lunes, 16 de septiembre de 2019

Pronósticos de seguridad/ciberseguridad 2020


Introducción
En un contexto digital asistido por la desintermediación, la distribución, la desinformación, la deslocalización y la desinstalación, los flujos de información y las plataformas tecnológicas operadas por terceros adquieren un mayor relevancia y atención, no sólo por los ejecutivos de las empresas, sino por los adversarios. Este nuevo escenario de negocios, que no es responsabilidad exclusiva del área de TI, establece nuevas relaciones y retos para crear experiencias novedosas en los clientes y abrir posibilidades inexistentes para las empresas.

Lo anterior exige crear un “retorno de la experiencia”, es decir, un nuevo ROI (Retorno de la inversión) que consiste en mapear el viaje de compra de los clientes, aislar los puntos de contacto y los factores que impulsan la experiencia (Maxwell, 2019), de tal manera que se puedan crear patrones y condiciones particulares para todos los participantes, con lo cual la experiencia de compra sea conveniente, ágil y de valor para el comprador.

Este entorno donde se ha superado el uso de los navegadores, por el uso de aplicaciones móviles (de ahora en adelante apps), establece un escenario digitalmente denso donde la conectividad, los flujos de información, los datos personales y las personalizaciones hacen ahora parte de la cotidianidad del mundo actual. Sin perjuicio de que algunos estén o no de acuerdo con esa nueva realidad, es claro que habrá una mayor exposición de las características de las personas y sus gustos, así como el uso de algoritmos especializados para mantener la atención y potencial de compra activado en cada uno de los ciudadanos de internet.

Esta dependencia en aumento de los terceros de confianza, la necesidad de agilidad en el despliegue de soluciones, el uso de la inteligencia artificial para afinar las decisiones, la confiabilidad de la información y el ingreso de la tecnología 5G como habilitador de la futuras ciudades digitales, configura un entorno rico en propuestas de negocios y nuevos vectores de ataques que serán diseñados, para lograr sus objetivos, basados en la economía del adversario, donde se hacen los mínimos esfuerzos para obtener el máximo beneficio.

De esta manera, se presenta a continuación este documento con algunos pronósticos de seguridad/ciberseguridad para el año 2020, como una excusa académica y reflexión práctica, posiblemente incompleta y limitada, que trata de explorar y conectar ciertos puntos inconexos en el espacio actual de posibilidades, con el fin de motivar reflexiones tanto en los profesionales de seguridad/ciberseguridad, así como en los ejecutivos de las empresas para visualizar escenarios adversos donde un agresor puede tomar ventaja y así estar preparados para cambiar su ecuación de riesgos.

A continuación se presentan las cinco (5) tendencias o pronósticos identificados para un contexto digital e hiperconectado donde más que probabilidades, se debe pensar en posibilidades.

1. Criptominería en IoT
La criptominería es una actividad que se ha venido consolidando desde hace algunos años como una forma de construir base monetaria, algunas veces de manera no autorizada o por debajo de los radares de los reguladores financieros. Para ello la capacidad de cómputo es un elemento fundamental, dado que la generación de criptomoneda demanda dicha capacidad para resolver los retos matemáticos que implica su producción.

Los mineros suelen crearse equipos de minería consistentes en múltiples tarjetas gráficas unidas a una misma placa base mediante extensores PCIe, y los fabricantes de placas base han estado aprovechando el boom de Ethereum para sacar modelos específicos para equipos de minería” (Baños, s.f.). Sin perjuicio de lo anterior, los mineros cada vez más diversifican su capacidades de procesamiento, con el fin de contar con mayores recursos en su reto por alcanzar nuevos registros de criptomonedas.

En este contexto, con una alta densidad digital cada vez más evidente y mayor conectividad de objetivos físicos con características inteligentes, se advierte una acción proclive de los mineros sobre dispositivos de internet de las cosas, que si bien son pequeños y con limitadas capacidades, es viable construir un grid de computación amplio y denso de tal forma que se puedan tener “granjas de minería” en segundo plano trabajando en la generación de criptomonedas nuevas o más maduras, como apoyo a otras estrategias ya consolidadas con servidores y equipos de computación caseros capturados mediante engaños a muchas personas.

Este nueva propuesta criptominera tiene la ventaja de poder utilizar capacidad de procesamiento posiblemente imperceptible para los dueños de los dispositivos, habida cuenta que no se cuenta con una práctica regular de medición y seguimiento de las capacidades de estos dispositivos de internet de la cosas, creando un escenario propicio para “robar” procesamiento de bajo perfil de forma no autorizada.

2. Engaños basados en terceros de confianza (Cadena de suministro y actualizaciones de firmware)
Con la transformación digital como fundamento de la propuesta de valor de muchas organizaciones a nivel global, los terceros de confianza se convierten en los aliados estratégicos de muchas de ellas, como base de la configuración y despliegue de soluciones y propuestas innovadoras para sorprender a sus clientes. En este ejercicio, tanto las empresas como los terceros despliegan productos y servicios digitalmente modificados, que por lo general se basan en los fundamentos de las metodologías ágiles, para lograr el efecto deseado de forma efectiva y en tiempos de mercado.

En este contexto, las empresas delegan y confían en sus terceros muchos de los aspectos de seguridad y control, dejando una brecha de monitorización y verificación en el proceso, comoquiera que éstos pueden o no estar certificados y/o cuenten con reportes internacionales que validan sus buenas prácticas al interior de sus procesos y productos. No obstante lo anterior, los adversarios sabiendo que la aplicación de los estándares y buenas prácticas pueden generar cegueras cognitivas y crear una zona de confort para estos actores, configuran nuevos vectores de ataque que cambian la ecuación de riesgos de la empresa y sus aliados estratégicos aumentando la probabilidad de un incidentes no identificado.

Dichos incidentes, generalmente basados en la confianza y reconocimiento mutuo de los implicados, crea engaños que pueden pasar por actualizaciones de microcódigo en sistemas de control industrial, descarga de aplicaciones actualizadas o ajustes en configuraciones en puntos críticos de conexión entre la infraestructura del tercero y la empresa, de tal forma, que bajo la apariencia de comunicaciones y conexiones confiables (Darkreading, 2019), es posibles crear un evento no deseado que surge por la falta de ejercicios de novedad o inestabilidad, que permita mantener atenta a las partes sobre nuevas tensiones que se crean los posibles adversarios.

Si bien esta tendencia no es nueva, si es consistente con los eventos que se han venido presentando a lo largo del año y que si no se cambian las prácticas vigentes, continuará desarrollándose y avanzando en los procesos cada vez más automatizados y menos monitoreados, particularmente en sectores como el industrial y manufactura, el de la salud y posiblemente el de tecnología dado el incremento de empresas emergentes que buscan desarrollar ecosistemas digitales con aplicaciones y productos de apropiación rápida y expansión viral.

3. Uso adversarial de la inteligencia artificial
La inteligencia artificial como fenómeno tecnológico que ha salido de los laboratorios para convertirse en un producto comercial, da cuenta de una realidad de transformación acelerada de cambios y actividades que antes tomaban tiempo para realizarse. Este ejercicio de automatización e inteligencia basada en el poder de los algoritmos que aprenden tanto de manera supervisada como no supervisada, establece una nueva frontera para crear apuestas particulares en diferentes campos y dominios de la ciencia.

