domingo, 24 de julio de 2016

La inevitabilidad de la falla y la transformación digital. Realidades convergentes en un mundo digitalmente modificado

Introducción
El mundo digitalmente modificado es una expresión que cada vez más estará en el lenguaje de los gerentes de tecnología de información y de los ejecutivos de seguridad de la información. Mientras los primeros buscarán aumentar la presencia automatizada de los procesos empresariales y capturar toda la información posible para hacer de la experiencia del cliente algo inolvidable, los segundos deberán comprender y alinear la estrategia digital de la empresa, frente al reto de proteger los activos de la empresa ahora un escenario hiperconectado, en la nube, virtualizado, de redes sociales y móvil.

Esta transformación digital toma por sorpresa a algunas organizaciones y a otras, alineadas con las exigencias de unos clientes altamente informados, demandantes de servicios novedosos y sobre manera ávidos de contenidos y apuestas emergentes que cambien su forma de hacer las cosas. En este sentido, el flujo de información corporativa y personal se incrementa dada la convergencia tecnológica que se advierte y la modificación digital de servicios y productos que ofrece una mayor cercanía con los gustos y perfiles de sus usuarios.

En este contexto, la transformación digital no solo debe consultar los retos y apuestas estratégicas de las empresas, sino la forma como la protección de la información se traduce en fundamento básico de la interacción y la promesa de valor para el cliente que quiere aprovechar las nuevas propuestas, con la confianza y transparencia necesarias, que dé cuenta del compromiso ético digital de la compañía frente al tratamiento de sus datos.

En consecuencia, la transformación digital de las empresas del siglo XXI debe indagar en los retos de la seguridad y control en un mundo digitalmente modificado, para explorar y anticipar los retos propios de la inseguridad de la información, como factor clave que permita crear y proteger el valor de las iniciativas digitales empresariales, así como motivar una práctica de aseguramiento de datos en los clientes, como efecto emergente de su participación en la nueva dinámica de los negocios.

Por tanto, adelantar una transformación digital ignorando los desafíos inherentes de la inseguridad de la información en esta nueva realidad digital, es caminar en medio de un fuego cruzado, donde tanto empresa como cliente estarán sobre terrenos inestables, creando con cada interacción inciertos que afectarán tanto la experiencia del cliente, como los planes de negocio de la compañía.

Así las cosas, articular la transformación digital en una empresa demanda un constante aprendizaje, una interacción ágil con los productos y servicios, antes y después de su lanzamiento, así como la renovación flexible de usos y características ajustadas a los cambios de expectativas, lo cual aumenta la responsabilidad digital empresarial, para proteger los flujos de información entre la empresa y sus clientes. En este sentido, este documento plantea algunas reflexiones sobre la transformación digital y la seguridad de la información como base para repensar la práctica de seguridad y control en las organizaciones digitalmente modificadas.

Transformación digital. Una vista práctica
De acuerdo con Rogers (2016) desarrollar una transformación digital implica al menos considerar cinco elementos claves: clientes, competencia, datos, innovación y valor, los cuales en una interacción permanente logran capitalizar una lectura diferencial de la realidad, donde se crean flujos de valor en doble vía y los datos se convierten en cada momento en activos valiosos que conectan puntos antes aislados del contexto de los clientes con la dinámica de la empresa.

La transformación digital, es una transmutación empresarial que altera la cultura organizacional donde se pasa del mundo de las tecnologías de información a los productos y servicios digitalmente modificados, una apuesta de las plataformas tecnológicas para crear cooperación entre áreas, clientes, competidores y todo aquel que quiera crear activos estratégicos valiosos para el ecosistema digital de la compañía.

En este ejercicio de cambio digital, se motiva tomar riesgos en una zona psicológicamente segura, donde fallar no es una calificación del proceso, sino un insumo que acelera la nueva práctica que la organización quiere crear para consolidar una vista renovada de sus negocios; una oportunidad, no para encontrar la solución correcta, sino para confrontar y superar el problema correcto.

Desarrollar una transformación digital implica reconocer a la organización en una dinámica de relaciones propias de un ecosistema digital, donde las conexiones definen la identidad digital de la empresa, que no es otra cosa, que la capacidad de modificar de forma anticipada su modelo de negocio para mantenerse en sintonía con la red de expectativas de los clientes y así amplificar su presencia en el entorno y confirmar su compromiso digital.

En una metamorfosis digital una empresa debe entender que se revelan comportamientos de los clientes, aquellos propios de las redes de comunicación y significados emergentes relativos a los contextos donde se encuentran inmersos. Dichas conductas apalancan los cambios digitales deseados y requeridos, para darle sentido a la estrategia digital. El acceder, el enganchar, el personalizar, el conectar y el colaborar son los procederes básicos que las empresas deben leer en los clientes para concretar las propuestas digitales que se desarrollen en la esfera de la realidad modificada.

