobre esta temática, donde la incorporación de tecnología avanzada permite cerrar la incertidumbre identificada y mantenerse al margen de las inestabilidades que los riesgos emergentes pueden crear en los modelos de negocios actuales y futuros. Hoy las disrupciones tecnológicas, quiebran el statu quo de los negocios, mientras los ciberataques comprometen la confianza de los clientes y deterioran la imagen de la empresa.

En consecuencia, las juntas directivas se encuentran más expuestas a los inciertos de los ataques digitales, como quiera que estos eventos, no sólo revelan las limitaciones inherentes a la inevitabilidad de la falla, sino la desatención de los equipos directivos, sobre los alcances, impactos y desafíos que generan los sucesos digitales adversos. Esta tendencia, si bien contrasta con recientes informes que indican un resultado diferente (Pwc, 2018), no es ajena a muchos cuerpos de gobierno de empresas tradicionales, los cuales guiados por sus sesgos cognitivos piensan que conocen los riesgos, generando así una falsa sensación de seguridad.

Así las cosas, las juntas directivas deben superar al menos cinco imaginarios y sesgos cognitivos que les permitan rasgar el velo de la realidad y preparar mejor sus respuestas cuando un incidente de seguridad y/o ciberseguridad se manifieste en el ejercicio de sus operaciones diarias. Pensar desde la postura de la inevitabilidad de un incidente y la necesidad de un reconocimiento constante del entorno y su volatilidad, es un cambio de paradigma de seguridad y control frente al desarrollo de capacidades de pronóstico y anticipación.

Por tanto, en este breve documento se detallan y analizan los cinco imaginarios que, asistidos por sesgos cognitivos, reducen la capacidad de análisis y pronóstico de las empresas limitando su capacidad de resiliencia digital (Bodeau & Graubart, 2013), tan necesaria en entornos agrestes e inciertos como el actual

Imaginario No.1 “Los temas de seguridad y ciberseguridad son del área de tecnología. Ellos deben cuidar el negocio y responder a esta amenaza digital” – Sesgo de proximidad

Cuando se ha habla de temas en el contexto ciber, las referencias no son otras que las tecnologías modernas y los adelantos técnicos que aumentan la generación de datos alrededor de los objetos físicos. En este escenario, los ejecutivos asocian esta dinámica con los retos de las áreas de tecnología de información, sin percatarse que esta tendencia, de un aumento de densidad digital (Zamora, 2017), lo primero que hace es cambiar la lectura del entorno de negocio, suspendiendo la realidad que se conoce, transformando la experiencia de los clientes en nuevas posibilidades para conectarlos y crecer de forma conjunta con ellos.

En este sentido, se crea un sesgo cognitivo de proximidad, que consiste en estar tan cerca de la realidad que se manifiesta, que se pierde el contexto donde ocurre. Comprender que el resultado de una mayor densidad digital, genera en primer lugar un reto de negocio, es atender la necesidad de confianza digital de los usuarios de los nuevos productos y servicios digitalmente modificados, quienes demandan experiencias inéditas y tomar el control de su entorno para configurarlo según sus expectativas.

Por lo tanto, no es la tecnología por sí misma la que se debe proteger, sino crear una base de confianza digital (seguridad, privacidad, cumplimiento y promesa de valor) (Accenture, 2014) que supere la vista técnica de la relación con el cliente, conectando el nivel de exposición del negocio con los impactos de un ciberataque en sus grupos de interés, como un nuevo referente de gobierno corporativo, que permita incorporar la ciberseguridad en clave ejecutiva, es decir con matices estratégicos, financieros, técnicos y de industria.

Imaginario No.2 “Contamos con las capacidades y competencias en nuestros equipos de tecnología para hacerle frente a variaciones inesperadas de las amenazas digitales” – Sesgo de confianza

Bien anota Edgar Morin (2001) que estamos expuestos en un mar de incertidumbres, donde tratamos de encontrar algunos archipiélagos de certezas. En este ejercicio, se hace necesario todo el tiempo retar y renovar los saberes previos, con el fin de encontrar nuevas oportunidades para aprender y desaprender.

