lunes, 23 de octubre de 2023

Pronósticos de seguridad/ciberseguridad 2024. Una visión holística y situada

 Introducción

A pesar de que los fantasmas de la inflación, la recesión económica y las tensiones cibernéticas permanecen en el escenario actual, los cambios inesperados en el escenario internacional le dan forma a una nueva realidad que tanto las organizaciones como las naciones deben ahora mantener en su radar. El mundo se ha convertido en un lugar altamente interconectado, acoplado e inestable motivado por la dinámica de cinco realidades:

  • Populismo - Forma de gobierno con un fuerte liderazgo de un sujeto carismático, con propuestas de igualdad social y movilización popular.
  • Polarización - Inexistencia de un punto medio o un lugar de encuentro entre las diversas opiniones, que parecen irreconciliables.
  • Posverdad - Distorsión deliberada de una realidad, que manipula creencias y emociones con el fin de influir en la opinión pública y en actitudes sociales.
  • Policrisis - Interrelación de diferentes crisis que coinciden, cuyo resultado es aún más abrumador que la suma de sus partes.
  • Permacrisis - Periodo prolongado de inestabilidad e inseguridad, especialmente como consecuencia de una serie de acontecimientos catastróficos.

Estas cinco realidades, manifiestan la naturaleza inherente de los riesgos sistémicos donde abundan muchas cosas que se saben y no se entienden, así como aquellas que se saben y no se conocen, sin mencionar esas que ni se saben ni se entienden. En pocas palabras, se demanda de las organizaciones superar la vista muchas veces “irreal” de que se conocen los riesgos y que se cuentan con las medidas necesarias para atender los posibles efectos de su materialización.

Lo que es “real” (sin perjuicio de incurrir en imprecisiones) es que tanto las organizaciones como las naciones aun abrazan la ilusión del control, esa perspectiva (poco creíble en la actualidad) de que al asegurar las mejores prácticas de seguridad y control es posible darle tranquilidad a los ejecutivos frente a los posibles eventos adversos, generando mayor claridad y espacio para una toma de decisiones tranquila y acertada (Cano, 2023). 

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información implica tratar de acertar sobre “blancos en movimiento” basados en reportes, documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará (o fortalecerá) con el pasar de los días. Por tanto, lanzarse a efectuar visualización de escenarios y retos para los modelos de seguridad y control en el 2024, demandará la transformación de paradigma de seguridad basado en la postura víctima (de preparación y respuesta a un incidente) a otra basada en el adversario (proactiva y basada en la defensa y anticipación), con el fin de explorar una vista más holística que supere aquella eminentemente técnica, por una desde la perspectiva PESTEL (Político, Económico, Social, Tecnológico, Ecológico y Legal).

Así las cosas, varios son los retos que se advierten para la ciberseguridad nacional y empresarial en el marco del modelo PESTEL para el 2024:

  • Político: Uso del ciberpoder por parte de las potencias globales.
  • Económico: Ciberataques, impuestos al crecimiento y desarrollo de las naciones.
  • Social: La realidad no es lo que parece.
  • Tecnológico: Mayor conectividad, mayor densidad y vulnerabilidad digital.
  • Ecológico: Convergencia entre sostenibilidad y ciberseguridad.
  • Legal: Ciberriesgo, mayor responsabilidad y exigencia ejecutiva. 

Estas seis temáticas son el resultado de un ejercicio de desconexión de las realidades actuales, revelar algunas de las dinámicas emergentes del momento y nuevamente conectar lo actual y lo emergente para visualizar “ganancias teóricas” y “aproximaciones prácticas” que motivan transformaciones aceleradas que se advierten para los próximos meses. 

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la tecnologías emergentes y disruptivas (IA – Inteligencia Artificial, IoT, Tecnología de libro mayor digital (DLT-Digital Ledger Technology), Metaverso, Computación cuántica), la amenaza interna, el aumento de las regulaciones, la sensibilidad de las terceras y cuartas partes (los proveedores del proveedor) y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de una sociedad ahora frágil, ansiosa, no-lineal e incomprensible (Deloitte, 2023).

Político: Uso del ciberpoder por parte de las potencias globales

La inestabilidad geopolítica global seguirá aumentando con el paso de los años. Al final de la década no sólo habrá conflictos en medio oriente, europa oriental y la franja de Gaza, sino que la fragmentación global y la generación de nuevos bloques económicos creará zonas de alta incertidumbre y volatilidad motivada no sólo por temas ideológicos, sino económicos basados en la tecnología, como son las materias primas y las instalaciones especializadas para el ensamble de chips para el desarrollo de mejores y mayores avances en la IA, así como acelerar las investigaciones y prototipos más sencillos que habiliten la computación cuántica y así concretar la amenaza sobre la seguridad digital global actual y los algoritmos de cifrado tradicionales (Semana, 2023).

El ciberpoder es una capacidad que permite a un actor influir en otros en el ciberespacio o a través de él y controlar y moldear el ciberespacio en su beneficio según sus preferencias (Kukkola, 2020), lo que implica el despliegue de estrategias, técnicas y tácticas que permitan crear inestabilidad, incierto y caos en los diferentes grupos de interés de Estados y organizaciones, por debajo del nivel de la fuerza, esto es, en la zona gris donde se busca desgastar al oponente, sin temor a ser identificado, mimetizado en la dinámica social y con efectos dominó que degraden desde adentro al enemigo sin que la sociedad afectada lo note. 

Lo anterior implica avanzar rápidamente en la gestión del riesgo político, es decir, la probabilidad de que una acción política pueda afectar a una empresa de manera significativa en su promesa de valor (Rice & Zegart, 2020) lo que supone identificar, anticipar y analizar las tensiones geopolíticas actuales y emergentes que generarán un aumento de operaciones cibernéticas globales dirigidas y financiadas, donde los Estados tratarán de tomar ventaja e influir para su beneficio, más allá de las estrategia ciberdiplomáticas que se adelanten con el fin de desescalar un ciberconflicto emergente, muchas veces invisible para las organizaciones y Estados.

Económico: Ciberataques, impuestos al crecimiento y desarrollo de las naciones

La gran mayoría de reportes internacionales coinciden en el aumento de los ciberataques a nivel global y cómo los adversarios toman ventajas de sus blancos exitosos para concretar acciones relacionadas con la extorsión con datos, robo de credenciales y propiedad intelectual, afectación de infraestructuras críticas, lavado de criptoactivos y todo tipo de fraudes basados en engaños y distracción como el phishing (PwC, 2023).

Este tipo de acciones adversas exitosas configuran un impuesto progresivo que grava la confianza digital de los consumidores y crea zonas inciertas que afectan la dinámica empresarial y la prosperidad económica de las naciones (Cano, 2020). Esto es, desarrollan un detrimento de la inversión en la transformación digital de las naciones y empresas,  que terminan creando inestabilidad e incierto en los diferentes grupos de interés, que disuaden tanto a inversionistas como a las personas, a tomar los riesgos propios de un entorno digital, desconfiando en la capacidad de las empresas y naciones para lograr y mostrar su promesa de valor y fortaleza de sus instituciones respectivamente.

La dinámica de un ciberataque es crear incierto e inestabilidad para que la organización o nación y sus personas se mantengan distraídas, actúen de forma errática y abran más espacios de acción para el agente agresor de forma invisible y mimetizada. En consecuencia, es necesario crear acciones de preparación y acción colectiva que permitan a las empresas conectarse y diseñar estrategias de defensa, colaboración y cooperación conjuntas (con aliados estratégicos) que aumenten la resistencia y resiliencia de las organizaciones y naciones participantes, creando una postura de ciberseguridad creíble y verificable que disuada al tercero de las acciones agrestes que pueda tener planeadas.

Social: La realidad no es lo que parece

La constante exposición social de las personas a los medios sociales digitales, hace que las interacciones revelen vulnerabilidades cognitivas de los ciudadanos que de manera muchas veces ingenua termina siguiendo el juego de los agresores: difundir información falsa, información abiertamente inexacta o desinformar. Cuando este tipo de comportamientos se nutre de las vulnerabilidades sociales y las vulnerabilidades tecnológicas se configura un entorno de información tóxica que desdibuja la dinámica de una sociedad y la condena al deterioro de su propia integridad cognitiva, haciéndola vulnerable a operaciones psicológicas y cognitivas que terminen creando un entorno de pérdida de gobernabilidad que cualquier nación enemiga o agresor quisiera concretar y aprovechar (Barojan, 2021). 

Este tipo de actividad se ha venido materializando de forma cada vez más visible en medio de los conflictos globales actuales, creando narrativas de odio, a favor a en contra de acciones particulares o a través de uso de robots o bot que ejecutan algoritmos con mensajes dirigidos para crear tendencias que favorecen o afectan a grupos particulares (Cano, 2021). Las recientes acciones entre Rusia y Ucrania, entre Israel y Hamas, muestran que el entorno cibernético puede crear confusión y crear una capa de opacidad sobre los hechos, que confundan hasta el mejor analista de este tipo de conflictos, y de igual forma, motivar tendencias que lleven a cambios en las intenciones de voto dentro de un país.

Recuperar lo que se denomina la realidad, implica tener una postura crítica frente a los mensajes recibidos por este tipo de medios sociales digitales, fortalecer la higiene con la información, desarrollar la competencia de la curaduría digital, que permita explorar, analizar y seleccionar aquellas fuentes confiables y contrastar los mensajes, con el fin de abrir espacios de debate que superen los sentimientos propios de la posverdad, y se reemplace por el debate del reto de las ideas y posturas, más allá de los juicios de valor (muchas veces mal fundados), así como reconocer en otro como verdadero otro, con posturas y sugerencias que hacen parte de una realidad que se comparte y se construye en conjunto.

Tecnológico: Mayor conectividad, mayor densidad y vulnerabilidad digital

En lo tecnológico es donde más abundan las noticias y los reportes internacionales sobre las tendencias para 2024. Estos datos recaban en tecnologías que emergerán en los siguientes meses y las nuevas capacidades que las organizaciones deberán incluir para mantener o desarrollar lo algunos analistas denominan el sistema inmunológico digital (Scheibmeir, 2023). Lo que ocurre en la actualidad y no será la excepción el año entrante, es el aumento de mayor conectividad y flujo de datos sobre objetos físicos, la incorporación del internet de las cosas y la carrera acelerada de la digitalización empresarial y las ciudades inteligentes.

Este nuevo espacio digitalmente denso revela un entorno altamente conectado, acoplado e interactivo que crea un espeso tejido digital donde todos los participantes pueden y van a sentir cualquier falla o efecto de un ciberataque, que muchas veces estará mimetizado y motivado por contextos políticos, que se traducen en amenazas híbridas que tratan de concretar los resultados requeridos bajo el manto de la duda o poca o nula atribución. Esto tendrá consecuencias económicas, sociales y políticas que afectarán no sólo a las organizaciones en las variables tradicionales y en su reputación, sino a las naciones que tratan de aumentar las posibilidades y oportunidades para sus ciudadanos (Sieber & Zamora, 2018).