A continuación, un breve resumen de las temáticas relevantes a tener en cuenta con cada uno de los comportamientos mencionados: (Rogers, 2016)

Comportamiento
Temáticas claves a tener en cuenta por las organizaciones
Acceder
Simplicidad, conveniencia, ubicuidad y flexibilidad
Enganchar
Conocer al cliente, crear contenido relevante, irresistible y útil, sorprender con experiencias inéditas
Personalizar
Identificar las necesidades del cliente, disponer de una plataforma de fácil uso y configuración, crear experiencias únicas
Conectar
Motivar el uso de redes sociales para conectar los clientes con la solución de problemas, los aprendizajes de las tendencias del mercado y estar más cerca de sus gustos y expectativas
Colaborar
Entender las motivaciones para participar de los clientes, para que, desde su propio nivel de habilidad y experiencia, ofrezca sus contribuciones y con la adecuada orientación, le dé forma a su objetivo final

Como se puede observar cada comportamiento establece una movilidad del cliente y plantea un sentido particular de su interacción. En esta lectura, lo que es transversal a todos los comportamientos detallados es el flujo de información y las emociones que se pueden crear dependiendo de la situación de negocio que se plantee en un momento específico.

En consecuencia, cada persona respecto de los comportamientos anunciados crea una dinámica de alineación o desalineación con el negocio, que debe estar asistida por las prácticas de seguridad y control, no como una tarea adicional, sino como apalancador de la relación creada entre el cliente y los servicios o productos. Lo anterior procura una madurez de la práctica de protección digital, que se traduce en confianza y transparencia, valores que ocupan mucho de la agenda de la creación de valor de aquello digitalmente modificado.

Entendiendo algunas relaciones relevantes de la transformación digital y su encuentro con la protección de la información
Existen múltiples conexiones que se pueden revelar en el ejercicio de pensar el futuro. Los escenarios (Phadnis, Caplice y Sheffi, 2016) como fuente natural de pensamientos divergentes y como cadena de apoyo para moldear el razonamiento y las decisiones de los ejecutivos, establece una forma que sintetiza aquello que parece incierto y ambiguo en un marco de análisis de posibilidades y no de probabilidades.

Dichos escenarios revelan el potencial de las oportunidades que el ecosistema digital puede tener disponibles para todos los actores. Dentro de las posibles contribuciones que se pueden desarrollar tenemos: (CEB, 2016)
  • Integración fácil y rápida
  • Incremento de la recolección de datos
  • Mejoramiento del poder de cómputo y almacenamiento
  • Interacción superior con la tecnología de información
  • Alta movilidad
Estas posibilidades, en lectura de la infraestructura tecnológica, demandan un nivel de aseguramiento de la misma, así como de la información que va a transitar entre dispositivos móviles o productos digitalmente modificados, habida cuenta que es de esta forma como los clientes, establecen sus propios esquemas de uso y apropiación para sacarle el mayor provecho de la oferta disponible y así capitalizar el valor esperado.

De otra parte, Porter y Hoppelman (2015) confirma estos planteamientos a través de la distinción de “Niveles tecnológicos” (en inglés technology stack), donde se indica la manera como se modifica digitalmente un producto o servicio, para lo cual es necesario entender sus elementos básicos y aquellos complementarios que los modifican y nutren como son:
  • Elementos básicos: a) Conectividad, b) el producto y c) el soporte en la nube
  • Elementos complementarios: los elementos de seguridad y control (que afectan a todos elementos básicos), las fuentes de información externas (que afectan a b) y c)), y la integración con los sistemas de negocio.

En este modelo conceptual de los académicos de Harvard (Porter y Hoppelman, 2015), la seguridad es un elemento transversal que debe proteger la promesa de valor del producto o servicio digital e inteligente que se propone. Dada su alta conectividad y exposición en un contexto hiperconectado se hace necesario validar e identificar la inseguridad de la información propia de su diseño, con el fin aumentar la confiabilidad del producto, la seguridad de sus datos y la confianza del cliente.

En palabras de los mencionados académicos, “la seguridad de la información se convierte en una fuente clave de valor y un diferenciador potencial”, palabras que confirman que toda transformación digital demanda un entendimiento de la dinámica de la información y sus flujos, para lo cual las empresas bien pueden asumir los mecanismos de seguridad y control u ofrecer opciones particulares para que sea el mismo cliente quien configure la forma como será transmitida, recolectada o utilizada toda su información (Porter y Hoppelman, 2015).