Contar con tecnologías avanzadas de seguridad y personal altamente competente en seguridad de la información, si bien permite avanzar en contextos ciertos, no asegura que la inevitabilidad de la falla encuentre nuevos caminos para sorprender a las organizaciones. En consecuencia, si la empresa permanece confiada en la manera como actualmente mantiene y ejecuta las rutinas de seguridad y control para mantenerse tranquila, encontrará escenarios desconocidos que crearán tensiones en el modelo de seguridad vigente, sacando de la zona cómoda a los ejecutivos de primer nivel.

La sensación de incertidumbre e inestabilidad que crea una condición inesperada que vulnere la seguridad de la información, aumenta el dilema de control latente (Espejo & Reyes, 2016) en los cuerpos de gobierno, que se sienten que su confianza ha sido defraudada y no reparan, en comprender que dicha confianza es imperfecta. Es decir, superar la vista de invulnerabilidad o cero riesgos, que implica comprender los umbrales de falla que la organización debe y puede manejar, según sus retos y condiciones de negocio actuales.

Por tanto, el reto de la confianza imperfecta (Cano, 2017) es el desafío de saber qué tan bien se protege y aseguran las operaciones, con el fin de defender y anticipar nuevos vectores de ataque que se revelan en el horizonte, de los cuales no existen referentes y donde las simulaciones, pruebas y escenarios se vuelven relevantes para tratar de develar patrones de agresiones digitales futuras.

Imaginario No.3 “La continuidad tecnológica en las plataformas de nuestras operaciones, nos permiten recuperarnos ante cualquier falla informática” – Sesgo de optimismo

Las organizaciones y las personas por lo general mantienen una vista positiva de las situaciones diarias, que, si bien permite una sana estabilidad emocional y psicológica, con frecuencia las llevan a subestimar la posibilidad y probabilidad que eventos adversos se manifiesten.

Esta condición anterior, lleva a las organizaciones a creer son más inmunes que otras a eventos adversos, teniendo como base que no ha habido situaciones relevantes en su sector o materializadas en empresas conocidas o cercanas (Meyer & Kunreuther, 2017). Lo anterior, genera un paradigma de “confort” en las prácticas de seguridad y continuidad del negocio que aumenta el imaginario de los ejecutivos sobre una seguridad a toda prueba.

Cuando una empresa es capaz de mantener un mínimo de paranoia bien administrado, mantiene una postura de vigilancia y monitorización proactiva, que le permite ajustar todo el tiempo su capacidad de reacción, pero con mayor efectiva, su faceta de anticipación. Tener continuidad tecnológica no asegura una adecuada gestión de la falla, sólo asegurar que la infraestructura y la continuidad de la misma se mantiene desde sus bases.

Una postura optimista sobre una baja probabilidad de un evento adverso, o la materialización de una amenaza digital, no exime a la organización de una estrategia proactiva de ejercicios, escenarios y simulaciones que no sólo la preparen para ese momento, sino que la actualice en paradigmas de continuidad, y la lleven a pensar en la resiliencia digital de los negocios.

Imaginario No.4 “Incorporar tecnologías avanzadas de seguridad, aumenta nuestra resistencia a problemas de fraude, seguridad y ciberseguridad” – Sesgo de inercia

Cuando una empresa se siente tranquila por el nivel avanzado de incorporación tecnológica de seguridad, comienza a cultivar la falsa sensación de protección. Esto es, crea un entorno de confianza ciega, que busca mantener un statu quo o una opción por defecto, que se justifica desde los beneficios potenciales de soluciones que prometen preservar la tranquilidad o resistencia a eventos informáticos adversos.