Frente a este escenario lo más importante es mantener una postura vigilante frente a la inevitabilidad de la falla y sobremanera prepararse para disminuir los impactos de un ciberataque exitoso. Esto es, abandonar la falsa sensación de seguridad que genera la aplicación de estándares y buenas prácticas, y repensar la gestión del riesgo cibernético desde la resiliencia, la antifragilidad, la flexibilidad y la anticipación, para sensar y responder a su entorno, de forma que, reconociendo el contexto en el que opera, los retos de su escenario de negocio y las capacidades de sus adversarios, es capaz de aprender rápidamente de aquellos momentos en los que las cosas no salen según lo previsto, para responder a las expectativas de sus clientes y ciudadanos en tiempos de crisis sin sobrepasar los umbrales de capacidad de riesgo establecidos y definidos por el equipo directivo de la empresa o el gobierno nacional.

Ecológico: Convergencia entre sostenibilidad y ciberseguridad

En lo ecológico o ambiental, se advierte una serie de recomendaciones que se vienen haciendo respecto de una temática denominada por siglas en inglés ESG (Environmental, Social and Governance) las cuales llaman la atención de los equipos ejecutivos en diversos temas particularmente los asociados con el cambio climático, la economía circular, los temas sociales y la protección de los datos, orientados por el desarrollo de la confianza digital. Esta nueva realidad, sitúa a la ciberseguridad en un escenario convergente no sólo en el tema tecnológico, sino sus impactos en lo ambiental, lo social y la gobernanza (Groopman, 2022).

Como se ha anotado en secciones anteriores los atacantes cada vez más aceleran sus acciones adversas, para concretar eventos sorpresivos y disruptivos que terminan por afectar no sólo a las organizaciones y naciones, sino a la dinámica de los ciudadanos. Es así, que en una economía digital en auge, la ciberseguridad ya no es sólo una preocupación de la industria del software. Se ha transformado en un tema relevante para la dirección de las empresas, los inversores globales y los actores de todas las industrias expuestas a una mayor densidad digital y a la información privada de los clientes. Un grupo demográfico mucho más amplio está cada vez más preocupado por el impacto social de la ciberseguridad, así como por sus implicaciones tecnológicas (J.P.Morgan, 2021).

Lo anterior implica que, el riesgo cibernético puede afectar significativamente a la sociedad, en particular a medida que los ciberataques globales se hacen más frecuentes e impactantes. Las aplicaciones y sistemas digitales están ahora integrados en todos los aspectos de la vida humana, desde los dispositivos personales que se usan a diario y las interacciones en las redes sociales hasta las sofisticadas plataformas y sistemas automatizados que sustentan la dinámica de los lugares de trabajo y los estilos de vida digitales. En consecuencia, la extorsión con datos, la protección de los personales sensibles (asociados con robo de identidad, fraude financiero, acceso a información genética), la desinformación, el uso abusivo de la IA y la apropiación del riesgo cibernético por parte de la ciudadanía, deberán ser parte de la agenda ejecutiva para promover un sociedad más resistente al fraude, fomentar la confianza digital y reducir la exposición a los ataques a la cadena de suministro.

Legal: Ciberriesgo, mayor responsabilidad y exigencia ejecutiva

Con las nuevas reglas sobre el tema de ciberseguridad recientemente emitidas por la Comisión de Valores de los Estados Unidos de América (Security Exchange Commission (SEC)) sobre el reporte de incidentes de seguridad y con ocasión de la actualización del fallo de Caremark International Inc. Derivative Litigation de 1996, realizado por el tribunal de Delaware en USA en 2019, donde indaga si la junta directiva ha establecido procedimientos para obtener informes periódicos de la dirección sobre los aspectos críticos de la empresa (Bhagat, 2022), la ciberseguridad toma especial relevancia comoquiera que es un aspecto clave y transversal a la dinámica empresarial, donde eventos adversos exitosos en el dominio cibernético terminan afectando no sólo la promesa de valor de la empresa, sino sus diferentes grupos de interés.

La acelerada trasformación digital y la exigencias de una mayor competitividad en cada uno los sectores de la dinámica social, demandan una mayor exposición y aumento del apetito de riesgo cibernético. En este sentido, el desarrollo de capacidades cibernéticas asociadas con la defensa, la prevención, la respuesta, el monitoreo y automatización cobran más relevancia para atender un mayor tejido digital de opciones que se plantean, donde no sólo participan los clientes y ciudadanos, sino los diferentes actores de un ecosistemas digital que se hace tan resistente o vulnerable como la capacidad de colaboración y cooperación de cada uno de sus participantes (Teixeira et al., 2023).

En consecuencia de lo anterior, las organizaciones y sus equipos ejecutivos deberán madurar en la gestión y gobierno del riesgo cibernético para dar cuenta de su responsabilidad frente a este riesgo. En esta línea, deberán entre otras cosas: (Bhagat, 2022)

  • Disponer de procedimientos para detectar amenazas e incidentes de ciberseguridad e informar de ellos a la dirección en tiempo real.
  • Informar puntualmente al consejo de las amenazas e incidentes de ciberseguridad.
  • Debatir sobre ciberseguridad con regularidad en la agenda del consejo, no sólo después de un incidente de ciberseguridad.
  • Priorizar las acciones en los ciberataques potenciales que puedan causar el mayor daño económico.
  • Contar con un comité de ciberseguridad, distinto al comité de auditoría, donde se defina, valide y actualice el apetito de riesgo cibernético de la empresa y sus umbrales de tolerancia a dicho riesgo.

Dada la naturaleza dinámica del riesgo cibernético, el equipo ejecutivo debe ser consciente que la gestión y gobierno de este riesgo se trata de un esfuerzo continuo que se hace más exigente con el tiempo. Por tanto, las brechas y vulnerabilidades aprovechadas por los ataques cibernéticos crean riesgos normativos, penales, legales y de marca, todos los cuales deben ser comprendidos y supervisados por la junta directiva ahora y en el futuro (Brown & Ludwig, 2023).

Conclusiones

Desarrollar pronósticos de seguridad/ciberseguridad cada año se torna en un reto cada vez más desafiante, más enriquecedor y más esquivo, comoquiera que los cambios acelerados y transformaciones inesperadas, crean escenarios que muchas veces desafían hasta los más experimentados analistas en estos temas. En esta ocasión, si bien muchas temáticas pueden quedarse por fuera de esta reflexión, es importante advertir que los retos y análisis planteados establecen una mirada multidimensional, asimétrica, híbrida e interconectada de la dinámica actual, que trata de recoger algunos movimientos y sus impactos en la práctica vigente de los ejecutivos de ciberseguridad y los miembros de las juntas directivas.

Un reciente estudio de Mckinsey (2023) establece que las tecnologías relacionadas con identidad y arquitecturas de confianza son las que más crecen respecto del año 2022, dado que la seguridad, la privacidad y la resiliencia se vuelven cada vez más críticas en todos los sectores de negocio. Esta realidad revela la necesidad de las organizaciones de avanzar rápidamente en un escenario cada vez más incierto, donde las ventajas competitivas se alcanzan aumentando el apetito de riesgo cibernético y motivando la transformación digital a través de iniciativas digitales novedosas y disruptivas.

No obstante, esta condición natural de tomar riesgos, se contrasta con los retos que impone la materialización de los riesgos cibernéticos en las organizaciones. En este sentido, no es la protección y prevención (orientado por los riesgos conocidos) lo que hace la diferencia en la gestión de este riesgo, sino las estrategias de defensa con el fin de advertir los movimientos del adversario y actuar hasta antes de que tenga éxito, o en el mejor de los casos ganar tiempo de maniobra para ajustar las medidas de seguridad y control disponibles en la organización. 

Así las cosas, el reto que deben asumir las organizaciones es anticipar el mayor número de amenazas cibernéticas, con el fin de mantener un inventario de análisis permanente, que la mantenga fuera de la zona cómoda y retada en sus saberes previos, con el fin de: (Brill, 2021)

  • Establecer lo conocido y lo que se puede conocer.
  • Definir los retos concretos a enfrentar.
  • Enmarcar los límites de la búsqueda.
  • Efectuar las inferencias que se pueden hacer de aquello conocido y por conocer.

De esta forma, la organización dejará de entender el incierto como un enemigo a vencer, para transformarlo en el insumo base de la toma de decisiones para navegar y avanzar en medio de los retos de los adversarios, y entender su apetito de riesgo cibernético, como el fundamento de las inversiones, las estrategias y los objetivos corporativos, esto es, centrar la discusión en torno a la misión empresarial y la promesa de valor para el cliente.

Referencias

  • Barojan D. (2021) Building Digital Resilience Ahead of Elections and Beyond. En: Jayakumar S., Ang B., Anwar N.D. (eds) Disinformation and Fake News. Palgrave Macmillan, Singapore. https://doi.org/10.1007/978-981-15-5876-4_5
  • Bhagat, S. (2022). How corporate boards can ensure cybersecurity is mission critical. The Hill. https://thehill.com/opinion/cybersecurity/3789660-how-corporate-boards-can-ensure-cybersecurity-is-mission-critical/ 
  • Brill, J. (2021). Rogue Waves. Future-proof your business to survive & profit from radical change. New York, USA:Mcgraw Hill
  • Brown, A. & Ludwig, H. (2023). Cybersecurity: Seven Steps for Boards of Directors. The Guide to Effective Cyber Risk Oversight: From Board Members for Board Members. Zscaler. https://www.zscaler.com/resources/ebooks/zscaler-cybersecurity-seven-steps-for-bod.pdf 
  • Cano, J. (2020). Ciberataques ¿Impuestos inevitables en la dinámica de una economía digital? Revista SISTEMAS. 67-74. https://lnkd.in/eE3WRCdQ
  • Cano, J. (2021). Los conflictos híbridos y el poder de los algoritmos. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. 161. 62-72. https://doi.org/10.29236/sistemas.n161a6 
  • Cano, J. (2023). The Illusion of Control and the Challenge of an Adaptable Digital Enterprise. ISACA Journal. 3. https://www.isaca.org/resources/isaca-journal/issues/2023/volume-3/the-illusion-of-control-and-the-challenge-of-an-adaptable-digital-enterprise 
  • Deloitte (2023).  Tech trend 2023. Deloitte Insights. https://www2.deloitte.com/us/en/insights/focus/tech-trends.html
  • Groopman, J. (2022). 5 reasons to integrate ESG and cybersecurity. Techtarget. https://www.techtarget.com/searchsecurity/tip/Reasons-to-integrate-ESG-and-cybersecurity 
  • J.P.Morgan (2021). Why is cybersecurity important to ESG frameworks? https://www.jpmorgan.com/insights/esg/governance-strategies/why-is-cybersecurity-important-to-esg 
  • KPMG (2023). Cybersecurity in ESG. https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2023/08/cybersecurity-in-esg.pdf 
  • Kukkola, J. (2020). Digital Soviet Union. The Russian national segment of the internet as a closed national network shaped by strategic cultural ideas. National Defence University Series 1: Research Publications No. 40. Helsinki, National Defence
  • Mckinsey (2023). McKinsey Technology Trends Outlook 2023. https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/the-top-trends-in-tech 
  • PwC (2023). 2024 Global Digital Trust Insights. https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/library/global-digital-trust-insights/report-download.html 
  • Rice, C. & Zegart, A. (2020). Managing 21st-Century political risk. En HBR’s 10 Must Read On Managing Risk. Boston, MA. USA: Harvard Business School Publishing Corporation. pp 89-106
  • Scheibmeir, J. (2023). Gartner Top Strategic Technology Trend: Build Digital Immunity to Improve Technology Resilience. Gartner Webinar. https://www.gartner.com/en/webinar/469884/1106412 
  • Semana (2023). Estos son los diez eventos geopolíticos que amenazan al mundo en 2024, según los expertos de The Economist. https://www.semana.com/economia/macroeconomia/articulo/estos-son-los-diez-eventos-geopoliticos-que-amenazan-al-mundo-en-2024-segun-los-expertos-de-the-economist/202333/ 
  • Sieber, S. & Zamora, J. (2018). The Cybersecurity Challenge in a High Digital Density World. European Business Review. November. https://www.europeanbusinessreview.com/the-cybersecurity-challenge-in-a-high-digital-density-world/ 
  • Teixeira, T., Beard, M., Watson, S., Hansen, B. & Thompson, D. (2023). Do you know your risk appetite? Arthur D’Little View Point. https://www.adlittle.com/en/insights/viewpoints/do-you-know-your-risk-appetite


lunes, 7 de noviembre de 2022

Pronósticos de seguridad/ciberseguridad 2023. Hacia una seguridad híbrida y asimétrica

Introducción

Tres fantasmas se asoman en la dinámica de las inestabilidades globales para los próximos meses: la recesión económica, la inflación y las tensiones cibernéticas. Tres temáticas que generan incertidumbre y cambios en la manera como las organizaciones y las naciones se preparan para avanzar y lograr sus objetivos de mediano y largo plazo. Estos desafíos implican el desarrollo de capacidades de adaptación, de aprendizaje/desaprendizaje ágil, de absorción y rebote frente a eventos adversos, así como un ejercicio de colaboración, cooperación, comunicación, confianza y coordinación con los diferentes aliados estratégicos.