El uso positivo de los capacidades de la inteligencia artificial pasa por diagnósticos médicos, sistemas de detección de intrusos avanzadas, propuestas de pronósticos de eventos en sistemas financieros, entre otras aplicaciones. No se escapan los teléfonos inteligentes, ahora con asistentes basados en este tipo de inteligencia, que atienden las dinámicas de las personas, programan citas y recuerdan aspectos propios de la vida personal y profesional. Los algoritmos de inteligencia artificial están en medio de la dinámica de la sociedad actual, los cuales bien utilizados, se convierten en poderosas herramientas para avanzar y correlacionar eventos de formas novedosas.

Cuando el atacante hace uso de esta misma tecnología y la usa para adelantar sus acciones contrarias, estamos en un campo donde el incierto, el engaño y la premeditación se hacen presentes. Es un ejercicio donde el atacante puede crear contexto de distracción y acciones evasivas que pueden engañar las prácticas actuales de los sistemas más avanzados de detección y análisis. Esto supone aspectos como malware construido para autogenerarse y reconfigurarse, código inteligente que se reescribe a sí mismo en entornos controlados, engaños a otros algoritmos de detección, guerras de información asimétrica, manipulación de tendencias y mercados, entre otras acciones que revelan un campo inestable donde no tenemos reglas concretas para jugar o desafiar (Li, Zhao, Cai, Yu & Leung, 2018).

Avanzar frente a esta nueva amenaza implica desarrollar el concepto de contrainteligencia cognitiva, que adaptando la definición de Jiménez (2019) sobre contrainteligencia, definimos podemos definir como “el conjunto de actividades que tiene como finalidad localizar, identificar y monitorizar, para neutralizar y, en su caso, contrarrestrar y reportar, las actividades no autorizadas de los algoritmos de aprendizaje automático, es decir, aquellas que rompen con las reglas inicialmente establecidas y materializan los riesgos inherentes al desarrollo y puesta en operación de los algoritmos de inteligencia artificial".

4. Compromiso de la integridad de la información
De las características de la información que hoy está más expuesta es la integridad. La confidencialidad y la disponibilidad, si bien igualmente son relevantes, se hace evidente en la actualidad revisar dos atributos más propuestos por Parker (1998) como son la utilidad y la posesión, los cuales son convergentes con la esencia de la integridad. Bajo esta perspectiva, una información es íntegra si en todo su ciclo de vida no ha sido alterada o deteriorada, y si fuese el caso, se tiene registro y trazabilidad de dicha condición.

La utilidad definida como el “uso de la información para un propósito” y la posesión como “la tenencia o titularidad, el control y la capacidad de utilizar la información” (Parker, 1998, p.240) se vuelven relevantes a la hora de comprender las tendencias actuales donde la manipulación de la información se convierte en un arma estratégica para posicionar un producto o servicios,  o un vector de ataque que busca confundir, crear un engaño o facilitar el posicionamiento de intereses de actores con intenciones poco confiables.

Cuando se entiende la degradación o deterioro de la información como estrategia para limitar su utilidad y habilitar usos distintos a los inicialmente establecidos, así como motivar un cambio de titularidad de la misma a un tercero mediante engaños o suplantaciones, con el fin de adelantar acciones no autorizadas a nombre de un intruso, es posible advertir tendencias que afectan la identidad, la veracidad y el control de los imaginarios de las personas en un contexto particular. Cambiar la esencia de la información con fines no conocidos es un realidad que exige más que controles de acceso para poder protegerla y asegurarla.

Parker (1998) de forma visionaria estableció que revelar información sobre un propietario de forma inadvertida, en medios abiertos o sin controles, establece un campo de acción para un adversario donde cualquier uso o utilidad se puede concretar, creando un escenario de negligencia y gestión que se devuelve a su dueño. En consecuencia, perder posesión de la información, no es sólo el acceso a la misma, sino en brindarla a terceros de forma no intencional o inadevertida con la cual se crea conocimiento o se construye nuevas versiones de la misma que están más allá de los propósitos iniciales y legítimos que se tenían.

Enfrentar este desafío, implica pasar del control de acceso al control de uso, donde se hace necesario desarrollos los atributos de posesión y utilidad propuestos hace más de dos décadas, con el fin de fortalecer no solamente la integridad, sino la confidencialidad y la disponibilidad ahora con un propósito y fines superiores y sensibles cuando puede ser utilizada y controlada fuera de un espacio de comprensión y conocimiento autorizado.

5. Redes 5G: hiperconectados y ultravulnerables
El advenimiento de las ciudades inteligentes, la conexión masiva de objetos físicos y la necesidad de pobladores hiperconectados, configura un escenario de alto flujo de información, de infraestructuras basadas en terceros y agilidad en la transmisión de los datos con el fin de concretar la visión de una realidad aumentada, informada y en tiempo real para los moradores de esas ciudades. Por tanto, la aparición de las redes 5G es la respuesta tecnológica que se requiere para cumplir con la promesa de ese entorno hiperconectado, con baja latencia de interacción entre los móviles, la nube y los objetos, y sobremanera, de agilidad y eficiencia en los servicios dispuestos en estas ciudades.

La redes 5G se configuran como la pieza clave del rompecabezas para potenciar servicios y productos en diferentes industrias para potenciar las capacidades y oportunidades de las personas para acceder a espacios de interacción inexistentes con vehículos autónomos, cirugías asistidas por brazos mecánicos a distancia, sistemas industriales robotizados, sistemas de emergencias conectados y masivos, entre otras actividades. De esta forma, estas nuevas redes potenciarán el desarrollo de una economía digital, donde los bienes intangibles y el internet de las cosas serán parte natural de esta nueva dinámica.

A la fecha cinco son las empresas que están a la vanguardia de esta nueva tecnología: Nokia, Ericsson, Samsung, Huawei y ZTE, la dos últimas representan intereses chinos, con lo cual se crean tensiones geopolíticas, donde “la posibilidad de que los fabricantes chinos introduzcan en sus productos dispositivos que permitan el envío de información de forma encubierta o que, sencillamente, puedan escapar al control del operador de esos equipos poniendo en peligro la seguridad, integridad o confidencialidad de los sistemas” (Moret, 2019) de las empresas y las naciones.

Considerando que la infraestructura de las redes 5G configura un ecosistema de ecosistemas, dado que se virtualizan las infraestructuras de redes y se transforman en software de gestión y transmisión, que disminuyen la latencia, reducen un 90% el consumo de energía de la red, ofrecen un tasa de datos de hasta 10Gbs (Gemalto, 2019), entre otras características, se funda un escenario emergente de amenazas dado las limitadas opciones de seguridad y control consideradas en el diseño y desarrollo de esta tecnología.

Un reciente estudio del Instituto Brookings (Wheeler & Simpson, 2019) establece cinco razones por las cuales las redes 5G serán más vulnerables a ciberataques que sus predecesoras. Las razones son:
  • La red se ha alejado de la conmutación centralizada basada en hardware y ha pasado a un enrutamiento digital distribuido y definido por software.
  • Virtualización en software de funciones de red de alto nivel que anteriormente realizaban los dispositivos físicos.
  • Gestión de la red basada en software.
  • Expansión del ancho banda de forma dinámica.
  • Conexión de miles de millones de dispositivos IoT.

Dado este entorno de software sobre una red distribuida, proclive a los ataques, las organizaciones y naciones deben tomar sus precauciones y acciones concretas para avanzar en una estrategia de protección proactiva en el despliegue de los sistemas socio-técnicos sobre este nuevo ecosistema: infraestructura, aplicaciones y servicios. Surge un deber cibernético de cuidado de todos lo participantes para compartir y asegurar la dinámica de este entorno que aún está por conocerse y descubrirse.