La inercia como incapacidad tanto de las organizaciones como de las personas de ver que están ocurriendo cosas fuera de su dominio de conocimiento y experiencia, establece las bases de un futuro incidente, como quiera que se crean zonas ciegas en sus análisis de la realidad, se subestiman las posibilidades de fallas y se acomodan las lecturas de la exposición del negocio, a aquello que los ejecutivos quieren escuchar.

La inevitabilidad de la falla, la vulnerabilidad y la incertidumbre deben ser los mejores referentes para establecer tensiones creativas sobre las implementaciones tecnológicas. Un ejercicio sano para crear entornos inesperados e inciertos, donde la tecnología no responda de la forma más adecuada y los ejecutivos experimentan vacíos y dilemas de control que no pueden resolver solos, sino en una lectura colaborativa que supere sus saberes disciplinares y se habilite una visión transdisciplinar.

La inseguridad de la información al igual que el fraude, son dinámicas que nunca se acomodan con las condiciones del entorno. Tienen la capacidad de transformarse y renovarse al interactuar con el incierto, de tal forma, que no sólo crean contextos inesperados, sino nuevas perspectivas para mimetizarse con el ambiente. En consecuencia, la organización que es ajena a la naturaleza de estos dos fenómenos, estará expuesta a experiencias de inestabilidad y ambigüedad que afectarán no solo su promesa de valor, sino la experiencia con su cliente.

Imaginario No.5 “Compañías de nuestro sector de negocio han superado incidentes de seguridad, con un mínimo de inversión” – Sesgo de rebaño

Una forma natural en la que los cuerpos ejecutivos de las empresas tratan de comprender los fenómenos de las organizaciones, es indagando cómo lo hacen los otros, qué experiencias han tenido y las prácticas que han implementado. Este ejercicio, por demás acertado y necesario, deja de lado algunos supuestos que los directivos pasan por alto, sin perjuicio de la positiva intencionalidad de sus reflexiones.

Cuando una organización pregunta por las experiencias de otras, está preguntando por sus propias inquietudes e incertidumbres, las cuales llevan inmersas una declaración de “no saber” que la motiva a aprender sobre aquello que no tiene conocimiento o no tiene claridad. Esto implica declarar una ceguera cognitiva que no comprende y explorar posibilidades fuera del entorno conocido dentro de la organización.

Una vez la organización tiene acceso a la información o responde a las inquietudes que tiene sobre un tema de interés, trata de abordar la situación interna desde la perspectiva de la otra organización, tratando de adaptar la lección aprendida a su contexto particular, muchas veces sin recabar el contexto diferente que ella enfrenta, habida cuenta que no son las mismas condiciones y variables las que están en juego.

Lo anterior, puede llevar a un sesgo de rebaño (Meyer & Kunreuther, 2017), que es la tentación de tomar opciones basados en las acciones de otros, creando una sensación de certidumbre, que lo que hace es encubrir los verdaderos motivadores y fundamentos de la situación identificada. Si bien, las empresas de un mismo sector pueden tener referentes equivalentes, las dinámicas de cada una responden a momentos y situaciones únicas, que deben ser consideradas y analizadas de forma particular.

Los incidentes de seguridad, los ciberataques, las amenazas digitales a las cuales están expuestas las organizaciones, responden a condiciones diferenciadas que rompen con la cotidianidad y exigen quebrar la lectura conocida del entorno, para encontrar patrones de posibles agentes hostiles allí donde lo no convencional proporciona una sabiduría especial y una lectura diferente.