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información sugiere una apuesta sobre “blancos en movimiento” sobre los reportes, los documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará (o fortalecerá) con el pasar de los días. Por tanto, lanzarse a efectuar visualización de escenarios y retos para los modelos de seguridad y control en el 2023, demandará la transformación de paradigma de seguridad basado en la postura víctima (de preparación y respuesta a un incidente) a otra basada en el adversario (proactiva y basada en la defensa y anticipación), con el fin de explorar algunas temáticas que han venido surgiendo en diferentes informes a nivel internacional y en realidades emergentes o señales débiles del entorno.

Motivar una transformación hacia un paradigma de seguridad híbrida y asimétrica en 2023, exige crear una postura de protección basada en el “feedforward”. Esto es, establecer un mapa imperfecto del momento presente y decidir qué hacer ahora en función de lo que se percibe y en circunstancias radicalmente distintas. Lo anterior, implica plantear un camino potencial de cambios e inestabilidades que se configuran en la actualidad creando una prospectiva de evolución basada en distinciones conocidas o novedosas (Hodgson, 2020).

Así las cosas, varias son las temáticas que se advierten para visualizar el reto de una seguridad híbrida y asimétrica propuestas en esta reflexión:

  • Estrategia multinube: cadena de suministro en la nube
  • Soberanía de datos: un reto emergente
  • Ciberpoder: nuevo ejercicio de control del ciberespacio
  • Apetito de riesgo empresarial: tomar más riesgos e incluir más capacidades
  • Ciberdominio: desinformación y pérdida de integridad cognitiva 

Estas cinco temáticas son el resultado de un ejercicio de desconexión de las realidades actuales, revelar algunas de las dinámicas emergentes del momento y nuevamente conectar lo actual y lo emergente para visualizar “ganancias teóricas” y “aproximaciones prácticas” que motivan transformaciones aceleradas que se advierten para los próximos meses. 

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la tecnologías emergentes y disruptivas, la amenaza interna, el aumento de las regulaciones y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de la sociedad ahora frágil, ansiosa, no-lineal e incomprensible.

Temáticas y los retos de una seguridad híbrida y asimétrica

Entender la nueva realidad del mundo actual implica sacar a la ciberseguridad del dominio técnico y situarla en la realidad de las amenazas híbridas que abren un espectro de análisis mayor y retan a los ejecutivos de ciberseguridad para comprender un escenario con múltiples variables y efectos inesperados que requieren un cambio de mentalidad y reflexión que cruza el negocio y lo traslada al escenario internacional con sus implicaciones geopolíticas.

Moreno (2021) define las amenazas híbridas como:

“fenómenos que usan ataques convencionales y no convencionales para desestabilizar un país. Las amenazas convencionales son de carácter militar, mientras que las no convencionales incluyen ciberataques, terrorismo, campañas de desinformación o propaganda y presión política o guerra económica. Todo ello va encaminado a dañar los pilares del Estado rival, atentando contra la confianza en sus instituciones, la estabilidad económica y la cohesión social” (parr.2). 

En este contexto, es ahora donde los encargados de la ciberseguridad deben actuar, lo que implica abrir sus espectros de reflexión y análisis para ir en profundidad de sus estrategias y acompañar a la organización en un entorno donde escasean las certezas y las inestabilidades son la norma en la toma de decisiones. 

En consecuencia, se detallan a continuación los retos que implica reconocer este nuevo escenario para construir una distinción de seguridad híbrida y asimétrica que lleve a un nuevo nivel las expectativas, experiencias y saberes de los ejecutivos de ciberseguridad/seguridad de la información de las organizaciones. 

Estrategia multinube: cadena de suministro en la nube

La transformación digital acelerada por cuenta de la emergencia sanitaria internacional, la necesidad de cuidar los costos (ahora con el fantasma de la recesión) y concretar la promesa de valor en los clientes, hace que las organizaciones y naciones se abran rápidamente a contar con aliados estratégicos particularmente en la nube, con lo que saben que van a incorporar rápidamente nuevas capacidades claves de forma competitiva para armonizar su ecosistema externo, y al mismo tiempo, quieran o no perderán control de su datos.

En este sentido, la estrategia de contar con al menos dos proveedores de servicios en la nube, uno público donde pueden escalar cada vez que lo necesiten y uno privado, donde desplieguen sus iniciativas, se convierte en el nuevo estándar para las organizaciones modernas. Esto supone un ejercicio de coordinación, cooperación, colaboración, confianza y comunicación para desarrollar una relación de negocios de largo plazo, donde la integración de las prácticas de seguridad y control de la empresa con las del proveedor deberán ser la base de la manera como se construya la respuesta cuando las cosas no salen como estaban previstas.

Así las cosas, se configura una cadena de suministro en la nube (Akinrolabu et al., 2018) como un sistema complejo de dos o más partes que trabajan juntas para proporcionar, desarrollar, alojar, gestionar, supervisar o utilizar servicios en la nube; cada una de ellas se enfrenta a factores de riesgo internos y externos y a influencias que hacen que sea incierto si lograrán sus  objetivos de los servicios en la nube. En este sentido, se aumenta la ecuación del incierto para las organizaciones, lo cual crea un escenario de oportunidad clave para los planes del adversario.

Frente a este nuevo escenario, las organizaciones deberán invertir en el reconocimiento y aseguramiento de la resiliencia de esta cadena de suministro basada en terceros en la nube para advertir, monitorizar y asegurar:

  • Efectos cascada: Resultado sistémico que termina con una afectación en toda la cadena. 
  • Efectos aislados: Un evento adverso en un componente específico que compromete parte de la operación.
  • Efectos focalizados: Una falla en un componente en particular que inhabilita funcionalidades específicas de su hacer.

Soberanía de datos: un reto emergente

El concepto de soberanía por lo general la literatura lo asocia al reconocimiento de fronteras y límites físicos, los cuales determinan y establecen prerrogativas y derechos de los Estados en el ejercicio del control de sus intereses nacionales y estratégicos. Este concepto enmarca la manera concreta y real de las relaciones internacionales lo que establece un perfil de relacionamiento que busca proteger y respetar las condiciones y dinámicas de cada país en su libre ejercicio de autodeterminación y desarrollo de acuerdo con sus planes estratégicos y políticos.

En un escenario como el actual donde tanto las organizaciones como los Estados mantienen un flujo de datos con proveedores en la nube, la pregunta sobre la propiedad, uso y explotación de los datos emerge como una nueva realidad que deben ser abordada como elemento fundamental para efectos del cumplimiento y aseguramiento de la información de sus ciudadanos y empleados. Este escenario inédito, crea aparentemente un mundo sin fronteras y sin límites que es manejado y administrado por privados, quienes en últimas son los que imponen las reglas y el control sobre los datos.

Así las cosas, inicia el debate y reflexión sobre el mantenimiento de una soberanía de los datos, un concepto emergente donde las diferentes partes interesadas (Estados, empresas y ciudadanos) deberán acordar nuevas formas y reglas para el tratamiento de la información, que posiblemente demandará contar con centros de datos localizados por países, control transfronterizo de datos (bien sean personales, estatales o empresariales) y niveles de protección y aseguramiento concretos que sugieran una adecuada custodia y control de la información.

Si bien a la fecha no se tienen definiciones claras al respecto, se habla de dos conceptos básicos que establecen el marco de revisión. La residencia de los datos, que se refiere a la ubicación geográfica de los mismos, mientras que la soberanía de los datos se refiere a las leyes y estructuras de gobierno a las que están sujetos los datos, debido a la ubicación geográfica del lugar donde se procesan (Tuck, 2022). Así las cosas, cuando una brecha de seguridad ocurre habrá no sólo que reconocer y analizar la residencia de los datos y las implicaciones que tiene para el custodio de esa información, sino los impactos para la soberanía de los mismos y las tensiones que se deriven de la transgresión producto del ataque a los datos de las naciones y sus implicaciones para sus ciudadanos.

Ciberpoder: nuevo ejercicio de control del ciberespacio

En lectura de seguridad y defensa nacional, el poder de una nación implica el uso de sus capacidades estratégicas y tácticas para mostrar su capacidad de dominio y control sobre un territorio particular, creando una lectura de influencia y despliegue que sus vecinos reconocen y respetan por alcance y efectos que se tienen sobre los diferentes participantes que habitan ese territorio. Mucho de este ejercicio de poder e influencia se hace evidente desde diferentes perspectivas en los países desarrollados y con capacidad militar como son los miembros permanentes del Consejo de Seguridad de la Naciones Unidas: China, Francia, Federación de Rusia, el Reino Unido de Gran Bretaña e Irlanda del Norte y los Estados Unidos de América.

En el contexto de una sociedad cada vez más digital y tecnológicamente modificada, el ciberespacio establece un nuevo reto para todas las naciones comoquiera que es un contexto diferente y un territorio que técnicamente no se puede conquistar, sino explotar e influir, pues si bien un adversario puede comprometer un servidor o servicio, el afectado termina por apagarlos o desconectarlos y nuevamente reiniciarlos de forma distinta y con nuevas condiciones de seguridad y control (Fischerkeller et al, 2022). Por tanto, el ejercicio de poder cambia y exige la actualización de definiciones para entender la dinámica del ciberdominio (espacio social y de interacción humana) en el ciberespacio.

De acuerdo con Kukkola (2020) el ciberpoder es una capacidad que permite a un actor influir en otros en el ciberespacio o a través de él, para controlar y moldear el ciberespacio en su beneficio según sus preferencias. Los recursos de poder consisten en el conocimiento humano, la tecnología, las regulaciones y las organizaciones. Esta nueva realidad del poder, que va más allá de la información y el uso de la misma, supone la explotación de este nuevo escenario para:

  • Concretar engaños y fallas en los sistemas de los adversarios para influir en los tomadores de decisiones claves.
  • Usar programas y códigos para penetrar las defensas de los adversarios de forma ágil y sin ser notados.
  • Comprometer múltiples equipos y despliegue de códigos maliciosos. Motivación para unirse a la causa para escalar en masa, tiempo y concentración.
  • Motivar la contraposición de defensores y habilitar rápidos ataques concentrados, apoyados por las vulnerabilidades de seguridad propias del ciberespacio.
  • Despliegue de ataques no letales (o letales) de acción directa sobre un adversario a través del ciberespacio sin ser notados y de forma anónima.