Así las cosas, la transformación digital de las empresas supone un ejercicio previo de conceptualización de los flujos de información que se van a desarrollar, comprender la relevancia o nivel de sensibilidad de los datos y las estrategias más adecuadas para balancear la efectividad y facilidad del uso del producto modificado, de tal forma que tanto el cliente, como la organización sean digitalmente responsables, esto es, asegurar una relación de confianza y transparencia que configure el valor como una propiedad emergente donde ambos se benefician.

La inseguridad de la información y la transformación digital. Una vista de retos emergentes.
Si perjuicio de lo anterior y de las conversaciones convergentes que existen entre la transformación digital y la seguridad de la información, la inseguridad establece la vista complementaria que demanda, tanto de la organización como del cliente, una postura de riesgos, que atendiendo el contexto inestable e incierto donde se van a usar los productos o servicios digitalmente modificados, sea capaz de aumentar la resistencia a los fallas o ataques de los cuales será objeto.

Cuatro son las tendencias que confirman los retos para la seguridad y el control en un mundo digitalmente modificado:
  • Nuevas tecnologías disponibles
  • Mayor flujo de datos personales y corporativos
  • Acelerada convergencia tecnológica
  • Mayor superficie disponible

Cada una de ellas se materializa en las propuestas tecnológicas actuales: como son la virtualización, la computación en la nube, las redes sociales y la computación móvil, las cuales motivan conexiones que entran y salen del dominio de las personas, habilitando no solamente nuevas opciones para los individuos y empresas, sino posibilidades para la imaginación de los atacantes.

Ahora el perímetro de seguridad no es ni la zona desmilitarizada o la infraestructura de contorno de las organizaciones, ni el dispositivo inalámbrico y móvil que tiene el cliente, sino la persona misma. Al tener un producto o servicio digitalmente modificado es el ser humano el que finalmente se va a ver afectado, como quiera que su información o alguna función vital suya podrá comprometerse si algún fallo deliberado o intencional se presenta sobre aquel.

Así las cosas, la postura de riesgos, ese mínimo de paranoia debidamente administrada, deberá ser parte del entrenamiento que tanto empresa como clientes deberán construir para aumentar la resistencia a los posibles ataques sobre los productos o servicios digitalmente modificados, con el fin no sucumbir a la ansiedad por lo incierto y mantener una vigilancia y monitoreo permanente que asegure un nivel de exposición conocido y administrado.

A pesar de lo anterior, es claro que la inevitabilidad de la falla estará presente, por tanto, se hacer necesario establecer protocolos a nivel de las personas y las funcionalidades habilitadas en los productos o servicios, de tal manera que sea posible actuar frente a estas situaciones imprevistas, particularmente siguiendo los lineamientos de la postura de falla segura, es decir, llevar al ecosistema a una condición conocida y definida cuando se pierde la normalidad de la operación, con acceso restringido e interacción mediada por autenticación fuerte.

Dentro de las amenazas emergentes que se han identificado a la fecha (Ariu, Didaci, Fumera, Giancinto, Roli, Frumento y Freschi, 2016; Mcafee, 2016), que demandan un gran reto en el ejercicio de protección se encuentran:
  • Ataques sin archivos: Código malicioso escrito directamente en la memoria RAM.
  • Infiltraciones con cifrado: Uso de cifrado para tomar control de los archivos en los dispositivos.
  • Ataques bajo el sistema operativo: Afectación y compromiso del firmware, BIOS y Master Boot Record.
  • Interfase de comandos y control remoto: Explotación de debilidades en protocolos de comunicación y toma de control de los dispositivos.

Reflexiones finales
Si bien es claro que, de acuerdo con los resultados de la encuesta de Dimensional Research (2016) los drivers o motivadores que aceleran el mundo digitalmente modificado son:
  • Incrementar la productividad de los empleados
  • Reducir o controlar los costos de TI
  • Conocer la dinámica de las expectativas de los clientes
  • Enfrentar las presiones competitivas
las reflexiones de la seguridad y el control en esta nueva configuración de la realidad digital están llegando tarde y por lo tanto, la funcionalidad de los productos o servicios modificados con tecnologías de información, han salido al mercado con limitadas especificaciones de protección, las cuales tarde o temprano serán reveladas por la inevitabilidad de la falla.

Esta condición particular advierte la falta de madurez de la seguridad de la información del negocio digital (Bobbert, 2010), de tal forma que se deben revisar las actitudes y percepciones de los participantes en el diseño de la estrategia digital de la empresa, habida cuenta que es la información, la conectividad y las tecnologías de información, las que en conjunto materializan la promesa de valor para los clientes que demandan, no solamente una experiencia excepcional y sobresaliente, sino la confiabilidad y aseguramiento de su entorno digital donde él es el protagonista principal.