A continuación se resumen los cinco imaginarios revisados en la siguiente gráfica:

Figura 1. Cinco imaginarios de las juntas directivas sobre el ciber riesgo y la ciberseguridad. Elaboración propia

Reflexiones finales

Comprender y superar estos cinco imaginarios de las juntas directivas sobre el ciber riesgo y la ciberseguridad, demanda fundar un lenguaje común que permita una lectura convergente de estas temáticas desde el modelo de negocio de la empresa. Cuando el ciber riesgo se conecta con las promesas de valor de la empresa, con la confianza digital requerida en el cliente y con la declaración de un ejercicio de confianza imperfecta frente a la exposición de la empresa, es posible abrir un espacio de construcción directivo donde lo “ciber” deja de ser algo que “otros hacen por mi”, y pasa a ser “eso que concreta y conecta la experiencia del cliente”.

Este nuevo lenguaje debe estar desarrollado desde la manera como la empresa crea su ventaja competitiva, bien desde el contenido, la experiencia del cliente o las plataformas que usa para desplegar su promesa de valor (Weil & Woerner, 2018). En este contexto, se hace necesario comprender la densidad digital de la empresa, su nivel de conectividad con terceros y sobremanera, las capacidades y competencias de sus colaboradores para efectuar un adecuado tratamiento de la información.

De igual forma, es necesario comprender y acelerar el conocimiento sobre nuevos paradigmas de computación como la “computación en la niebla” (en inglés Fog Computing), donde se crea una infraestructura de computación descentralizada que distribuye las funciones de computación, control, almacenamiento y redes más cerca de los dispositivos de los usuarios finales (Chiang & Zhang, 2016). Lo anterior implica, diseñar y desarrollar prototipos, simulaciones y escenarios sustentados en productos y/o servicios digitalmente modificados, donde las “cosas” van a estar comunicadas y conectadas, creando experiencias en los clientes, para reconocer los nuevos inciertos y retos que esto plantea frente a las nuevas apuestas de negocios disruptivos que se puedan plantear.

Así las cosas, el ciber riesgo y la ciberseguridad, deben salir del imaginario tecnológico donde han sido concebidos, para comprender la nueva dinámica digital de los negocios, donde se hace necesario reconocer a la densidad digital como un nuevo actor que motiva nuevas amenazas y oportunidades para las empresas. Por tanto, las juntas directivas deben comprender que la era de la incorporación tecnológica está llegando a su fin, dando a paso a un nuevo amanecer de nuevos ecosistemas de negocio digitales, donde los terceros se vuelven parte natural para crear esa ventaja competitiva, ahora más esquiva y volátil, en un contexto digital y tecnológicamente modificado.

Referencias

Accenture (2014) Accenture’s Four keys to digital trust. Research Report. Recuperado de: https://www.accenture.com/us-en/insight-trends-communications-digital-trust-consumer-data-control

Bodeau, D. y Graubart, R. (2013) Cyber Resiliency and NIST Special Publication 800-53 Rev.4 Controls. Mitre Technical Report. MTR130531. Recuperado de: https://www.mitre.org/sites/default/files/publications/13-4047.pdf

Cano, J. (2017) Riesgo y seguridad. Un continuo de confianza imperfecta. En Dams, A., Pagola, H., Sánchez, L. y Ramio, J. (eds) (2017) Actas IX Congreso Iberoamericano de Seguridad de la Información. Universidad de Buenos Aires - Universidad Politécnica de Madrid. 34-39

Chiang, M. & Zhang, T. (2016) Fog and IoT: An Overview of Research Opportunities. IEEE Internet of Things Journal. 3(6) pp. 854-864.  doi: 10.1109/JIOT.2016.2584538

Espejo, R. & Reyes, A. (2016) Sistemas organizacionales. El manejo de la complejidad con el modelo del sistema viable. Bogotá, Colombia: Ediciones Uniandes – Universidad de Ibagué

Meyer, R. & Kunreuther, H. (2017) The Ostrich paradox. Why we underprepare for disasters. Philidelphia, USA: Wharton Digital Press.

Morin, E. (2001) Los siete saberes necesarios para la educación del futuro. Barcelona, España: Paidos.