Este nuevo escenario híbrido y asimétrico confronta las prácticas actuales de seguridad y control de las organizaciones y las naciones, habida cuenta que éstas están fundadas en los riesgos conocidos y el reconocimiento de las certezas, las cuales escasean ahora en un escenario de alta interconectividad, alta interacción y convergencia entre lo físico, lo lógico y lo biológico. No es viable atender una realidad sistémica y compleja con prácticas fundadas en modelos lineales que implican conocer una causa para reconocer y atender un efecto.

Apetito de riesgo empresarial: tomar más riesgos e incluir más capacidades

Con una realidad cada vez más dependiente de terceros, con mayores exigencias de eficiencia y efectividad de procesos, y un cliente ávido de nuevas experiencias para lograr y capitalizar sus expectativas, las organizaciones deberán aumentar su apetito de riesgo para proponer iniciativas digitales que logren cautivar y conquistar nuevos nichos de negocio, más allá de saber de “por qué un cliente le compra” y comprender más bien “por qué un cliente regresa”.

En este ejercicio implica un cambio de mentalidad estratégica de la empresa que motive una transformación basada en el reconocimiento de ecosistemas digitales internos y externos que busquen eficiencia y efectividad en los procesos de negocio, y creen nuevos escenarios para construir valor con sus terceros y competidores, para beneficio de los clientes, creando espacios de colaboración y cooperación claves que terminen con mayores oportunidades para todos los participantes del ecosistema, respectivamente. 

Una vista resumida de este cambio se puede observar en el siguiente cuadro:

Tabla 1. Cambio en la mentalidad estratégica (Traducido de: Subramaniam, 2022, p.19)

Si estas tendencias son correctas, las organizaciones sabrán que estarán más expuestas por cuenta de una mayor conectividad e interacción digital, lo que necesariamente implica la incorporación de capacidades claves en ciberseguridad empresarial que cubran al menos cuatro modos de operación: modo defensa, modo radar, modo crisis y modo monitorización, los cuales deberán responder al reto de una cadena de valor ahora en la nube, un despliegue masivo de analítica de datos con algoritmos de máquinas de aprendizaje y la protección de los datos personales, como fundamento del valor que se genera a los clientes.

El éxito de un ciberataque en este nuevo escenario se verá no sólo por el impacto en la infraestructura y afectación de la reputación de la empresa, sino en la capacidad del adversario de comprometer la dinámica del ecosistema y establecer una estrategia de permanencia para lograr su deterioro desde dentro, y así mantener la inestabilidad e incierto que son las condiciones básicas de su operación y despliegue de actividades no autorizadas.

Ciberdominio: desinformación y pérdida de integridad cognitiva 

De acuerdo con Kello (2017) el ciberdominio es el plano social y político sujeto a diferentes tipos de intervenciones y reglas de comportamiento, que se gestan dentro de la dinámica de las personas en el ciberespacio. Es una construcción social y humana donde la integridad cognitiva se concibe como las tendencias y discusiones que se dan alrededor de temáticas motivadas y contextualizadas por la esencia de las conversaciones naturales y propias de los ciudadanos.

Cuando en el ciberdominio se advierte la propagación situaciones como: (Valverde-Berrocoso et al., 2022)

  • Pseudocontenidos - Preferir los recursos de fácil acceso, independientemente de su valor intelectual o relevancia.
  • Falacias lógicas - Repetición de argumentos manipulados sobre noticias engañosas o inventadas.
  • Propaganda - Presentación parcial de los hechos, distorsionar las relaciones con la realidad y extraer conclusiones sesgadas e inexactas.
  • Parodia y sátira - Broma, caricatura o ironía, sin contexto, que puede ser interpretada como una información válida e, incluso, aun siendo identificada como tal, puede ser utilizada como excusa partidista para atacar al adversario ideológico.
  • Rumores - Distorsiones derivadas de la ignorancia y la repetición de información errónea de manera involuntaria.

se inicia el deterioro de la integridad cognitiva de una comunidad, lo que la hace susceptible a la manipulación y control, creando una zona de inestabilidad e incierto donde las personas son influenciadas y manejadas desde una agenda concreta de un adversario que puede ser un Estado o un tercero con agenda particular o asistido por alguna nación. 

Este nuevo fenómeno social en el ciberdominio, generalmente motivado desde las vulnerabilidades cognitivas (bajo juicio crítico), vulnerabilidad tecnológicas (sesgos en los algoritmos) y las vulnerabilidades de la sociedad (polarización, populismo y postverdad) (Barojan, 2021) establece ahora la frontera de las armas preferidas por los atacantes, comoquiera que sólo es necesario invertir en la generación de desinformación, mala información o información falsa con aliados estratégicos para degradar la integridad cognitiva de una sociedad y así influenciar y persuadir a sus participantes para lograr comportamientos, formas de pensar y actuar ajustadas con una agenda oculta que pasa desapercibida en medio de la dinámica social que se crea por cuenta de estas acciones. 

Por tanto, en palabras de Rubin (2019) es viable comprender la desinformación y sus efectos como parte de una “epidemia socio-tecnológica” propiciada por las noticias digitales y propaganda a través de medios sociales, cuya dinámica se puede concretar de la siguiente manera:

“El patógeno (virus) son las noticias falsas, que pueden ser bloqueadas, parcialmente, a través de herramientas tecnológicas de auto-detección. Las vías de transmisión son las plataformas tóxicas que generan las noticias falsas (redes sociales, blogs, sitios de noticias, etc.), sobre las que se deben establecer regulaciones de tipo legal. Y los potenciales receptores de la infección son los usuarios, crédulos o infosaturados, que deben ser tratados con «vacunas» educativas para superar la «enfermedad»”.

Si lo anterior es correcto, se hace necesario diseñar estrategias en diferentes niveles para mantener un entorno sano de conversación y sentido crítico que permita reflexiones y debates desde los hechos y los datos, con comunicaciones estratégicas de los gobiernos, narrativas alternativas que promuevan valores sociales, tolerancia, apertura, libertad de expresión y sentido democrático, para desde allí proteger la integridad y el imaginario de la sociedad y sus ciudadanos (Santabarbara, 2021).

Fundamentos de la seguridad híbrida y asimétrica

Para enfrentar los retos mencionados en este documento es necesario superar la vista de la seguridad y control tradicional para situarlo fuera de las fronteras de lo estático y conocido para entrar en la zona de lo dinámico y desconocido, en donde cada uno de los participantes de la sociedad serán parte fundamental de la construcción de la lectura de una seguridad y protección que se enfrenta a los riesgos y amenazas híbridas y asimétricas, siguiendo la misma dinámica de estas amenazas.

Una seguridad híbrida y asimétrica es un ejercicio de construcción de una percepción de confianza, confiabilidad e integridad multidominio (social, tecnológico, económico, político, ambiental y legal) basada en la capacidad de percibir, adaptar, disuadir, demorar, amortiguar y avanzar en medio de la incertidumbre, la inestabilidad y el caos que un evento adverso puede producir en el modelo de seguridad y control de una organización o nación. Esto es, encontrar en el incierto, una forma de movilizar a la sociedad y sus diferentes actores a través de acciones coordinadas y situadas, y umbrales de operación definidos y acordados para responder a la inevitabilidad de la falla y sus efectos inesperados.

En este contexto se introduce el modelo PA(DA)2, que busca ofrecer una estrategia concreta para sortear estos nuevos escenarios híbridos y asimétricos que estarán presentes en la dinámica del ciberespacio y las sociedades en general. Es importante aclarar que el modelo propuesto no es una receta a seguir, sino una respuesta preliminar y parcial para atender la realidad actual que proponen los agentes agrestes (bien sean estatales o no estatales) para desestabilizar naciones o comprometer organizaciones.

El modelo PA(DA)2 se describe a continuación:

  • PERCIBIR - Observación de tendencias, definición y seguimiento de las incertidumbres críticas, y definición de escenarios para evaluar.
  • ADAPTAR - Configuración y reconfiguración de defensas en función de tendencias y analítica de comportamientos.
  • DISUADIR - Incorporación de tecnologías de engaño y de blanco móvil para deteriorar la inteligencia del adversario.
  • DEMORAR - Estrategias de contención y redirección de ataques en los diferentes dominios de operación.
  • AMORTIGUAR - Declaración de umbrales de operación, apetito, tolerancia y capacidad de riesgo frente a un ataque exitoso.
  • AVANZAR - Aprovechamiento de nuevas estrategias y tecnologías de defensa y anticipación para proteger la promesa de valor.

Aplicar este modelo implica contar una visual multidimensional de la realidad y la capacidad de observar de forma sistémica la realidad para poder reconocer la dinámica de las relaciones y advertir las tensiones y tendencias que se revelan a nivel global, para desde allí construir y atender los retos que esto implica tanto para las organizaciones como para las naciones.

Reflexiones finales

Desarrollar pronósticos de seguridad/ciberseguridad cada año se torna en un reto cada vez más desafiante, más enriquecedor y más esquivo, comoquiera que los cambios acelerados y transformaciones inesperadas, crean escenarios que muchas veces desafían hasta los más experimentados analistas en estos temas. En esta ocasión, si bien muchas temáticas pueden quedarse por fuera de esta reflexión, es importante advertir que los retos de una seguridad híbrida y asimétrica establecen una mirada multidimensional de la dinámica actual, que trata de recoger algunos movimientos y sus impactos en la práctica vigente de los ejecutivos de ciberseguridad y los miembros de las juntas directivas.

Si bien amenazas y riesgos claves como el phishing de voz, el stego-malware, el hyperjacking, el snoopy attack, el man in the browser, el cloud squatting, la ciberpandemia, los ataques enjambre el cloud jacking estarán en la agenda de los adversarios como estrategias que se deberán articular para crear los escenarios de inestabilidad global, deberán mantenerse en monitoreo y seguimiento como fuente de incomodidad permanente de los saberes previos de los analistas de seguridad/ciberseguridad para mantener una postura vigilante en medio de la abundancia de información y reportes de proveedores y analistas.

Así las cosas, desarrollar una seguridad híbrida y asimétrica implica reconocer y desarrollar una resiliencia híbrida que enseñe un nuevo camino y doctrina de protección, defensa y anticipación que cubra al menos los siguientes elementos: (Kurnyshova & Makarychev, 2022)

  • Usar la vulnerabilidad como fuente autonomía y capacidad de reconstrucción.
  • Motivar la descentralización y discrecionalidad en la toma de decisiones con apoyo de aliados estratégicos.
  • Utilizar las redes sociales para construir capital social y desarrollo de acciones colectivas.
  • Empoderar a la sociedad civil para resistir los embates de las amenazas híbridas.
  • Contrarrestar con educación e higiene de la información las acciones de desinformación dirigidas para desestabilizar la sociedad en su conjunto.
  • Reconocer los intereses nacionales y estratégicos sobre los cuales se fundan las estrategias de defensa.