Por tanto, hablar de transformación digital y su madurez en el contexto empresarial, es entender una serie de barreras según su grado de evolución. Los temas de seguridad y control, son propios de aquellas empresas maduras (es decir con más de 5 años con estrategia digital clara), las cuales han cubierto el camino de la falta de entendimiento de la gerencia, la insuficiencia de habilidades técnicas y las múltiples prioridades para desarrollar proyectos digitales empresariales (Kane, Palmer, Nguyen, Kiron y Buckley, 2016).

La seguridad de la información en el contexto de la transformación digital es un proceso cambio de comportamientos, donde proteger el entorno tecnológico donde se concreta la ventaja competitiva, significa comprender lo que es una capacidad digital: una combinación innovadora del mundo físico y el mundo lógico, donde extraemos información de los recursos físicos y los integramos con los recursos digitales (Rowsell-Jones, 2013).

Así las cosas, parafraseando a los académicos del IESE (Káganer, Zamora y Sieber, 2013) los ejecutivos de seguridad de la información, en el escenario de la transformación digital, deberán ser el puente entre lo viejo y lo nuevo, gestores de lo conocido para salvaguardar las operaciones y la rentabilidad de la empresa, y custodios de las iniciativas digitales, que por ser más vulnerables, exigen una vista de gobierno de la protección de la información para anticipar la inevitabilidad de la falla y aumentar la resiliencia organizacional ante nuevas discontinuidades de negocio.  

Finalmente, recuerde la recomendación del CEO de Visa, Inc, Charles W. Scharf:
Invierta en seguridad antes que en otra temática. Un entorno bien controlado le da licencia para hacer otras cosas. Productos grandiosos e innovadores sólo le ayudarán a ganar y prosperar, si usted tiene un negocio bien protegido. No deje los detalles a los demás, su involucramiento producirá mejores resultados y el mejor entendimiento de la importancia de ésta temática para la supervivencia de organización” (Paloalto – NYSE, 2015, p. vi) en un mundo digitalmente modificado.

Referencias
Ariu, D., Didaci, L., Fumera, G., Giancinto, G., Roli, F., Frumento, E. y Freschi, F. (2016) A (Cyber)road to the future. A methodology for building cybersecurity research roadmaps. En Akhar, B. y Brewster, B. (Editors) (2016) Combatting cybercrime and cyberterrorism: challenges, trends and priorities. Switzerland: Springer Verlag. 53-80.
Bobbert, Y. (2010) Maturing business information security. A framework to establish the desired state of security maturity. Institute for business and information security alignment. Holanda. NPN Press
CIO Executive Board – CEB (2016) Technology ecosystem for the digital enterprise. Infographic.
Dimensional Research (2016) Digital transformation security survey. A survey of IT and Security professionals. Sponsored by Dell. Julio. Recuperado de: https://software.dell.com/whitepaper/global-survey-digital-transformation-security-survey8113164
Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. Tercer trimestre. 18.
Kane, G., Palmer, D., Nguyen, A., Kiron, D. y Buckley, N. (2016) Strategy, not Technology, Drives Digital Transformation. Becoming a digitally mature Enterprise. MIT Sloan Management Review. Research Report. In collaboration with: Deloitte University Press. Recuperado de: http://sloanreview.mit.edu/projects/strategy-drives-digital-transformation/
Mcafee (2016) Mcafee Labs 2016 threats predictions. Recuperado de: http://www.mcafee.com/uk/resources/reports/rp-threats-predictions-2016.pdf
Paloalto – NYSE (2015) Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers. Chicago, Illinois. USA: Caxton Business & Legal, Inc. Recuperado de: https://www.securityroundtable.org/wp-content/uploads/2015/09/Cybersecurity-9780996498203-no_marks.pdf
Phadnis, S., Caplice, C. y Sheffi, Y. (2016) How Scenario Planning Influences Strategic Decisions. Sloan Management Review. Summer.
Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre
Rogers, D. (2016) The digital transformation playbook. Rethink your business for the digital age. New York, USA: Columbia University Press.
Rowsell-Jones, A. (2013) Su empresa también tiene ventaja digital. IESE Insight. Tercer trimestre. No. 18.

domingo, 12 de junio de 2016

Repensando el entrenamiento en seguridad de la información. La acción educativa como paradigma integración entre teoría y práctica

Introducción
Revisando el reciente informe de Ponemon (2016), patrocinado por Experian, publicado en mayo de 2016, sobre el manejo del riesgo interno a través del entrenamiento y la cultura, queda en evidencia que los programas de entrenamiento en seguridad y privacidad de la información de las empresas requieren una revisión en profundidad.