Reflexiones finales
Entender estas cinco tendencias revisadas previamente es reconocer que es necesario superar el enfoque de control y cumplimiento vigente en las empresas, para movilizar a las organizaciones y naciones hacia estrategias accionables que las configuren como corporaciones y naciones resilientes, donde se privilegian las relaciones con el entorno y la generación de valor para sus clientes y ciudadanos (Deloitte, 2018).

La nueva generación de disrupciones tecnológicas creará nuevos entornos desafiantes para los cuales no se puede estar preparados. Por tanto, es clave que las naciones y empresas emprendan con frecuencia un viaje al futuro desde las simulaciones y la experimentación, con el fin de exponer las inestabilidades e inciertos que se pueden presentar con el fin de encontrar patrones y tendencias sobre las cuales poder trabajar de forma previa y aprender de ellas.

Los cinco pronósticos detallados en este breve reporte son una reflexión limitada de un entorno cada vez más volátil e inestable, que busca comprender posibles vectores de ataques y contextos en los cuales los adversarios pueden tomar ventaja para incrementar la incertidumbre en las variables de gestión de riesgo de los analistas organizacionales.

En consecuencia, la invitación es a construir y actualizar de forma permanente el mapa de amenazas digitales del entorno actual, sobre un territorio que cambia de forma dinámica y muchas veces rizomática creando zonas grises y ocultas, propias de las cegueras cognitivas, para tensionar y desconectar aquello conocido y así, intentar descubrir los patrones y retos de los adversarios.

Referencias
Baños, D. (s.f.). ¿Qué es la criptominería? Revista Muy Interesante. Recuperado de: https://www.muyinteresante.es/tecnologia/articulo/que-es-la-criptomineria
Darkreading (2019). Firmware Vulnerabilities Show Supply Chain Risks. Darkreading. Recuperado de: https://www.darkreading.com/vulnerabilities---threats/firmware-vulnerabilities-show-supply-chain-risks/d/d-id/1335313
Deloitte (2018) Auditing the risks of disruptive technologies. Internal Audit in the age of digitalization. Report. Recuperado de: https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-rfa-auditing-the-risks-of-disruptive-technologies.pdf
Gemalto (2019). Red 5G – Características y usos de esta tecnología. Recuperado de: https://www.gemalto.com/latam/telecom/inspiracion/5g
Jiménez, F. (2019). Manual de inteligencia y contrainteligencia. Sevilla, España. CISDE
Li, P., Zhao, W., Cai, W., Yu, S. & Leung, V. (2018). A Survey on Security Threats and Defensive Techniques of Machine Learning: A Data Driven View. IEEE Access. 6, 12103-12117. Doi: 10.1109/ACCESS.2018.2805680
Maxwell, J. (2019). ROX is the new ROI: Prioritizing customer experience. Strategy+Business. Recuperado de: https://www.strategy-business.com/blog/ROX-Is-the-New-ROI-Prioritizing-Customer-Experience
Moret, V. (2019). El despliegue de las redes 5G, o la geopolítica digital. Real Instituto Elcano. Recuperado de: http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari31-2019-moret-despliegue-de-redes-5g-geopolitica-digital
Parker, D. (1998). Fighting computer crime: a new framework for protecting information. New York, USA: John Wiley & Sons.
Wheeler, T. & Simpson, D. (2019). Why 5G requires new approaches to cybersecurity. Racing to protect the most important network of the 21st century. Report. Brookings Institute. Recuperado de: https://www.brookings.edu/research/why-5g-requires-new-approaches-to-cybersecurity/

domingo, 24 de febrero de 2019

Ciber riesgo. Aprendiendo de un riesgo disruptivo


Introducción
En el contexto de los riesgos informáticos y cibernéticos, los temas de seguridad de la información y ciberseguridad aparecen bien como riesgos operativos o como riesgos no financieros. Por lo general, estas temáticas se relacionan directamente con el área de tecnología o de seguridad informática, quienes finalmente lo asumen desde la perspectiva técnica que tienen a cargo y, no con la vista sistémica y global que se requiere.

Esta realidad, confirma el imaginario técnico que los ejecutivos tienen del tema y hace evidente su desinterés por comprenderlo en profundidad, como esa realidad transversal que afecta la dinámica del negocio y reconoce sus impactos en los diferentes grupos de interés. En este sentido, la gestión del riesgo de ciberseguridad, queda por fuera de la agenda ejecutiva como riesgo estratégico de la empresa, y pasa a ser “algo que resuelven los de tecnología”.

Podríamos decir que los ejecutivos en las organizaciones, sufren de al menos dos sesgos claves que les impide ver las implicaciones del riesgo de ciberseguridad. Por un lado, el sesgo de miopía, que tiende a ver el corto plazo y sus impactos, y el sesgo de optimismo, que lleva a subestimar la probabilidad de la pérdida de la materialización de eventos futuros (Meyer & Kunreuther, 2017). Estos dos sesgos combinados, configuran un marco de comprensión que limita a los directivos romper con el esquema de “creer que conocen los riesgos”, configurando un escenario que cultiva la inevitabilidad de la falla, basado en la realidad que conocen a la fecha.

En este contexto, desarrollar una gestión de los riesgos cibernéticos, como categoría formal dentro del mapa general de riesgos de la compañía, se hace complejo, como quiera que no se comprenden las implicaciones de la conectividad y aumento de la densidad digital en el negocio, y se convive con sesgos cognitivos (muchas veces no reconocidos), que opacan las reflexiones requeridas para visibilizar los escenarios adversos que se pueden presentar en el futuro, por cuenta de una acelerada convergencia tecnológica, para la cual, muchos profesionales, ejecutivos y empresas no están preparados.

En consecuencia, desarrollar un programa de gestión de este riesgo cibernético, o pensar en configurar un modelo de madurez, generalmente responde a la necesidad de certezas de los ejecutivos de primer nivel, con fin de contar con un instrumento que trate de configurar un espacio de “control y gestión” donde puedan sentirse menos incómodos con el incierto que genera la condición del reto cibernético o de ciberseguridad, que ahora se presenta en los cuerpos colegiados de primer nivel de las empresas.

Basado en lo anterior, y sin perjuicio, que contar con referentes claves de prácticas y procesos de ciberseguridad es un avance positivo y necesario para una organización, es imperativo comprender que tratar de cercar la incertidumbre e inestabilidad que ocasiona una mayor conectividad (Saran, 2017), es una tarea que incluye a todos los actores organizacionales, un reto de comprensión sistémica del negocio, que generalmente no tiene un dueño específico, pero si unos grupos de interés que reclaman atención cuando eventos adversos se materializan en el dominio de acción de la empresa.

Retos de la gestión del riesgo cibernético
Un reciente estudio de Deloitte (2018) revela algunos aspectos claves de la gestión del riesgo de ciberseguridad, los cuales advierten la necesidad de una vista holística por parte de las organizaciones, inversiones requeridas para configurar visiones prospectivas de las amenazas y contratación de talento especializado que se reinvente frente a la volatilidad del entorno. A continuación se detallan algunas reflexiones alrededor de tres (3) de los elementos que mayor puntuación tuvieron en el estudio en mención.