Las reflexiones planteadas en este documento son un mapa incompleto de los desafíos que se advierten en los próximos meses y por tanto, es necesario mantener una vista exploratoria y crítica de los eventos que constantemente ocurren, para entender las relaciones emergentes en perspectiva multidimensional y contrastarlas con las tendencias que se han consolidado a la fecha. Pensar por complemento, de forma híbrida y asimétrica, deberá ser el reto permanente de los profesionales de seguridad/ciberseguridad, como una manera de abrazar la ambigüedad permanentemente y apostar por actuar de forma anticipada y resiliente en el presente.

Referencias

Akinrolabu, O., New, S. & Martin, A. (2018). Cyber Supply Chain Risks in Cloud Computing - Bridging the Risk Assessment Gap. Open Journal of Cloud Computing (OJCC). 5. 1-19. https://www.researchgate.net/publication/321881757_Cyber_Supply_Chain_Risks_in_Cloud_Computing_-_Bridging_the_Risk_Assessment_Gap 

Barojan D. (2021). Building Digital Resilience Ahead of Elections and Beyond. En: Jayakumar S., Ang B., Anwar N.D. (eds) Disinformation and Fake News. Palgrave Macmillan, Singapore. https://doi.org/10.1007/978-981-15-5876-4_5

Fischerkeller, M., Goldman, E. & Harknett, R. (2022). Cyber persistence theory. Redefining national security in cyberspace. New York, USA.: Oxford University Press.

Hodgson, A. (2020). Systems thinking for a turbulent world. A search for new perspectives. Oxon, UK: Routledge.

Kello, L. (2017). The virtual weapon and international order. New Heaven, CT. Yale University Press

Kukkola, J. (2020). Digital Soviet Union. The Russian national segment of the internet as a closed national network shaped by strategic cultural ideas. National Defence University Series 1: Research Publications No. 40. Doctoral Thesis. Helsinki, National Defence. www.doria.fi/bitstream/handle/10024/177157/Kukkola_Digital%20Soviet%20Union_finalnet.pdf 

Kurnyshova, Y. & Makarychev, A. (2022). Resiliencia híbrida en épocas inciertas: la guerra de Rusia y la sociedad ucraniana. CIDOB Report. https://www.cidob.org/articulos/cidob_report/n_8/resiliencia_hibrida_en_epocas_inciertas_la_guerra_de_rusia_y_la_sociedad_ucraniana  

Moreno, P. (2021). ¿Qué son las amenazas híbridas. EOM. https://elordenmundial.com/que-son-amenazas-hibridas/ 

Rubin, V L . (2019). Disinformation and misinformation triangle: A conceptual model for “fake news” epidemic, causal factors and interventions. Journal of Documentation. 75(5). 1013–1034. https://doi.org/10.1108/JD-12-2018-0209

Santabarbara, L. (2021). Civil Society and CounterNarrative Strategies. Counter-Radicalization Online. International Counter-Terrorism Review. 2(3). 1-21. https://www.nextgen50.org/post/civil-society-and-counter-narrative-strategies

Subramaniam, M. (2022). The future of competitive strategy. Unleashing the power of data and digital ecosystem. Cambridge, MA. MIT Press.

Tuck, A. (2022). Data residency and data sovereignty: what's the difference? DataCentre. https://datacentremagazine.com/articles/why-its-important-to-know-where-your-data-is-stored 

Valverde-Berrocoso, J., González-Fernández, A., & Acevedo-Borrega, J. (2022). Desinformación y multialfabetización: Una revisión sistemática de la literatura. Comunicar. 70. 97-110. https://doi.org/10.3916/C70-2022-08


martes, 21 de septiembre de 2021

Pronósticos de seguridad/ciberseguridad 2022. Una lectura de umbrales de transformación

Introducción

La rápida evolución de las tendencias y las disrupciones tecnológicas, junto con el aumento de la ansiedad individual y la inestabilidad del contexto, establece una ruta inesperada y reto exigente para las organizaciones del siglo XXI (Cascio, 2020). Este desafío implica el desarrollo de una capacidad de adaptación ágil, que demanda transformar inicialmente los imaginarios de las personas sobre lo que es la realidad y cómo entenderla, para luego articular una nueva cultura que le permita moverse mejor, fallar rápido, desaprender pronto y experimentar mucho (Cano, 2021).

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información resulta un “salto de fe” sobre los reportes, los documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará con el pasar de los días. Por tanto, lanzarse a efectuar visualización de oportunidades y retos para los modelos de seguridad y control en el 2022, demandará una lectura de umbrales los cuales estarán enmarcados en algunas temáticas que han venido referenciándose en diferentes informes a nivel internacional y en realidades emergentes o señales débiles del entorno.

Hacer una lectura de umbrales para explorar las tendencias de la ciberseguridad/seguridad en el 2022, exige crear una vista de transformación basada en un ejercicio de “feedforward”. Esto es, establecer un mapa imperfecto del momento presente y decidir qué hacer ahora en función de lo que se percibe y en circunstancias radicalmente distintas. Lo anterior, implica plantear un camino potencial de cambios que se configuran en la actualidad creando una perspectiva de evolución basado en distinciones conocidas o novedosas (Hodgson, 2020).

Así las cosas, varias son las temáticas que se advierten para crear los umbrales de transformación propuestos en esta reflexión:

  • Robo de la realidad: cibercriminales científicos de datos.
  • Cybersafety: transformación del comportamiento en el entorno cibernético.
  • Cripto pasivos: ¿Los nuevos chicos “malos” del barrio?
  • Técnicas de blanco móvil: Cambiando la ecuación del adversario.
  • Nubes híbridas: inseguridad “en cascada”. 

Estas cinco temáticas son el resultado de un ejercicio de desconexión de las realidades actuales, revelar algunas de las dinámicas emergentes del momento y nuevamente conectar lo actual y lo emergente para visualizar “ganancias teóricas” y “aproximaciones prácticas” que motivan transformaciones aceleradas que se advierten para los próximos meses. 

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la amenaza interna, el aumento de las regulaciones y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de la sociedad ahora frágil, ansiosa, no-lineal e incomprensible (Sieber & Zamora, 2018).

Temáticas y sus umbrales de transformación

Robo de la realidad: cibercriminales científicos de datos

El avance y disponibilidad de las herramientas de analítica de datos permite a casi a cualquier persona con curiosidad y ganas de aprender, aprovecharse de los datos disponibles en internet. Saber ubicar un sensor y recolector de datos en un entorno público es ahora una de las tareas de los adversarios, para concretar y desarrollar una serie de patrones que luego serán utilizados para adelantar la inteligencia necesaria para darles sentido y fundamentación a las acciones adversas que se quieren concretar (Altshuler et al., 2017).

De esta forma, los cibercriminales conforman equipos de trabajo bien diseñados para analizar y cruzar información disponible en redes sociales asociada no sólo con tendencias y temáticas de interés, sino basada en el comportamiento de los individuos, con el fin de establecer y motivar acciones que puedan afectar a un grupo de personas en particular, cambiar las intenciones de otros, o crear imaginarios en los usuarios movilizando mensajes que saben son pertinentes para ellos.

Con este ejercicio de captura, análisis y transformación de los datos en internet, los adversarios son capaces de motivar cambios según la agenda o intencionalidad contratada o requerida de forma silenciosa y persistente, lo que configura un “robo de la realidad” la cual ahora estará bajo el “control” de un grupo o equipos de trabajo de agentes, creando las tendencias y comportamientos (algunos esperados y otros no) que terminen por darle forma a una realidad que posiblemente no sea la que se manifiesta para otros públicos.

Frente a este tipo de amenazas las organizaciones deberán activar protocolos de monitorización y seguimiento en internet de su imagen digital, mantener y verificar la integridad de los datos e información, así como establecer una red de socios estratégicos con el fin de crear un ecosistema de defensa coordinado y colaborativo donde la afectación de la imagen y reputación de un miembro, activa las acciones de defensa colectivas para deteriorar y diezmar los esfuerzos de “robo de la realidad” que quieran concretar los adversarios. Es decir, un ejercicio semejante al diseño de organismos multilaterales como la OTAN.

Cybersafety: transformación del comportamiento en el entorno cibernético

El ejercicio de confiabilidad de los comportamientos humanos en el entorno digital adquiere una dimensión más visible ahora toda vez que los resultados de sus acciones pueden y podrán tener efectos concretos en el mundo físico, en el lógico, biológico o psicológico, dada la interconexión y acoplamiento de la dinámica social asistida por una mayor densidad digital (Refsdal et al., 2015)

El entorno cibernético es un entorno donde las personas tienen mayor interacción, mayor convivencia y mayor comunicación. Es un entorno, donde los objetos físicos ahora tienen mayor nivel de conectividad y los flujos de información se manifiestan en todas partes. Es el momento en donde la ropa que se usa transmite información sobre la talla, la sudoración, entre otras cosas, los relojes, más allá de dar la hora, generan mayor información de lo que comemos o dormimos, los televisores se conectan a internet y generan una experiencia distinta a los canales tradicionales, y se avanza a pasos a agigantados en la impresión de huesos, órganos humanos y comida sintética (semejante a la natural) como alternativas que transforman la dinámica de la vida tradicional.

En este contexto, se introduce el concepto de cybersafety, como la disciplina que se centra en la vida y la salud humanas en el entorno digital, que inicia desde la conectividad y sus impactos en la cotidianidad, hasta el reconocimiento y gestión de riesgos por parte de las personas en este escenario cibernético, donde los individuos materializan acciones y dinámicas particulares que pueden terminar comprometiendo su integridad física, psicológica, digital y todos aquello que sea convergente con vista de conectividad aumentada que utilice y la exposición a dispositivos con mayor densidad digital (Refsdal et al., 2015).

Este nuevo entorno cibernético, es decir de mayor comunicación y control entre sistemas vivos y artificiales, sitúa a las personas como un elemento interconectado que en algunos momentos estará completamente fusionado con los componentes tecnológicos, y otras sólo vinculados para su operación. En este sentido, los adversarios serán adaptativos en línea y fuera de línea, con el fin encontrar la mejor forma de concretar sus acciones adversas. Cuando se adapta en línea es capaz de adelantar acciones contextualmente relevantes imitando movimientos en cuanto a patrón y tiempo que terminen cautivando al objetivo para materializar la actividad maliciosa; cuando lo hace fuera de línea, tiene la habilidad de recabar información relevante, construir ataques sofisticados y crear un escenario de despliegue que termine con efectos físicos, lógicos o psicológicos.

Frente a este tipo eventos adversos en el entorno cibernético se hace necesario desconectar el imaginario actual vigente de la seguridad de la información, que se concentra en la protección de la información y crear una conciencia situacional cibernética que se materializa en un proceso cognitivo que implica la recopilación de información, la percepción y la comprensión del estado actual del mundo y la anticipación de otros momentos posteriores, particularmente en la comprensión y proyección de los riesgos y amenazas en el entorno cibernético y su evolución futura (Renaud & Ophoff, 2021). 

Cripto pasivos: ¿Los nuevos chicos “malos” del barrio?

Comienza la era del “endeudamiento” en criptoactivos. El reto de comprender y desarrollar préstamos, estafas y desbordamiento de obligaciones en moneda digital, donde los acreedores, sin reglas básicas, pueden manejar o manipular las condiciones y garantías de los deudores, advierte una nueva controversia, no sólo por el uso abusivo de esta nueva forma de financiación, sino por los diferentes y novedosos servicios y acciones que se pueden derivar de esta condición (Arkhypchenko, 2020).