PwC (2018) The Anxious optimist in the corner office. CEO Survey Report. Recuperado de: https://www.pwc.com/gx/en/ceo-survey/2018/pwc-ceo-survey-report-2018.pdf

Weil, P. & Woerner, S. (2018) What’s your digital business model. Six questions to help you build the next-generation enterprise. Boston, MA. USA: Harvard Business Review Press.

Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre.

Ciberconflictos en la era digital: Ciber-axiomas y recomendaciones

Introducción

La dinámica global del mundo que conocemos ha cambiado. La acelerada evolución de la tecnología y los nuevos activos digitales, establecen tensiones emergentes entre las naciones para encontrar lugares privilegiados que le permitan influir en sectores no tradiciones y crear condiciones favorables para sus ciudadanos, no sólo en el despliegue de actividades y acciones productivas de alcance internacional, sino en el posicionamiento de una doctrina global de seguridad y control (Choucri, 2012).

Esta nueva realidad, crea escenarios más asimétricos y menos predecibles, como quiera que en un contexto digitalmente modificado, los diversos actores que participan tienen capacidad de influencia y desestabilización, bien por vías conocidas como organismos multilaterales y cumbres políticas, o por rutas alternas como grupos de agresores digitales en las sombras (generalmente patrocinados por estados), que diseñan, desarrollan, despliegan y ejecutan operaciones en el ciberespacio, con propósitos específicos, como pueden ser algunos de ellos APT29, Lazarus, Remsec, entre otros (Kello, 2017).

En razón con lo anterior, no es ingenuo pensar que estamos en medio de un ciberconflicto global, donde las naciones ahora, establecen posturas geopolíticas e infopolíticas (basadas en el manejo de la información) para crear y ganar ventajas estratégicas en el ciberespacio, con el fin de crear un imaginario de “control”, que procure debilitar posiciones de “poder” conocidas, y motivar movimientos de comunidades internacionales para introducir inestabilidades imperceptibles en el ciberdominio, lugar donde las interacciones de los diferentes actores: personas, empresas y estados, se hace realidad, a través del engaño y la disuasión (Green, 2015).

Ciber-axiomas: Verdades transitorias para los ciberconflictos en el entorno digital 

En este contexto, los ciberconflictos establecen una serie de ciber-axiomas en un entorno digitalmente modificado, que permiten reconocer algunos patrones de actuación y efectos que se vienen presentando en el marco internacional, para identificar movimientos de las naciones y sobremanera, consecuencias que deben advertir las empresas, como quiera que son ellas y los ciudadanos, los que están expuestos a las diferentes ciberoperaciones que se adelantan entre los intereses globales.

Los ciber-axiomas, de acuerdo con Sienkiewicz (2017), se pueden resumir como:

• Efecto de red: Un bien o servicio adquiere valor en la medida que aumenta su utilización y sus flujos de información pueden generar activos digitales interesantes para otros grupos de interés.
• Guerra sin restricciones: Todos los medios posibles se pueden utilizar para crear inestabilidad y cualquier actor de la sociedad puede ser un objetivo.
• No confianza: Cualquier elemento en el entorno puede ser utilizado para comprometer o someter a la contraparte. Una persona, un dispositivo, una aplicación y los datos se asumen siempre como no confiables.
• Omnidireccionalidad: Las acciones pueden venir desde cualquier parte. Mientras la mitigación de vulnerabilidades es relativamente estática, las amenazas potenciales para una nación o empresa pueden generarse en diferentes momentos y lugares.
• Asimetría: Las capacidades de los actores involucrados no es conocida y sus potencialidades no han sido evaluadas.
• Barreras de entrada: Todas las barreras que se definan para contener una agresión son para demorar y disuadir, no para proteger.
• Atemporalidad: En un escenario digitalmente modificado una agresión ocurre sin marco de tiempo reconocido. Las acciones se programan de manera automática para que se ejecuten al mismo tiempo desde lugares distintos y de forma aleatoria.
• Defecto cero: En un entorno digital y tecnológicamente no existe hardware y software libre de vulnerabilidades. Sólo es cuestión de tiempo averiguarlo.
• Engaño: El engaño en el contexto digital se traduce como una interacción entre dos o más partes, donde una de ellas quiere que su contraparte acepte como válido, algo que en su origen no lo es. En un ciberconflicto esta es la norma.
• Atribución: En el ciberespacio establecer la autoría de una agresión digital, es una declaración complicada (y políticamente delicada), dadas las acciones de camuflaje, suplantación y anonimato que los atacantes pueden desarrollar para concretar sus acciones.
• Desinformar: El uso de información falsa de forma deliberada o difusión de información parcial y manipulada, como estrategia para desviar la atención o engañar a una audiencia. Esto es parte del reportorio de acciones de los agresores.
• Rizomático: El ciberconflicto tiene la característica biológica de un rizoma, es decir, no tiene una estructura definida, cambia de posición, sus interacciones avanzan distintas direcciones, no comporta un sitio estable y crea nuevas conexiones.