El primer elemento, no hace referencia a aspectos técnicos o tácticos de la organización, sino a consideraciones estratégicas como “estar adelante en los cambios de las necesidades del negocio”, que se pudiese parafrasear como “anticipar escenarios emergentes para la organización”. Este primer punto, establece una declaración clave para la empresas y sus ejecutivos: no se trata de repetir aquello que se conoce o generalmente se lleva para presentar en la junta, sino crear un espacio para retar aquello que se hace a la fecha y tratar de imaginar cómo se puede afectar el modelo de generación de valor de la empresa.

Lo anterior, significa revisar y comprender el riesgo cibernético como una malla de implicaciones técnicas, sociales, económicas y políticas que ubica a la empresa en un ecosistema tecnológico dinámico, donde reconoce actores relevantes de su entorno, incluidos sus aliados y competidores estratégicos, para identificar las interacciones que son de interés, y así crear zonas de ventajas competitivas (OECD, 2015), las cuales debe custodiar y defender de las amenazas digitales naturales, que establecen actores conocidos y desconocidos, los cuales hacen parte del nuevo paisaje digital donde la empresa ahora tiene presencia.

El segundo aspecto clave identificado en el estudios “hacer frente a las amenazas de actores sofisticados”, que pudiésemos configurar como “enfrentar las amenazas de actores desconocidos”. Cuando se entiende que en la actualidad una organización se encuentra ubicada en un espacio donde existe una confrontación de intereses por activos digitales estratégicos, se quiebra el marco general de prácticas asociadas con los riesgos informáticos, dedicado a proteger y asegurar, para inaugurar la incorporación de las capacidades críticas como defender y anticipar.

Mientras en los estándares tradicionales de seguridad, se buscan alcanzar certezas sobre el incierto que puede producir un ataque, en el escenario de la ciberseguridad, no solamente hay que considerar lo anterior, sino reconocer el territorio de acción de los adversarios, sus recursos, sus posibilidades, capacidades e impactos con el fin de modelar acciones en diferentes aspectos: técnico, políticos, económicos y sociales, de tal forma, que enfrentar las amenazas digitales actuales, no responde a un ejercicio de los “técnicos”, sino a una visión estratégica del negocio, que da cuenta de comportamientos y movimientos coordinados para demorar, interrumpir, contener o anticipar los efectos de una ciberoperación deliberada para afectar los intereses claves de la compañía (Donaldson, Siegel, Williams & Aslam, 2015).

Un tercer elemento es “incorporar talento especializado en ciberseguridad”, frase que pudiésemos adaptar como “contratar analistas de ciberseguridad especializados”. Los nuevos profesionales de ciberseguridad, no sólo deben demostrar competencia técnica básica en los aspectos de seguridad de la información, sino exponer capacidades analíticas de inteligencia, análisis y correlación de eventos, reflexiones y formación geopolítica e infopolítica, cooperación interorganizacional y gubernamental, reconocimiento de patrones de amenazas emergentes y suficiencia en el diseño, análisis y simulación de escenarios.

Este profesional, ya no tiene una vista disciplinar de un dominio de conocimiento específico, sino la construcción de saberes interdisciplinares, que configuran marcos de trabajo agregados, que revisan una realidad inestable e incierta, para dar respuesta a las propuesta de los atacantes, que no vacilan en proponer retos complejos a las organizaciones, los cuales van desde el secuestro de datos, pasando por las noticias y videos falsos, la agresiones a las marcas, las afectaciones a la infraestructura tecnológica, hasta la creación de amenazas digitales desconocidas basadas en la inteligencia artificial.

Reflexiones finales
La ciberseguridad o riesgo cibernético, al tener en la base de su fundamentación los saberes de la seguridad de la información, ha heredado una gestión de riesgos que por lo general responde a unos riesgos conocidos. En este sentido, cuando se incorpora una vista sistémica extendida de la organización, para comprender cómo los efectos de la materialización de los ciberataques pueden comprometer la promesa de valor de la empresa, estamos cruzando los límites de los estándares tradiciones de gestión de riesgos, para darle paso a una revisión amplia de las amenazas que pueden ser tanto conocida, latentes y emergentes (Cano, 2017).

Por tanto, en un entorno de “disrupción digital”, entendida ésta como “un efecto que cambia las expectativas fundamentales y comportamientos en una cultura, mercado, industria o proceso que es causada por, o expresada a través de, capacidades digitales, canales o activos” (Yockelson & Smith, 2018), se hace necesario mantener una monitorización del ambiente, identificando aquellas anomalías, rarezas y contradicciones, que adviertan patrones no conocidos, los cuales marcan las nuevas capacidades y habilidades de los adversarios (Charan, 2015), con el fin de anticipar sus movimientos y crear acciones de defensa tanto activas como pasivas, que permitan, no evitar ser atacados exitosamente, sino prevenir, demorar, distraer o interrumpir sus acciones bajo condiciones inciertas.

De esta forma, las organizaciones siguiendo las reflexiones de Schoemaker & Day (2017) deberán desarrollar una mentalidad de experimentación permanente para anticipar los efectos adversos de los atacantes, equipos de trabajo con personal calificado en el riesgo de ciberseguridad, que al experimentar y simular, puedan codificar, compartir y aplicar los nuevos conocimientos y patrones identificados, y finalmente mirar más allá de sus fronteras organizaciones y de mercado buscando puntos de vista distintos, que reten sus saberes previos, no solamente para aprender/desaprender, sino para obtener una ventaja estratégica competitiva en un mundo turbulento que a menudo paraliza a los demás.

Referencias
Cano, J. (2017) La ventana de AREM. Una estrategia para anticipar los riesgos y amenazas en ciberseguridad empresarial. ISACA Journal. vol. 5. Recuperado de: https://www.isaca.org/Journal/archives/2017/Volume-5/Pages/the-arem-window-spanish.aspx
Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.
Deloitte (2018) Global Risk Management Survey, 11 edition. Deloitte Insights. Recuperado de: https://www2.deloitte.com/content/dam/insights/us/articles/4222_Global-risk-management-survey/DI_global-risk-management-survey.pdf
Donaldson, S., Siegel, S., Williams, C. & Aslam, A. (2015) Enterprise cybersecurity. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress.
OECD (2015) Digital Security Risk Management for Economic and Social Prosperity: OECD Recommendation and Companion Document, OECD Publishing, Paris. DOI: http://dx.doi.org/10.1787/9789264245471-en
Saran, S. (2017) Time to face up to cyber threats. Observer research foundation. Recuperado de: https://www.orfonline.org/research/time-to-face-up-to-cyber-threats/
Schoemaker, P. & Day, G. (2018) Strategic actions in the face of uncertainty. Revista Brasileira de Marketing – ReMark. Special Issue. 17(5). 700-712
Yockelson, D. & Smith, D. (2018) Willful Disruption — Scaling, Operating and Changing the Digital Game: A Gartner Trend Insight Report. Gartner Research.

domingo, 28 de octubre de 2018

Pronósticos de seguridad de la información y ciberseguridad para 2019

Introducción
El ejercicio de anticipar el futuro exige el desarrollo del “músculo prospectivo”. No es identificar con certeza lo que puede ocurrir, sino plantear un marco común para desarrollar una conversación estratégica compartida acerca de aquello que es posible y plausible, y no necesariamente probable.

Tratar de generar una visión de lo que viene hacia adelante, es una capacidad que tiene en sí misma la inevitabilidad de la falla, pero la virtud de lanzarse a proponer futuros alternativos donde pueden crearse oportunidades o identificarse amenazas, es lo que permiten sacar de la zona cómoda a aquellos que están en el deber de tomar las decisiones claves que den cuenta del reto de posicionar a la empresa en un entorno incierto y asimétrico.