La volatilidad de los mercados de criptomonedas y otros activos semejantes, establecen el nuevo escenario de movimientos financieros que se pueden ver en la actualidad. La incursión de un país al declarar el bitcoin como moneda de uso legal, plantea todo un desafío económico y reto tecnológico para una población (posiblemente no preparada para asumir el desafío), que establece una realidad emergente de la economía nacional más allá de las condiciones y regulaciones vigentes. Un escenario inesperado, que se abre al incierto de la dinámica de las criptomonedas, es un laboratorio donde cualquier evento puede pasar y como tal, podrá ser capitalizado por los adversarios.

El uso de billeteras electrónicas para la gestión de las criptomonedas es el punto de inicio y el fundamento de la movilidad del uso de este elemento tecnológico. Mientras se consideren elementos básicos de seguridad y control para el uso de estas aplicaciones, y las personas cuenten con una conciencia situacional cibernética alta, habrá oportunidad para que este dinero digital, comience a ganar mayor impulso para un lograr un uso más ordenado y confiable al que se tiene en la actualidad.

La satanización de las criptomonedas por cuenta del uso generalizado de los adversarios para concretar sus extorsiones, genera todo tipo de desconfianzas en el entorno social, quedando marcadas como un elemento maligno que sabe y huele sólo a robos y actividad ilícita. Como respuesta a esta dinámica delictiva, los bancos centrales a nivel global vienen trabajando en iniciativas de dinero digital “emitido” desde plataformas centralizadas y monitoreadas por estas entidades, lo que se puede advertir en un futuro cercano la incursión de nuevas “monedas digitales oficiales” que terminen movilizando la nueva dinámica económica del mundo, con las tensiones que implica tener circulando un yuan digital, un euro digital y un dólar digital (BIS, 2018). 

Frente a este tipo de iniciativas de dinero digital, de transformación acelerada del concepto de valor económico en el escenario digital, es necesario preparar tanto a las personas como las organizaciones para dar cuenta del cambio de paradigma que se avecina, donde las reglas conocidas del dinero empiezan a modificarse y reinventarse, y es allí donde los adversarios toman ventaja para efectuar movimientos “permitidos por las plataformas que las soportan” y posiblemente no debidamente documentados, ni transparentes que generan la opacidad de sus acciones y las desventajas para los agentes de la ley y el orden, así como para los supervisores de los mercados de valores.  

Técnicas de blanco móvil: Cambiando la ecuación del adversario

Las técnicas de blanco móvil son las nuevas “jugadas” que las organizaciones comienzan a incorporar como parte de su estrategia para cambiar la ecuación del incierto del adversario. Esto es, degradar o deteriorar su capacidad de inteligencia previa sobre el objetivo seleccionado con el fin de disuadir, demorar o deformar los planes adversos u operaciones cibernéticas previstas contra una organización o un estado (Cho et al., 2019).

Esta nueva estrategia, si bien no es del todo nueva, pues en la década de los noventas se desarrollaba de forma manual y asistida por programas automatizados en sistemas unix (uso de cron), es una práctica que ha venido evolucionando hasta convertirse en plataformas completamente diseñadas para disuadir y engañar a los atacantes. El secreto de su despliegue está en la configuración adecuada para mantener la infraestructura actual de la empresa en medio de un señuelo automatizado y creíble, que le permita ver las acciones de los agresores, e interceptarlos antes de que tengan éxito.

Esta estrategia busca confundir al adversario, crear incertidumbre en su modelo o estrategia de ataque, con el fin de generar acciones erráticas en el atacante, y crear una disuasión creíble y verificable que advierta al agresor que existe una infraestructura que no logra identificar, posiblemente encubierta y atenta a los movimientos que éste pueda adelantar para tratar de estudiar y descifrar su configuración y diseño. Crear un objeto móvil para el atacante es cambiar la lectura estática que tiene la infraestructura tecnológica hasta el momento y afectar la práctica estandarizada de los “chicos malos”.

Con el paso del tiempo en el uso y apropiación de este tipo de estrategias disuasivas y de engaño, la organizaciones deben evolucionar y madurar de un marco de trabajo basado en controles tradicionales (estáticos y poco evolutivos), a uno de controles basados en la dinámica del negocio del atacante, donde la analítica de datos en estas nuevas infraestructuras permite mantener un nivel incierto consistente en el adversario, haciendo más complejo el ejercicio de inteligencia y por tanto, limitando la ejecución de sus planes, o al menos demorarlo, teniendo un margen de acción mayor al que se tiene en la actualidad (Wendt, 2019).

Frente a esta iniciativa de protección, se hace necesario cambiar la práctica de protección actual, donde no sólo se puedan advertir patrones de ataque o movimientos inusuales dentro y fuera de la infraestructura, sino habilitar zonas de enfrentamiento situadas y contenidas (algo como un sandbox de ataques invisibilizado) donde tanto organización como atacante son capaces de verse y confrontarse, de tal forma que el reto permanece: por parte de la organización, estudiar la estrategia del adversario y del lado del adversario, descubrir el engaño y romper la zona definida por la empresa para mantener y engañar al agresor.

Nubes híbridas: inseguridad “en cascada”

La nube híbrida se entiende como un entorno mixto de almacenamiento, computación y servicios compuestos por una infraestructura on-premise, servicios de nube privada y una nube pública, con orquestación entre las diversas plataformas, con el fin de generar mayor agilidad, adaptación y despliegue balanceando la ejecución de cargas críticas de trabajos en nubes públicas con aseguramiento de la confidencialidad en nubes privadas. La interacción y el acoplamiento de esta propuesta crea zonas opacas que son aprovechadas de forma sistémica por la inseguridad de la información (Vaishnnave et al., 2019).

El escenario de la emergencia sanitaria internacional creó de forma acelerada los escenarios híbridos de operación de las empresas de forma inesperada. Lo que inicialmente era un entorno controlado y cerrado para las organizaciones, se convirtió en un práctica de conexión y flujo de información con terceros de confianza, con quienes en la marcha fueron ajustando la manera como se iban a acoplar y acondicionar las nuevas prácticas de conexión y uso de la infraestructura.

El mundo de la nube híbrida tiene múltiples ventajas y limitaciones, las cuales deben ser revisadas y analizadas en detalle, no sólo para capitalizar las mejores oportunidades de esta estrategia, sino tener una vista informada de sus vulnerabilidades y retos, con el fin de efectuar las acciones necesarias que permitan articular mejor los modelos de seguridad y control de las organizaciones, de cara a una realidad cada vez más interconectada y más dependiente de las capacidades estratégicas disponibles en sus socios claves de negocio (AFP, 2021).

A continuación se detallan algunos riesgos de esta estrategia híbrida que se ha venido implementando en las organizaciones: (Finnie, 2017)

  • Los datos ahora están más expuestos: el control de acceso no sólo deberá estar en el centro de datos físico, sino articulado en la nube pública donde se procesan. Esto implica una mayor superficie de ataque y por tanto mayor coordinación y sincronización con el proveedor para mantener un entorno confiable.
  • La descentralización de la información aumenta la complejidad de la detección, el cumplimiento, la aplicación de parches de seguridad y el análisis de datos por la misma razón. Una mayor dispersión de la información crea nuevos puntos de protección que habrá que identificar y asegurar.
  • Con una nube pública en la mitad no es viable mantener un inventario en tiempo real de las máquinas o recursos utilizados, creando una opacidad sobre las cargas de trabajo y las diferentes instancias disponibles con la información de la compañía, creando cegueras que impiden un monitoreo real de los activos de datos de la empresa. No se puede asegurar, lo que no se puede ver.
  • Cuando se entregan los datos a proveedores de nube públicas se pierde el control de los mismos. Las regulaciones y exigencias de los supervisores por lo general demandan un adecuado control de los datos de carácter personal y con mayor razón de los secretos corporativos. La nube pública crea inestabilidad en el modelo híbrido y escenarios de riesgos con baja capacidad de maniobra.
  • Los proveedores de nubes públicas son responsables de la infraestructura global, incluyendo el almacenamiento, las bases de datos y las redes. El cliente empresarial es responsable de todo lo demás. Por tanto, se hace necesario coordinar el aprovisionamiento con el proveedor para sincronizar y alinear las prácticas de seguridad y control, para mantener el perfil de protección definido por la organización.
  • Los errores en la configuración de la nube pública y el acoplamiento con el segmento privado dispuesto por la organización, pueden generar efectos en cascada que afecten no sólo las aplicaciones dispuestas en la estrategia híbrida, sino los datos y la confiabilidad de los mismo por cuenta de los efectos no deseados o desconocidos que se puedan dar.
  • Cuando se configura una nube híbrida, se crea un lugar donde un empleado descontento con acceso a la nube puede causar graves daños. En un entorno de nube híbrida, se multiplica igualmente esa amenaza por el número de empleados del proveedor de nube. En este sentido, el reto de la apropiación de las prácticas de seguridad y control, la validación del perfil de los profesionales que trabajan con el proveedor y los posibles comportamientos ilícitos con efectos adversos para la compañía, se advierten como una realidad que deberá contemplar no solo los oficiales de seguridad, sino los seguros cibernéticos que se contraten.

Mientras mayor sea la integración y el acoplamiento entre organización y proveedor en la nube, deberá haber un mayor análisis sistémico que le permita conocer los puntos de mayor sensibilidad y propagación de eventos inciertos, así como promover una estrategia de simulaciones de actividades no autorizadas, para concretar las acciones y planes de acción que den respuesta ágil a la condición adversa que se presenta, cuidando la confianza de los clientes y la reputación de la compañía.

¿Cómo enfrentar los nuevos umbrales de transformación?

Para enfrentar los retos que sugieren los umbrales de transformación presentados en este documento es necesario complementar el marco de gestión tradicional basado en el planear, hacer, verificar y actuar (PHVA), con otro basado en arriesgar, anticipar, responder y monitorizar (A2RM), donde la lectura del entorno y sus inestabilidades se convierte en la base de la gestión de seguridad y control, desde los inciertos y las inestabilidades (Cano, 2021b).

A continuación se detallan algunas acciones concretas que permiten conectar el ciclo de regulación representado por el PHVA y con el ciclo de adaptación representado por el A2RM. Desarrollar estas actividades implica retar las condiciones de operación actual de la organización y encontrar la ruta de transformación que toda organización recorre entre una amenaza y una oportunidad: el proceso de lograr un cambio, que no es otra cosa que generar nuevos aprendizajes/desaprendizajes.

Arriesgar:

  • Se revelan los riesgos conocidos, latentes, focales y emergentes como parte del reconocimiento del entorno.
  • Se evalúan las potencialidades positivas de los riesgos identificados
  • Se toman riesgos de forma inteligente basados en los impactos estratégicos y tácticos, los grupos de interés y las lecciones aprendidas. 

Anticipar:

  • Se mantiene una revisión permanente de tendencias y asimetrías en el entorno de negocio.
  • Se cuenta con espacios para proponer y motivar ideas que retan los saberes previos.
  • Se desarrollan y aplican simulaciones y prototipos de las ideas propuestas. 