Estos ciber-axiomas, establecen la base de la nueva realidad que las naciones y las organizaciones deben considerar para mantener sus operaciones actuales con los menores impactos posibles y procurar la construcción de alianzas estratégicas entre los participantes de un sector específico para concretar y desarrollar capacidades conjuntas que le permitan una mejor estrategia de defensa activa y pasiva (Archibald et al, 2005), para superar las inestabilidades que la tensiones internacionales revelan en la actualidad.

Así las cosas, si bien es claro que al final, el agresor digital doblegará las “barreras” y superará las estrategias de protección definidas, para lo cual la empresa y las naciones deberán contar con procedimientos y prácticas de atención de incidentes, se detallan a continuación algunas ideas y recomendaciones para mantener una “paranoia debidamente administrada”, en donde los distintos actores de la dinámica de los ciberconflictos desarrollan una “tensión creativa” para sumergirnos en el escenario de lo incierto y desconocido.

Recomendaciones

Recomendaciones para las personas:

·         La contraseña en un punto único de falla. Por tanto, debe ser en la medida de lo posible dinámica y multifactor (validación por medios alternos: mensaje de texto o pines de autenticación a cuentas alternas).

• Haga un uso responsable de las redes sociales. A mayor exposición de información personal, mayor “sombra digital” disponible y manipulable.
• Proteja sus archivos personales y sensibles. Haga respaldos de información en medios locales, alternos y remotos. Mantenga su actualización al menos una vez al mes.
• Concientice, apropie y asegure las prácticas de protección de la información en cada uno de los miembros de la familia, considerando los riesgos y retos de su manejo en internet. A mayor resistencia y preparación, mayor disuasión para el agresor.
• Disminuya el número de puntos vulnerables en sus equipos y dispositivos. Entre menor sea la ventana exposición mayor exigencia para el atacantes y sus estrategias de acción.
• Asegure la información sensible a la que tiene acceso. Si es necesario transmitirla, use canales cifrados extremo a extremo, verificando origen y destino de forma aleatoria.  De igual forma, si se requiere usarla, mantenga su custodia cercana y verificable de ésta, de lo contrario deberá estar guardada y en la medida de lo posible, cifrada.
• Otras recomendaciones las puede encontrar en: Endureciendo el cortafuegos humano. El arte de la contrainteligencia social. Disponible en: http://insecurityit.blogspot.com.co/2014/06/endureciendo-el-cortafuegos-humano-el.html

Recomendaciones para las organizaciones:

• Asegurar la madurez de la cultura organizacional de seguridad de la información: mayor capacidad para detectar situaciones desconocidas, monitorear acciones inestables y reportar posibles fallas o vulnerabilidades a nivel de personas, procesos, dispositivos o datos.
• Pruebas y valoraciones permanentes de los controles vigentes, estrategias de vulneración novedosas, ataques ciegos y semiciegos, simulaciones y escenarios conocidos y desconocidos, y en la medida de lo posible, ejercicios o juegos de guerra, coordinados con autoridades nacionales.
• Monitorear, correlacionar, detectar y anticipar patrones y amenazas emergentes en el entorno que puedan comprometer las operaciones y la promesa de valor de la empresa.
• Observar el cumplimiento normativo y legal requerido por su sector de negocio y las entidades del orden nacional e internacional que sea requeridas para mantener la confiabilidad de la comunidad internacional y el aseguramiento de los procesos de negocio.
• Crear alianzas con terceros confiables, organizaciones nacionales de defensa cibernética y centros de atención de incidentes, para compartir información y aumentar la resiliencia de las empresas frente a agresiones digitales no identificadas.

Recomendaciones para los gobiernos:

Establecer mandatos y directrices en temas como:

• Persecución y judicialización de cibercrímenes, con el apoyo de la comunidad internacional.
• Proveer anuncios preventivos permanentes de amenazas y vulnerabilidades tanto a la ciudadanía como a las empresas.
• Definir estándares de responsabilidad demostrada que establezcan el debido cuidado y diligencia de las empresas frente a las infraestructuras críticas que tiene a cargo y reportar su nivel de cumplimiento.
• Revelar y comunicar a la ciudadanía las brechas de seguridad que afecten a los diferentes grupos de interés como parte de su responsabilidad digital empresarial.
• Diseñar y aplicar estándares de resiliencia digital que incluya pruebas y simulaciones coordinadas con los diferentes sectores de la sociedad.
• Establecer currículos educativos, estudios de caso y desarrollo de competencias en temas de ciberseguridad, ciberdefensa, seguridad y privacidad de la información en los colegios y los diferentes niveles académicos de las instituciones de educación superior.
• Habilitar espacios y canales para compartir información sobre tendencias y amenazas detectadas tanto en el sector público como privado para crear una red extendida y proactiva de seguridad.
• Establecer incentivos y presupuestos de inversión para la investigación, desarrollo e innovación en temas de ciberseguridad, ciberdefensa, seguridad y privacidad de la información.

Reflexiones finales

Si bien las reflexiones que se han desarrollado en este documento no son exhaustivas, si hacen evidente el escenario incierto y poco visible que se tiene en la actualidad sobre los ciberconflictos, para motivar acciones y cambios en la manera de concebir los negocios en la era digital. En este sentido, las noticias sobre del desarrollo de una “ciberguerra global” no deben ser tratadas como “ciencia ficción”, sino como “hechos verificables”, que han de ser entendidos, analizados e incorporados en las actividades ejecutivas de las empresas como parte natural de sus actuaciones y decisiones de gobierno corporativo.

Finalmente y no menos importante, en la medida que aumente la sensibilidad para comprender y analizar los ciberconflictos, mejores oportunidades tendrán las naciones, empresas y ciudadanos para crear estrategias que les permitan disfrutan el ciberespacio y sus posibilidades, creando zonas confiables de interacción en el ciberdominio que, sin llegar a ser invulnerables, cuentan con la suficiente resistencia y resiliencia, que le dice a los posibles agresores digitales, que están dispuestos a defender su derecho a la “no agresión” y a la “paz digital”, para motivar transformaciones digitales que cambien la manera de hacerlas cosas y concebir el mundo.

Referencias

Archibald et al (2005) Agressive network self-defense. Rockland, MA. USA: Syngress Publishing.

Choucri, N. (2012) Cyberpolitics in international relations. Boston, MA. USA: MIT Press

Green, J.  (Editor) (2015) Cyber Warfare. A multidisciplinary analysis. New York, USA: Routledge.

Kello, L. (2017) The virtual weapon and international order. New Heaven, CT. Yale University Press.

Sienkiewicz, H. (2017) The art of cyber conflicts. Indianapolis, USA: Dog Ear Publishing.