En este contexto, mirar sobre el mar incierto de las inestabilidades de la inseguridad de la información y los ciber riesgos emergentes, es un reto que implica desaprender aquello que conocemos y tratar de aprender del futuro desde las especulaciones y perspectivas del presente. En consecuencias, las reflexiones que se plantean a continuación, más que una propuesta concreta sobre pronósticos alrededor de la ciber-inseguridad, es una mirada divergente y contradictoria sobre lo que puede revelarse en los siguientes 365 días que inician en pocos meses.

Para realizar esta exploración y conversación abierta con la dinámica de la inseguridad, hace falta dejarse nutrir por los diferentes reportes de las empresas de seguridad, las vulnerabilidades publicadas, los anuncios de los gobiernos, las noticias cotidianas y sobre manera los avances científicos y académicos que generan nuevas posibilidades, para no caer en la zona donde creemos que conocemos los riesgos.

En este sentido, se detallan a continuación cinco (5) patrones emergentes (ver figura 1) que se sugiere revisar por parte de los curiosos y estudiosos de la inseguridad de la información en todos los diferentes dominios: personas, procesos, tecnología y normativas, para pensar de forma sistémica y estratégica la seguridad/ciberseguridad en las organizaciones, que en esencia demanda, un pensamiento creativo, disruptivo, orientado al futuro y experimental por naturaleza.


Figura 1. Pronósticos de seguridad de la información y ciberseguridad 2019 (Elaboración propia)

Pronósticos de seguridad de la información y ciberseguridad 2019
En primer lugar, la demanda y exigencia de las organizaciones por concretar experiencias distintas en sus clientes, acelera y aumenta la densidad digital de sus productos y servicios. Esto implica necesariamente la incorporación de interfaces y flujos de información sobre objetos físicos, que crean contextos de información personal, con apuestas individuales y particulares para cada usuario que termina por caracterizar comportamientos, actividades y gustos de los consumidores.

Lo anterior es posible a través de la incorporación del internet de las cosas, los terceros de confianza (Proveedores de servicios en la nube) y la computación oscura, o aquella representada en aplicaciones móviles instaladas por las personas y no registradas ante los departamentos de tecnología de información en las organizaciones. Estos elementos crean ecosistemas digitales que son operados por diferentes actores con diferentes tecnologías y prácticas de seguridad, que terminan siendo usados y definidos por los individuos que los usan. 

Esta nueva superficie digital de conectividad (local y en la nube), establece un especial sustrato y atractivo para los atacantes como quiera que encuentran diversos tipos de prácticas de seguridad y control sobre dispositivos inteligentes, que por definición terminan siendo “inseguros”, dado que no fueron diseñados bajo esta perspectiva, sino para ser funcionales (Perkins, 2016).

Una segunda tendencia que se advierte es el aumento de la vigilancia y monitorización de gobiernos, grupos no gubernamentales, sobre los datos de personas, empresas y estados. La necesidad de tener control sobre las comunicaciones, conocer de antemano posibles condiciones adversas frente a la gobernabilidad de las naciones, las operaciones de espionaje, manipulación y control seguirá aumentando, creando mayores inciertos y tensiones sobre los derechos fundamentales de las personas en internet.

El ISF (Information Security Forum) fundamenta este pronóstico en los siguientes puntos:
  • Ninguna organización podrá evitar la recolección de sus datos; será un requisito legal.
  • Es probable que los datos sean almacenados en múltiples ubicaciones por múltiples partes externas, cada una de las cuales aplica diferentes niveles de seguridad.
  • El creciente volumen e impacto de las brechas de datos en todo el mundo sugiere que los datos no estarán adecuadamente protegidos.
  • Es probable que los atacantes que intentan explotar los datos estén mejor financiados y más motivados que las personas responsables de protegerlos.
  • El valor potencial de los análisis de los datos los convertirá en un objetivo natural para los atacantes bien dotados de recursos, altamente cualificados y decididos, incluidos los grupos delictivos organizados, los competidores y los grupos terroristas. (Olavsrud, 2017)

Derivado de lo anterior y las reiteradas menciones a la temática de la pos-verdad, bien afirma el reporte del ISF (2019), que en 2019, la integridad de la información estará bajo sospecha y será la causante de muchas distorsiones y confrontaciones a nivel global. Basta ver los usos recientes de información manipulada e incompleta que se ha utilizado para crear inestabilidades e inciertos que terminan con tensiones geopolíticas que cambian no sólo la visión de las cosas, sino que provocan posiciones encontradas.

La pérdida de la integridad de la información, establece el referente natural que genera ciberconflictos abiertos, donde las naciones buscan alcanzar posiciones estratégicas globales, que le permitan tener la mayor cantidad de terreno digital disponible y el control de los datos, sin perjuicio de las implicaciones que puedan tener sobre las operaciones de las empresas y sus activos estratégicos. La erosión de la integridad de la información y su abuso, plantearán situaciones adversas creando desinformación que sólo busca distraer a todos los involucrados mientras los objetivos fundamentales que se persiguen se logran.

El estudio y experimentación aceleradas sobre el uso de la tecnología de cadena de bloques (Blockchain) será puesto a prueba. La confiabilidad criptográfica sobre la cual esta tendencia tecnológica ha creado su confianza, será el marco de nuevas fallas de seguridad y control. Lo que para unos era la solución definitiva e invulnerable, para otros será la reacción natural de las sobrevaloración de una tecnología, que quedan sometidas a la implacable acción de la inevitabilidad de la falla (Cano, 2017).

En este sentido, las cadenas de bloques serán atacadas para cometer fraude o lavar dinero, deteriorando la confianza de la que dependen. Esto podría llevar al abandono de la cadena de bloques o la reformulación de su modelo base, con el fin motivar una evolución acelerada del concepto, pensando en nuevas fronteras de conocimiento alrededor de la computación cuántica.

El quinto patrón que se identifica es la crisis del paradigma de la “gestión de parches” frente al reto del agilismo que se impone en el contexto de nuevas aplicaciones que soportan una transformación digital. Siempre habrá vulnerabilidades escondidas en cada pieza de software, lo que necesariamente implica un ciclo de descubrimiento de la falla, generación del parche, su instalación y prueba, para finalmente su estabilización y puesta en producción.

Frente a este ciclo que toma un tiempo importante, se confronta la necesidad de ajustes y despliegues rápidos en un contexto de dispositivos distribuidos, con funcionalidades y efectos sobre el mundo real, que generalmente responden al internet de las cosas. Los retos que este nuevo contexto implica para la seguridad de las “cosas” demanda crear prototipos, ver como fallan, ajustarlos rápidamente, actualizar los requerimientos y especificaciones (Schneier, 2018, p. 42), para tratar de anticipar los posibles errores, habida cuenta que ahora la materialización de una vulnerabilidad tiene un efecto concreto en el mundo real: apagar una planta, cerrar una válvula, activar un reactor o cegarle la vida a una persona.

Reflexiones finales
Estas cinco tendencias que se han identificado establece un marco de reflexión que muestra la necesidad imperante de los negocios de contar con datos para crear experiencias distintas. De igual forma, la inseguridad de la información seguirá llevando a los investigadores y curiosos de la protección de la información, a nuevos descubrimientos y retos de frontera, que serán cuidadosamente observados por las naciones y gobiernos como insumos para construir ciberarmas, las cuales inevitablemente se nutren de los efectos de la inseguridad sobre la cual están fundadas.