Responder:

  • Se adelantan ejercicios de preparación ante eventos adversos con participación de diferentes niveles de la organización.
  • Se han definido umbrales de operación y tolerancia de riesgos frente a eventos inesperados.
  • Se mantienen alianzas estratégicas con socios y terceros de confianza para crear un ecosistema de defensa.

Monitorizar:

  • Se cuenta con la capacidad de ajustar las infraestructuras tecnológicas basadas en el reconocimiento de amenazas novedosas y emergentes
  • Se cuenta con tecnologías de decepción como estrategia para mantener seguimiento y vigilancia de nuevos patrones de ataque.
  • Se adelanta correlación de eventos, patrones y tendencias para diseñar escenarios posibles y emergentes que puedan afectar la dinámica de la empresa.

En resumen las áreas y funciones de seguridad/ciberseguridad deberán articular al menos tres ciclos claves en el desarrollo de sus actividades. Los tres ciclos son: el ciclo de regulación (para los riesgos conocidos, basado en la aplicación de estándares), el ciclo de adaptación (para los riesgos latentes y emergentes, basado en análisis de escenarios y prospectiva) (Beer, 1985) y el ciclo de memoria y aprendizaje (para desarrollar capacidades de respuesta y aprendizaje colaborativo) (Reyes & Zarama, 1998).

Articular estos tres ciclos permite a la función de seguridad y ciberseguridad entrar en el reto de los atacantes, no sólo con las herramientas básicas conocidas (los estándares y buenas prácticas), sino con una capacidad de maniobra para plantear alternativas y propuestas que le permitan jugar (con una realidad aumentada) y capacidades defensivas, que exijan al atacante pensar mejor sus movimientos y mejorar su propuesta inicial de acción, o quizá disuadirlo que lo haga.

Reflexiones finales

Desarrollar pronósticos de seguridad/ciberseguridad cada año se torna en un reto cada vez más desafiante, más enriquecedor y más esquivo, comoquiera que los cambios acelerados y transformaciones inesperadas, crean escenarios que muchas veces desafían hasta los más experimentados analistas en estos temas. En esta ocasión, si bien muchas temáticas pueden quedarse por fuera de esta reflexión, es importante advertir que los umbrales de transformación planteados establecen una mirada interconectada de la dinámica actual, que trata de recoger algunos movimientos y sus impactos en la práctica vigente de los oficiales de seguridad/ciberseguridad.

Los temas como el internet de las cosas, la analítica de datos, los gemelos digitales, la realidad aumentada, los procesos robóticos automatizados, la analítica de sentimientos, los algoritmos de máquinas de aprendizaje, la impresión 3D, la cadena de bloques (blockchain), la computación cuántica, y aquellas que puedan revelarse en los próximos años serán tendencias puntuales que se irán incorporando en las organizaciones creando espirales de cambios que deberán incomodar los saberes previos y repensar la dinámica de sus procesos (Briggs et al., 2020).

En este escenario, será importante que la función de seguridad/ciberseguridad tome una postura de acción y despliegue ágil que entienda el apetito de riesgo de la organización y encuentre nuevos retos en los inciertos. Lo anterior demanda entender las decisiones que pueden ser riesgosas de aquellas que son opciones novedosas que desafían y cambian la operación de la empresa (Wucker, 2021). Así las cosas, tanto los profesionales como los ejecutivos de seguridad/ciberseguridad deberán acoger el ciclo de gestión A2RM como una manera para observar las tendencias, reconocer las inestabilidades y enfrentar al adversario en su propio terreno.

Las reflexiones planteadas en este documento son un mapa imperfecto de los desafíos que se advierten en los próximos meses y por tanto, es necesario mantener una vista exploratoria y crítica de los eventos que constantemente ocurren, para actualizar la lectura de las señales débiles identificadas y contrastarlas con las tendencias que se han consolidado a la fecha. Pensar por fuera de la caja, deberá ser el reto permanente de los profesionales de seguridad/ciberseguridad, como una manera de abrazar la ambigüedad permanentemente y apostar por actuar de forma anticipada en el presente.

Referencias

AFP (2021). 2021 AFP Risk survey report. Post Crisis and Preparation for the Future. https://www.afponline.org/publications-data-tools/reports/survey-research-economic-data/Details/risk-2017 

Altshuler, Y., Aharony, N., Elovici, Y., Pentland, A. & Cebrian, M. (2017). Stealing reality: when criminals become data scientist. En Shrobe, H., Shrier, D. & Pentland, A. (Editors) (2017). New solutions for cybersecurity. Cambridge, MA. USA: MIT Press. Chapter 8. 269-290.

Arkhypchenko, I. (2020). Theoretical and legal perspective of civil liability in cryptocurrency relations. Master Thesis. Taras shevchenko National Nniversity of Kyiv. Faculty of law. Civil Law Department. https://doi.org/10.13140/RG.2.2.20658.02247 

Beer, S. (1985). Diagnosing the system for organizations. London, UK: Wiley.

BIS (2018). Monedas digitales emitidas por bancos centrales. Comité de Pagos e Infraestructuras de Mercado. Comité de Mercados. https://www.bis.org/cpmi/publ/d174_es.pdf 

Briggs, B., Buchholz, S. & Sharma, S. K. (2020). Macro technology forces. A second look at the pillars of the past, current, and future innovation. Deloitte Insights. https://www2.deloitte.com/us/en/insights/focus/tech-trends/2020/macro-technology-trends.html   

Cano, J. (2021). Ciberseguridad empresarial. Reflexiones y retos para los ejecutivos del siglo XXI. Bogotá, Colombia: Lemoine Editores. 

Cano, J. (2021b) La “falsa sensación de seguridad”. El reto de incomodar las certezas de los estándares y tratar de “domesticar” los inciertos. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. 159. https://doi.org/10.29236/sistemas.n159a6  

Cascio, J. (2020). Facing the age of caos. Institute for the future. https://medium.com/@cascio/facing-the-age-of-chaos-b00687b1f51d 

Cho, J., Sharma, D., Alavizadeh, H., Yoon, S., Ben-Asher, N., Moore, T., Kim, D. S., Lim, H. & Nelson, F. (2019). Toward Proactive, Adaptive Defense: A Survey on Moving Target Defense. IEEE Communications Surveys & Tutorials. 1-39. Doi 10.1109/COMST.2019.2963791

Finney, G. (2020). Well aware. Master nine cybersecurity habits to protect your future. Austin, TX. USA: Greanleaf book group.

Finnie, S. (2017). The Top 12 Hybrid Cloud Security Threats. Security Boulevard. https://securityboulevard.com/2017/11/top-12-hybrid-cloud-security-threats/ 

Hodgson, A. (2020). Systems thinking for a turbulent world. A search for new perspectives. Oxon, UK: Routledge. 

Refsdal, A., Solhaug, B. & Stølen, K. (2015). Cyber-Risk Management. Switzerland: Springer Verlag.

Renaud, K. & Ophoff, J. (2021). A cyber situational awareness model to predict the implementation of cyber security controls and precautions by SMEs. Organizational Cybersecurity Journal: Practice, Process and People. DOI: 10.1108/OCJ-03-2021-0004  

Reyes, A. & Zarama, R (1998). The process of embodying: a re-construction of the process of learning. Cybernetics & Human Knowing. 5(3). 19-33.

Sieber, S. & Zamora, J. (2018). The Cybersecurity Challenge in a High Digital Density World. European Business Review. November. https://www.europeanbusinessreview.com/the-cybersecurity-challenge-in-a-high-digital-density-world/  

Vaishnnave, M. P., Suganya Devi, K. & Srinivasan, P. (2019). A Survey on Cloud Computing and Hybrid Cloud. International Journal of Applied Engineering Research. 14(2). 429-434. http://www.ripublication.com/ijaer19/ijaerv14n2_13.pdf 

Wendt, D. (2019). Addressing Both Sides of the Cybersecurity Equation. CSIAC Journal. 7(2). 22-30. https://csiac.org/articles/addressing-both-sides-of-the-cybersecurity-equation/ 

Wucker, M. (2021). You are what you risk. The new art and science of navegating and uncertain world. New York, USA: Pegasus Books.

sábado, 16 de enero de 2021

Educar en ciberriesgos. El reto de una sociedad en transformación digital

Introducción
En los primeros días del año los inciertos y las inestabilidades globales abundan. Eventos como la confusión geopolítica generada por las intrigas y eventos recientes en Norteamérica, los avances silenciosos del Partido Comunista Chino (PCC) en la preparación de un “yuan digital” con proyección global (Barría, 2020), la brecha de seguridad materializada a través de un tercero en el Banco Central de Nueva Zelanda (Reuters, 2021) y el caso altamente visible del compromiso uno de los proveedores de software (SolarWinds) de varias agencias del gobierno norteamericano (Schwartz, 2021), muestran como lo confirma el reciente reporte del CIDOB (Soler, 2020) que este año estará marcado por la incertidumbre.

Frente a la incertidumbre se hace necesario salir a explorar diferentes alternativas y escenarios para establecer estrategias que habiliten identificar aquellas claves, con el fin de tomar las iniciativas concretas que permitan dar cuenta con el contexto de volatilidad que se plantea en la actualidad. En este sentido, los eventos que marcan el inicio de este año deben llevar a las organizaciones y ejecutivos de seguridad/ciberseguridad a actualizar sus marcos de trabajo para pasar del “proteger y asegurar” (que hay que mantener para aquello conocido) al “defender y anticipar” (de aquello que no conoce, ni sabe) con el fin de explorar y analizar las inestabilidades y establecer una postura de seguridad y defensa sensible a los cambios y las promesas de valor para sus clientes.

Más allá de ser el custodio del modelo de generación de valor de la empresa, la seguridad de la información se debe convertir en la base de la dinámica y relacionamiento intraempresarial, como fundamento del aseguramiento de los flujos de información que se desarrollan a su interior, lo que supone descubrir, analizar, intervenir y actualizar los imaginarios sociales que se tienen alrededor de la protección de la información (Cano, 2016). Tener la lectura de éstos imaginarios permite establecer el asidero fundamental para avanzar en la construcción de una cultura organizacional de seguridad de la información (COSI) que se convierta en el pilar clave para asumir el incierto como insumo para trazar una ruta de navegación en medio de los vientos y tormentas que puedan generar los adversarios.

La mayoría de las brechas de seguridad que se han revelado a nivel internacional corresponden a engaños exitosos o acciones realizadas por las personas alrededor de la protección de la información, comportamientos frente a las aplicaciones o reacciones de los individuos frente a realidades que confrontan la lógica, la confianza y la desinformación sobre eventos concretos. En este sentido, cuanta mayor distracción se genere en el entorno, menor será la capacidad de atención y alerta frente a situaciones que puedan ser sospechosas y así, habilitar un espacio para concretar un pivote de acceso que termine en una brecha de seguridad en una organización (Campbell, O’Rourke & Bunting, 2015).

En consecuencia, este breve documento introduce la necesidad urgente de educar a la ciudadanía en general sobre los ciberriesgos, como la nueva frontera de retos del entorno digital, donde los adversarios buscan crear contextos de inestabilidad que aprovechan desde los engaños, la desinformación, manipulación de mensajes, el pánico, el incierto y la sensación “fuera de control” para que se actúe de forma errática e inesperada, y así tener mayor margen de acción fuera del marco general de los sensores de control disponibles en las organizaciones.