En el contexto actual y lo que se advierte hacia el futuro, las implicaciones de la vulnerabilidades y fallas de seguridad serán menos técnicas y más evidentes en el mundo real, dada la alta conectividad de las actividades humanas y la necesidad de estar informados de forma inmediata. Así las cosas, los algoritmos, las aplicaciones y las conexiones entre los diferentes objetos digitalmente modificados, podrán y serán comprometidas, creando confusión e inestabilidad para tomar las decisiones que se requieren en el escenario de los nuevos negocios digitales.

Si bien no es posible afirmar que la situación mencionada va a mejorar, lo que si es claro es el aumento de la asimetría de la información, que hará más complejo la interacción y coordinación entre los diferentes actores, para establecer acciones concretas que aumente la resistencia a los diferentes vectores de ataque y motive una iniciativa conjunta que controle el deterioro acelerado de la naciente confianza digital.

Referencias
Cano, J. (2017) Blockchain: “Cadena de bloques”. Reflexiones sobre seguridad y control. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. No 145. 45-51.
ISF (2017) Threat horizon 2019. Disruption. Distortion. Deterioration. Recuperado de: https://www.securityforum.org/uploads/2017/03/ISF_Threat-Horizon-2019_Executive-Summary.pdf
Olavsrud, T. (2017) 9 biggest information security threats through 2019. CIO. Recuperado de: https://www.cio.com/article/3185725/security/9-biggest-information-security-threats-through-2019.html
Perkins, E. (2016) Top 10 Security Predictions Through 2020. Forbes. Recuperado de: https://www.forbes.com/sites/gartnergroup/2016/08/18/top-10-security-predictions-through-2020/
Schneier, B. (2018) Click here to kill everybody. Security and survival in a hyper-connected world. New York, USA: W. W. Norton & Company.

domingo, 5 de agosto de 2018

Conocimiento del entorno y confianza digital: Fundamentos de la próxima generación de profesionales de seguridad de la información y ciberseguridad

Introducción
En un contexto digitalmente modificado, los retos de la seguridad de la información y la ciberseguridad cambian sustancialmente. Mientras en el pasado, las prácticas de protección de la información se mantenían con recetas conocidas: controles generales de tecnología de información, generación de alertas sobre eventos previamente identificados, evaluaciones de verificación de controles, entre otros; hoy el panorama dinámico y asimétrico de las vulnerabilidades, riesgos y amenazas demanda una vista más sistémica y prospectiva que cambia el status quo reactivo y preventivo de la seguridad y el control (Kaplan, Bailey, O’Halloran, Marcus & Rezek, 2015).

Si bien durante la última década del siglo XX y la primera del siglo XXI, la seguridad de la información, estuvo marcada por la protección de los activos de información en las organizaciones (Cano, 2018), hoy en los albores de la tercera década de este nuevo milenio, es la densidad digital, el nuevo paradigma que los profesionales de la protección de la información deben comprender, para alinear los esfuerzos de los ejecutivos y sus retos empresariales, frente a la inevitabilidad de la falla, que ahora se concentra en plataformas digitales, terceros de confianza, convergencia tecnológica y tecnologías disruptivas.

La densidad digital como “el poder de acceder de forma remota a los datos generados por las organizaciones, las personas y las cosas sin importar su ubicación física, y de articular interacciones relevantes entre ellas” (Zamora, 2017), se configura como el nuevo normal que deben asumir los profesionales de la protección de la información, para reinventar sus prácticas y modelos de seguridad y control, ahora en un contexto de flujos de datos controlados, latentes (no controlados) y emergentes, los cuales definen la condición de confiabilidad de un objeto digitalmente denso.

Lo anterior, configura nuevos escenarios de interacción, donde las “cosas digitalizadas” hacen parte de ecosistemas con funcionalidades y características extendidas, que crean capacidades diferenciales para las empresas, con el fin de fundar experiencias distintas para sus clientes. Estas nuevas plataformas digitales, que pertenecen a diferentes compañías, se fusionan con desarrolladores especializados para proveer una variedad de interfases de programas de aplicaciones (en inglés API), que permiten integrar y potenciar la conectividad entre diferentes contextos de uso (dispositivos móviles, aplicaciones, hardware, entre otros) para lograr funcionalidades antes no imaginadas (De Reuver, Sørensen & Basole, 2018).

En consecuencia, este documento hace una revisión de los retos que enfrentan los profesionales de seguridad de la información y de ciberseguridad (en adelante psiyc) en una sociedad digital, y detalla algunas reflexiones sobre cómo deben abordar esta nueva realidad tecnológicamente modificada, con el fin de ejercer un liderazgo digital valioso, que anticipe, comprenda y comunique los riesgos como elementos claves para construir una confianza digital imperfecta, que está basada, no sólo en la protección de activos de información, sino en activos digitales que ahora en están en manos de los clientes, y que evolucionan según las expectativas y experiencias de éstos.

Retos de los profesionales de seguridad de la información y ciberseguridad en un contexto digital
Los especialistas y ejecutivos en seguridad de la información y ciberseguridad, se encuentran en una encrucijada, que les demanda resolver el reto de la velocidad y la creatividad del negocio, con la protección, no sólo de la información, sino de la realidad digital que ahora vive y experimenta el cliente.

En este sentido, los límites naturales de los profesionales en la protección de la información, que están fundados dentro de los linderos de la organización para la cual prestan sus servicios, ahora se extienden sobre los escenarios alternos que ahora plantean los negocios actuales. Un cliente digitalmente conectado, se configura como una extensión de la empresa y se convierte en parte inherente de la promesa de valor de la empresa, así como en un elemento clave en la lectura de la confiabilidad de la empresa y sus productos.

Si bien, la elaboración y configuración de los nuevos dispositivos digitalmente densos, exige un mayor detalle y consideraciones de seguridad y privacidad por diseño (Bhattari & Wang, 2018), los psiyc deben asegurar que dicho artefacto se revele a los clientes, no solo como una oportunidad que concreta nuevas experiencias, sino como un elemento digitalmente confiable, donde tanto empresa como cliente, construyen una relación de confianza digital, que conecta las exigencias de cumplimiento de calidad y conformidad de producto, y la promesa de valor de la empresa con sus usuarios.

Dicho lo anterior, los retos claves que los psiyc, se concentran en al menos cuatro (4) elementos claves: los flujos de datos conocidos (controlados), los latentes (no controlados) y aquellos emergentes, propios de las nuevas implementaciones propuestas y poco estudiadas (ver figura 1), así como priorizar la cultura de confiabilidad sobre el proceso de aseguramiento de la información.


Figura 1. Flujos de información en contextos digitalmente modificados. Elaboración propia

Los flujos de datos conocidos, están asociados con las conexiones que se han fundado sobre la infraestructura, los diseños de las aplicaciones y sus funcionalidades, las cuales cuentan con una lectura de riesgos y controles tradicional que permiten mantener una confianza base de la operación. En este escenario, los terceros de confianza y las infraestructuras compartidas en sí mismas, deben mantener una línea base de seguridad y control que mantenga su negocio bajo condiciones estables de funcionamiento y cumpliendo con la exigencias de las regulaciones y mejores prácticas internacionales.

Los flujos latentes (no controlados), se derivan de las conexiones y usos alternativos que se configuran sobre los dispositivos digitalmente modificados. Las funcionales y la conectividad que se habilitan en estos objetos digitales a través de APIs, establecen un mapa extendido de la infraestructura, que crea rutas alternas de enlaces entre la infraestructura, los datos de las personas y las características del mencionado objeto, que no son visibles ni para el administrador de la infraestructura, ni para el desarrollador de las aplicaciones, ni para el cliente; creando una zona gris de interacción que debe ser revelada y asegurada en tiempo real (Calabro, Púrpura, Vasa & Perinkolam, 2018).

Los flujos emergentes, surgen cada vez que un nuevo ecosistema aparece con capacidades diferenciadas, brindando espacios de conectividad, contenido y acoplamiento con infraestructuras previas, lo que si bien, habilita y establece nuevas oportunidades para hacer cosas distintas y anticipar expectativas de los usuarios, también abre espacios donde se cultiva de manera acelerada la inevitabilidad de la falla, dada la opacidad de los flujos de información que se generan, la forma como se concretan las interacciones y los caminos (entre las infraestructuras, las aplicaciones y los individuos) que se habilitan para lograr el efecto deseado en el cliente.

Si lo anterior representa un reto de diseño, implementación y anticipación relevante para los psiyc, la cultura de confiabilidad, representada en la responsabilidad digital compartida entre el cliente y la organización por un uso adecuado de la información, la protección de la privacidad y el cumplimiento normativo, no es menos importante, para asegurar una vista complementaria de los desafíos de estos profesionales. La cultura de confiabilidad (o de seguridad o ciberseguridad) configura una serie de comportamientos que confirman un imaginario de confianza, que debe anclarse en cada uno de los participantes de los ecosistemas de negocios actuales: desde el desarrollador hasta el usuario final (Reed & Carleton, 2018).

Nuevas habilidades para asumir el reto de la confianza digital
Asumir reto de proteger un mundo mediado por flujos conocidos, latentes y emergentes, demanda un cambio en la manera como los psiyc, comprenden la forma como se alcanza la protección y la confianza en un entorno digital. Para ello, estos profesionales deben pasar de actuar de forma mecanicista basado exclusivamente en prácticas conocidas, a pensar de forma sistémica, es decir, observar el panorama general y sus relaciones visibles, así como las emergentes, de tal manera que pueda construir un mapa del ecosistema digital que la organización ha construido, con el fin de anticipar posible eventos y amenazas que generen tensiones negativas sobre la promesa de valor de la empresa.

Lo anterior supone, desarrollar distracciones productivas (Lund, 2018), que permitan observar y analizar diferentes perspectivas del entorno donde se encuentran, identificando detalles en las interacciones, sin perder la dinámica general del movimiento general del ecosistema donde opera la organización. Esto supone un ejercicio de curiosidad y concentración, que combine la capacidad de asombro (Calvo, 2016) de los profesionales y ejecutivos de la seguridad, con la práctica deliberada de focalizar la atención, sobre situaciones que puedan ser contradictorias, raras o inciertas.

Para lograr lo anterior, los psiyc deben estar atentos para no dejarse llevar por los “cantos de sirenas digitales” (Lund, 2018) que distraen la atención desde la “falsa sensación de seguridad”, la comodidad de sucesos que se enmarcan en la normalidad de la operación y sobremanera, en la zona cómoda de los estándares y buenas prácticas de seguridad y control donde la inercia y la decisiones conocidas no dejan espacio para pensar diferente.

Así las cosas, los psiyc deben combinar su experiencia previa, con su capacidad de asombro sobre tendencias y situaciones emergentes, que le permita ir en profundidad en su campo de conocimiento, mientras interactúa de forma colaborativa con sus pares y terceros de confianza, así como con profesionales de otras disciplinas, para liberarse de las cegueras cognitivas (Richards, 2018), crear una zona de tensiones sobre los controles actuales y abrirse a nuevas formas de caracterizar los comportamientos del ecosistema que ahora custodia, no sólo desde la realidad de la empresas, sino con las implicaciones para los clientes.

En este nuevo escenario volátil, incierto, complejo y ambiguo, los psiyc deben ajustarse rápidamente a las demandas del entorno, aumentar su capacidad de análisis, desaprender/aprender de forma ágil frente a la asimetría de las vulnerabilidades y amenazas, de tal manera que, comprendiendo la convergencia tecnológica acelerada, pueda construir un modelo de ciber-resiliencia (Boyes, 2015), que haga resistente a las fallas, no sólo la infraestructura, las aplicaciones y los objetos digitalmente densos, sino la conexiones y relaciones entre los diferentes actores de los nuevos ecosistemas digitales de negocios.

Creando profesionales de seguridad y control valiosos para el contexto digital
Para concretar esta nueva raza de psiyc, requeridos en una sociedad digital y tecnológicamente modificada, es necesario comprender donde se encuentran las ventajas competitivas que les permitan avanzar tan rápido como los desarrollos tecnológicos e iniciativas de negocio. En razón con lo anterior, se presenta a continuación una lectura de nuevas fuentes de ventaja competitiva para dichos profesionales, basado en las reflexiones desarrolladas por Weil & Woerner (2018), asociadas con la manera como las organizaciones de nueva generación crean valor para sus clientes.

Para fundar este análisis, se consideran dos elementos fundamentales para configurar la nueva generación de psiyc, que son el conocimiento del entorno y la confianza digital. El primero habla de la capacidad de los profesionales para ampliar su entendimiento de las tendencias emergentes que pueden potencialmente afectar negativamente la dinámica de los negocios con impactos contrarios y efectos no deseados; mientras el segundo es la propiedad emergente que debe surgir en los ecosistemas digitales al articular las distinciones de ciberseguridad, seguridad de la información, privacidad y cumplimiento, que tiene como centro el cliente y su experiencia.

El cruce de estos dos elementos crea cuatro cuadrantes (Ver figura 2), donde los psiyc se pueden mover, para generar apuestas de valor distintivas que conecten su habilidad para reconocer y anticipar riesgos y amenazas en el entorno de negocios de la empresa y así, custodiar la promesa de valor de la empresa, considerando al cliente como vértice de sus acciones y fundamento de la confianza digital empresarial.


Figura 2. Fuentes de ventaja competitiva para los psiyc. Elaboración propia (basado en Weil & Woerner, 2018).

El primer cuadrante, donde el conocimiento del entorno y confianza digital es baja, los psiyc se mantienen fieles a las prácticas y estándares conocidos de la industria, como una manera de preservar la confiabilidad de las operaciones, requerida en entornos conocidos y de tareas repetitivas. Si bien, la maestría alcanzada para implementar y evaluar estos estándares revela un importante reto  y logro profesional para los especialistas en seguridad y control, no genera apuestas distintivas que puedan ser percibidas como valiosas tanto por los clientes como por los ejecutivos de la empresa.

El segundo cuadrante, donde el conocimiento del entorno es bajo y la confianza digital es alta, los especialistas en seguridad y ciberseguridad, deben rápidamente contratar plataformas especializadas con terceros para aumentar el conocimiento de su entorno de operaciones, y establecer patrones de tendencias de los comportamientos de sus clientes, de tal manera que pueda brindarles espacios confiables para concretar experiencias nuevas de los clientes. El reto es acoplar el modelo de seguridad vigente y su infraestructura, con las capacidades de los terceros, creando un visión extendida de seguridad y control, que aumente la visibilidad y acción efectiva frente a eventos y situaciones inéditas de los productos o clientes.