¿Qué son los ciberriesgos (riesgos cibernéticos)? Definiendo un escenario con blanco móvil
Los ciberriesgos son riesgos que tienen al menos tres características claves: son sistémicos (tienen efecto en cascada), emergentes (surgen como fruto del nivel de acoplamiento e interacción de diversos componentes) y disruptivos (generan efectos inesperadas la dinámica del sistema), los cuales están presentes en el entorno ciberfísico, lo que se traduce en una convergencia entre lo físico, lo lógico y lo biológico, como fundamento de la dinámica de la cuarta revolución industrial (Cano, 2019).

En este sentido, la materialización de un ciberriesgo, más allá del aprovechamiento de una falla o vulnerabilidad de uno de sus componentes, puede generar afectación a nivel de la persona, la sociedad, las organizaciones y las naciones, dada su condición sistémica. Esto es, que a diferencia de los impactos focalizados que se pueden concretar a nivel de la seguridad de la información al interior de la organización, los ciberriesgos se propagan y evolucionan dependiendo del nivel de convergencia, acoplamiento e interacción que se tenga en un contexto particular (Perrow, 1999).

Mientras los riesgos propios de la seguridad de la información son la base conceptual para comprender los ciberriesgos, éstos últimos se configuran y transforman de formas distintas. Lo anterior implica reconocer las relaciones y conexiones que se tienen entre el mundo físico, lógico y biológico, así como la confiabilidad de los flujos de información y el aseguramiento de los mismo, con el fin de contar con una vista ampliada de las interacciones y posibles efectos que se pueden presentar si algo no sale como estaba planeado o surge una relación que no estaba documentada inicialmente.

Por tanto, la base de la comprensión de los ciberriesgos es el entendimiento de las incertidumbres claves que se pueden presentar como pueden ser: a) no saber qué va a pasar, ni que tan probable son los resultados, b) contar información imprecisa, insuficiente o contradictoria y c) no tener el conocimiento requerido (Menon & Kyung, 2020). Bajo este entendido, se requiere que los individuos entiendan que habrá riesgos que no podrán “ver o anticipar” y desarrollar un apetito de riesgo basado en su capacidad y tolerancia a estos eventos para plantear su respuesta.

Así las cosas, parte de la educación de las personas en el tema de ciberriesgos pasa por una comprensión del riesgo cibernético y la predisposición cultural hacia la reducción de los riesgos de seguridad (Mee, Brandenburg & Lin, 2020), así como por las habilidades necesarias para estar atentos frente a eventos, que aun siendo normales, puedan generar sospecha de algo no está funcionando de acuerdo con lo esperado. En consecuencia, las estrategias que se generen para educar a las personas en estos temas deberán privilegiar una mirada interdisciplinar y un pensamiento sistémico como base de aquellas preguntas que serán el asidero de la “ciberhigiene” necesaria para aumentar la resistencia a los ataque de los adversarios.

¿Cómo educar a las personas frente al riesgo cibernético? Un ejercicio más allá de enseñar un cúmulo de temas
Si aceptamos que educar, como lo afirma John Ruskin, “no significa enseñarle algo a una persona que no sabía, sino transformarlo en una persona que no existía”, el reto en la educación de ciberriesgos se traduce inicialmente en sorprender a las personas sobre las realidades y desafíos del entorno ciberfísico, para desde allí conectar con sus saberes previos y motivar el desarrollo de mejores preguntas, y no ofrecer muchas respuestas.

Es desde esta perspectiva, desde las preguntas propias de las personas alrededor del nuevo entorno ciberfísico donde se inicia el proceso de construcción y conexión de los saberes previos de las personas, para desarrollar nuevos constructos de conocimientos y prácticas, que irán más allá de seguir una receta (propia de las prácticas particulares de seguridad de la información) para configurar criterios de toma de decisiones que privilegiarán sus propias inquietudes, las reflexiones que hagan alrededor del tema, los diferentes puntos de vista de otros participantes y sus certezas básicas.

Esta tipo de estrategia educativa no está fundada en el desarrollo de competencias mecánicas que todos los participantes deben repetir para asegurar que “han sido educados” y “han aprobado” un cuerpo de conocimientos, sino en el reconocimiento del contexto particular de cada persona, sus inquietudes más relevante y frecuentes alrededor de los ciberriesgos, y las relaciones que tiene con su diferentes grupos de interés dentro de una comunidad. Por tanto, el aprender sobre ciberriesgos implica exponerse a distintos escenarios no convencionales y evaluar la respuesta de la persona que considere al menos su apetito al riesgo, las prácticas vigentes de seguridad y control, y el nivel comodidad o incomodidad frente al incierto (Cano, 2016).

De esta forma, no sólo se podrá confrontar todo el tiempo aquello que ha aprendido en ejercicios anterior, sino que irá desarrollando nuevas posturas o enriqueciendo otras, de tal forma que se genere una postura de seguridad y control, que no sólo responda a las prácticas establecidas en los estándares, sino que se ajusta a la realidad y contexto vigente lo que implica reconocer el carácter volátil e incierto de los riesgos cibernéticos en el escenario actual. 

Tratar de formar competencias (conocimiento estandarizado) para tratar los ciberriesgos, es limitar la incertidumbre natural de este tipo de riesgos, creando una opacidad en el análisis y comprensión de los mismos, comoquiera que no existen a la fecha respuestas estándares que den cuenta con la dinámica del riesgo cibernético y los impactos de su materialización. Así las cosas, los esfuerzos de educación deberán iniciar desde el estudio de la mente del atacante y sus recursos, para luego compartir de forma colectiva propuestas con sus pares del entorno, y desde allí, producir las acciones pertinentes a la situación que se tiene en el momento (Cano, 2016).
 
Lo anterior  implica “superar la primacía de las relaciones de causa y efecto como marco explicativo” (Calvo, 2017, p.73) y abrir las fronteras al pensamiento sistémico y complejo, donde las causalidades se multiplican y entrelazan de manera imprevisibles. En consecuencia, se hace evidente la necesidad de una alfabetización sistémica (Booth, s.f.), como fundamento para "disoñar" (diseñar y soñar) (Calvo, 2016) propuestas alternativas y novedosas que no teman a la equivocación ni a la ignorancia.

Reflexiones finales
Los entrenamientos o formación en temas de seguridad de la información, basado en listados de temas a cubrir, aplicación de controles fundados en los estándares, sumando a la técnica del “miedo” (si no haces esto o aquello, podrás ser sancionado), terminan creando una espiral decreciente de aprendizaje que moviliza el imaginario de las personas sobre la seguridad de la información, como una temática que es una responsabilidad de la empresa y por lo tanto, es algo que otros hacen por ella.

En este escenario se deja de construir una red interna de alerta y protección, que configura una vez más a los temas de protección de la información como una temática técnica que está fuera del alcance de las personas del común. Por tanto, educar en los retos de los riesgos cibernéticos, demanda una formación básica en las prácticas de la seguridad de la información, para luego movilizarse al contexto de un entorno digital interconectado y convergente (ISO, 2020), donde el riesgo es parte natural de su dinámica, y las personas toman decisiones frente al incierto que esto genera.

Es así, que la educación en el riesgo cibernético exige una reflexión interdisciplinar que conecte diferentes puntos de vista, impactos y acciones que permitan a las personas movilizarse mejor en medio de la incertidumbre (Huerta, Pérez, Zambrano & Matsui, 2014), para lo cual se hace necesario reconocer las opciones y apuestas de los adversarios, construir de forma colectiva alternativas de acción y tomar la decisiones que correspondan en el momento adecuado. 

Lo anterior supone, “ejercitar la sospecha sobre aquello que se nos muestra como aparentemente lógico, verdadero y coherente” (Medina, 2008, p.164), para sumergirse en un mundo de incertidumbres donde son importantes las preguntas y no las respuestas; una oportunidad para “liberarse del encadenamiento a un concepto lineal, que obliga a repetir afirmaciones dichas por otros” (Calvo, 2016, p.30).

Referencias
  • Barría, C. (2020). La nueva moneda digital que China está probando y que sitúa al país a la cabeza de la carrera mundial de las divisas virtuales. BBC News Mundo. https://www.bbc.com/mundo/noticias-51483218  
  • Booth, L. (s.f.) Food systems, climate systems, laundry systems: the time for systems literacy is now! The systems thinker. Recuperado de: https://thesystemsthinker.com/%ef%bb%bffood-systems-climate-systems-laundry-systems-the-time-for-systems-literacy-is-now/ 
  • Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
  • Calvo, C. (2017) ingenuos, ignorantes, inocentes. De la educación informal a la escuela autoorganizada. La Serena, Chile: Editorial Universidad de la Serena.
  • Campbell, S., O’Rourke, P. & Bunting, M. (2015) Identifying Dimensions of Cyber Aptitude: The Design of the Cyber Aptitude and Talent Assessment. Proceedings of the Human Factors and Ergonomics Society 59th Annual Meeting. 721-725. https://doi.org/10.1177/1541931215591170 
  • Cano, J. (2016) La educación en seguridad de la información. Reflexiones pedagógicas desde el pensamiento de sistemas. Memorias 3er Simposio Internacional en Temas y problemas de Investigación en Educación: Complejidad y Escenarios de Paz. Universidad Santo Tomás. Bogotá, Colombia. Agosto 25 a 27. https://www.researchgate.net/publication/321197873_Riesgo_y_seguridad_Un_continuo_de_confianza_imperfecta 
  • Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 151. 63-73. Doi: https://doi.org/10.29236/sistemas.n151a5
  • Huerta, J., Pérez, I., Zambrano, R., & Matsui, O. (2014). Pensamiento complejo en la enseñanza por competencias profesionales integradas. Guadalajara, Jalisco. México: Universidad de Guadalajara
  • ISO (2020) ISO/IEC Technical Specification 27100:2020 Information technology — Cybersecurity — Overview and concepts
  • Medina, J. (2010) El desaprendizaje: Aproximación conceptual y notas para un método reflexivo de generación de saberes profesionales. En Armengol, C. y Gairín, J. (2010) Estrategias de formación para el cambio organizacional. Madrid, España: Wolters Kluwer.
  • Mee, P., Brandenburg, R. & Lin, W. (2020) Global Cyber Risk Literacy and Education Index. A measurement of population development toward understanding cyber risk. Oliver Wyman Forum. https://www.olverwymanforum.com/cyber-risk/cyber-risk-literacy-education-index.html
  • Menon, G. & Kyung, E. (2020). When More Information Leads to More Uncertainty. Harvard Business Review. De: https://hbr.org/2020/06/when-more-information-leads-to-more-uncertainty
  • Perrow, C. (1999) Normal accidents. Living with High-Risk Technologies. Princeton, NJ. USA:  Princeton University Press.
  • Reuters (2021). New Zealand central bank says its data system was breached. https://www.reuters.com/article/us-newzealand-economy-rbnz/new-zealand-central-bank-says-its-data-system-was-breached-idINKBN29F010 
  • Schwartz, M. (2021). 'SolarLeaks' Site Claims to Offer Attack Victims' Data. InfoRisk Today. https://www.inforisktoday.com/solarleaks-site-claims-to-offer-attack-victims-data-a-15751 
  • Soler, E. (2020). El mundo en 2021: diez temas que marcarán la agenda internacional. CIDOB Notes Internationals. 243. https://www.cidob.org/publicaciones/serie_de_publicacion/notes_internacionals_cidob/243/el_mundo_en_2021_diez_temas_que_marcaran_la_agenda_internacional