El cuadrante tres, que surge de la necesidad de un alto conocimiento del entorno y bajo desarrollo de la confianza digital, demanda de los psiyc, crear capacidades analíticas para identificar y anticipar tendencias, lo que significa habilitar una vista multicanal de las amenazas y vulnerabilidades presentes en el ecosistema digital de la empresa, con el fin de crear escenarios de interacción ágiles y confiables para los clientes, donde a pesar de lo agreste del entorno, tanto la organización como sus compradores, encuentren razones para interactuar con sus productos y servicios digitalmente modificados.

El cuadrante cuatro donde tanto el conocimiento del entorno y la confianza digital es alta, es un estadio donde los psiyc, deben integrar tanto las prácticas y estándares conocidos, el uso de plataformas especializadas, y el desarrollo de las capacidades analíticas, para motivar el despliegue de ecosistemas digitales de seguridad y ciberseguridad, que asistidos por avances tecnológicos como la inteligencia artificial y el uso de algoritmos de aprendizaje, establezcan propuestas sobre una “protección a la medida” o “como servicio” que no solo conoce del entorno, sino del contexto del cliente y su perfil de riesgo.

Los cuatro cuadrantes establecen las posturas que los psiyc pueden asumir con el fin de avanzar o no en este nuevo entorno digital. En consecuencia, los especialistas en seguridad y control deberán articular su capacidad para anticipar inestabilidades en el entorno, de comunicarse y vincularse con la junta directiva, y crear una cultura de seguridad y de ciberseguridad, donde la responsabilidad digital empresarial se convierta en el mantra que conecta la promesa de valor de la empresa, con las expectativas y experiencias tanto de clientes como de los supervisores de los diferentes sectores de negocio.  

Reflexiones finales
La práctica de los psiyc debe reinventarse de cara al reto de los riesgos en un escenario digitalmente modificado. Mientras en el siglo XX un especialista de seguridad y control, tenía un marco de actuación cierto y medianamente verificable, en un contexto asimétrico y variable de vulnerabilidades y amenazas, se hace necesario cuestionar los saberes previos y, salir a buscar y descubrir las opacidades de los modelos de seguridad y ciberseguridad diseñados e implementados en las empresas.

En esta nueva renovación se requiere desarrollar una vista sistémica que reconozca la confianza digital como fundamento de las actuaciones de los psiyc, donde se incluyan fabricantes, clientes y organizaciones, como núcleo central de operaciones y análisis de los retos asociados con los nuevos activos digitales que se crean, sin descuidar las interacciones propias de los ecosistemas digitales donde estos tres actores participan.

Bajo este entendido, y considerando las relaciones que se pueden concretar entre cada uno de los participantes mencionados, los retos de los psiyc asociados con los flujos conocidos, latentes y emergentes, definen la densidad digital que se configura en este entorno de trabajo, de tal forma que, las afectaciones originadas por la explotación vulnerabilidades generen resultados contrarios tanto a nivel lógico como físico, creando un efecto adverso sobre los clientes, que incide en la confianza digital necesaria para seguir explorando las inéditas propuestas que surgen de la convergencia tecnológica.

Por tanto, si se quiere que la nueva raza de psiyc, se convierta en el tan deseado “aliado estratégico” del negocio,  se precisa que sea capaz de elaborar y mantener un mapa del ecosistema digital de la empresa y sus riesgos conocidos, latentes, focales y emergentes (Cano, 2017), así como el fortalecimiento de una cultura de seguridad/ciberseguridad empresarial que reconoce y desarrolla la ciber-resiliencia como una capacidad empresarial necesaria para competir en un entorno asimétrico e inestable.

Lo anterior demanda “salvar la brecha entre los objetivos empresariales (el problema inicial que se desea resolver) y la experiencia de los clientes (preferencias y necesidades profundas del mercado que no están siendo bien atendidas) para reformular el problema y generar nuevas oportunidades” (Vila & Camps, 2018, p.16). Esto leído en clave de seguridad y ciberseguridad, implica crear oportunidades de mayor confiabilidad del ecosistema desde sus vulnerabilidades, para formular un ejercicio de confianza digital imperfecta, donde todos los actores (fabricantes, clientes y empresas) hacen parte de una vista holística de la seguridad que se sustenta en un diseño de protección sensible a la promesa de valor.

Si un psiyc no es capaz de asombrarse con las posibilidades que la inevitabilidad de la falla puede generar en un escenario hiperconectado, instantáneo, móvil y con terceros de confianza, no podrá crear escenarios posibles y plausibles que aumente su capacidad de aprendizaje/desaprendizaje. Es decir, no podrá orientar a las organizaciones para asumir riesgos de forma inteligente y proponer alternativas de seguridad y control ajustadas con la dinámica que los ecosistemas exigen.

Por tanto, comprender que los datos recolectados por los servicios e infraestructuras de seguridad no predicen el futuro y es en la comprensión de la dinámica actual de la inevitabilidad de la falla, donde es posible explorar oportunidades para vislumbrar nuevas formas para asegurar el ejercicio de una confianza digital imperfecta, se hace necesario entender esta confianza como una proposición de valor que resuene en el imaginario de los equipos ejecutivos, como un elemento útil y relevante para construir en conjunto con los fabricantes, los clientes y la organización un marco de responsabilidad digital empresarial donde todos se hagan uno con los productos y/o servicios digitalmente modificados.

Referencias
Bhattarai, S. & Wang, Y. (2018) End-to-End trust and security for internet of things applications. IEEE Computer. April. 20-27
Boyes, H. (2015) Cybersecurity and cyber-resilient supply chains. Technology Innovation Management Review. 5(4). 28-34
Calabro, L., Púrpura, C., Vasa, V. & Perinkolam, A. (2018) El imperativo de API. Desde preocupación de TI hasta mandato de negocios. Deloitte Insights. Recuperado de: https://bit.ly/2HB5I
Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
Cano, J. (2017) The AREM Window: A Strategy to Anticipate Risk and Threats to Enterprise Cyber Security . ISACA Journal. 5.
Cano, J. (2018) El profesional de seguridad de la información. Un análisis de su evolución: 1960-2030+. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. No. 147. Abril-Junio. 65-72. Doi: 10.29236/sistemas.n147a6
De Reuver, M., Sørensen, C. & Basole, R. (2018) The digital platform: a research agenda. Journal of Information Technology. 33(2). 124-135. Doi: 10.1057/s41265-016-0033-3
Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley
Lund, C. (2018) Managing the distraction-focus paradox. Sloan Management Review. Summer. 72-75. Recuperado de: https://sloanreview.mit.edu/article/managing-the-distraction-focus-paradox/  
Reed, J. & Carleton, J. (2018) The Global State of Online Digital Trust. A Frost & Sullivan White paper. Commissioned  by CA technologies. Recuperado de: https://www.ca.com/us/collateral/white-papers/the-global-state-of-online-digital-trust.html
Richards L. D. (2018) Changing the Educational System: The Bigger Picture. Constructivist Foundations. 13(3): 331–333. Recuperado de: http://constructivist.info/13/3/331.richards
Vilà, J. & Camps, X. (2018) De la identificación de necesidades a la generación de oportunidades. IESE Insight. 37. Segundo trimestre. 15-21. Doi: 10.15581/002.ART-3168.
Weil, P. & Woerner, S. (2018) What’s your digital business model? Six questions to help you build the next-generation enterprise. Boston, Massachusetts. USA: Harvard Business Review Press. Cap.3
Zamora, J. (2017) ¿Es posible programar modelos de negocios? IESE Insight. 33. Segundo trimestre. 23-30. Doi: 10.15581/002.ART-3013.