Las estadísticas indican que las brechas de seguridad se ocasionan por la falta de cuidado o negligencia de los empleados al exponer información sensible o al caer en los engaños de los ataques de phishing. Estas realidades muestran que las estrategias educativas utilizadas no están transformando las prácticas de las personas y sólo les están entregando información base sobre lo que debería ser.

Si la estrategia que se sigue para motivar cambios en las acciones de las personas en la protección de la información están articuladas en un currículo detallado de temas a cubrir, clases magistrales y validación de conocimientos mediante aprobación de exámenes, la seguridad de la información y la privacidad terminan siendo una temática más a cubrir dentro de los entrenamientos que las personas deben tomar para asegurar que, por lo menos, conocen sus responsabilidades frente al tratamiento de la información.

En este sentido, los procesos de entrenamiento o formación en seguridad y privacidad, se desconectan de la práctica real de las personas, privilegiando la repetición de un conjunto de conceptos y conocimientos, los cuales deben ajustarse a los estándares mínimos que la empresa tiene respecto del tema. Por tanto, los contenidos del entrenamiento se convierten en la tabla memorizada de lo que significa proteger la información y la forma como la persona le dice a la empresa que ha cumplido con la exigencia del curso asignado dentro de su plan de formación.  

Con este panorama y entendiendo que cada empleado es un “depósito de conocimiento”, en el cual cada uno debe tomar las acciones más adecuadas, los procesos de capacitación en seguridad y control se convierten en la extensión de una lectura mecánica de la organización, donde en el aula, de manera descontextualizada, se trata de “inyectar” los conceptos propios del aseguramiento de la información, esperando que los comportamientos cambien por el sólo hecho de haber aprobado con una calificación mínima las pruebas que se realizan para validar que sabe del tema.

Adicionalmente, el informe de Ponemon (2016) sugiere estrategias basadas en la cultura que provean incentivos para movilizar comportamientos que protejan la información ajustados a los parámetros esperados por las empresas y de igual forma, sanciones por los comportamientos negligentes que impacten las finanzas de los empleados y restrinjan beneficios alternativos previstos por la organización.

En consecuencia, este documento presenta una reflexión conceptual sobre cómo quebrar el paradigma educativo vigente en seguridad de la información e ilustrar algunas características de la acción educativa que superen la instrucción como paradigma de formación y se habilite una distinción educativa corporativa que medie la relación entre la persona y su entorno.

La formación en seguridad de la información. La vista desde la cultura organizacional basada en la administración científica
Las organizaciones herederas de la vista de la administración científica del trabajo, entienden que las personas son recursos que deben mantener un nivel de productividad asociado con las labores que tienen encomendadas. La planeación, los indicadores y los seguimientos son la realidad natural de cualquier empleado en una organización basada en el paradigma mecanicista de planteado a principios del siglo XX para las empresas.

Bajo estas condiciones, la empresa espera que los individuos conozcan los detalles de sus actividades, para lo cual establecen por lo general procedimientos y normas que definen lo que es adecuado y apropiado según las necesidades de su operación. En ese escenario, los documentos normativos buscan disminuir la incertidumbre de la actuación de las personas y volver predecible el comportamiento de aquellos.

De otra parte, esta estrategia de delimitación de acciones individuales, le indica al sujeto un referente particular de la realidad que está validado por el contenido del documento, limitando su capacidad de crítica o cuestionamiento sobre lo que allí se expone, creando un imaginario que se comparte en el hacer de sus actuaciones corporativas y que, por lo general, viene asistido por sanciones que censuran a todos aquellos que no se ajustan con dicho lineamiento.

En consecuencia, si se requiere formar o instruir a una persona en esta lectura empresarial, necesariamente debe atender a los métodos de aprendizaje que aseguren que las personas son capaces de memorizar y repetir los conceptos claves de lo que requieren hacer y que conocen de forma explícita las actividades que deben realizar para asegurar que el proceso se cumple de la forma especificada y los resultados son los esperados.

Habida cuenta de lo anterior, si entendemos que la educación, como dice John Ruskin, no significa enseñarle a una persona algo que no sabía, sino convertir en alguien que no existía, los procesos de formación o instrucción corresponden a prácticas que crean líneas base de conocimientos y referentes de cumplimiento normativo, para disuadir a un individuo que se ajuste a un comportamiento esperado por la empresa y por tanto, concordar con el modelo de actuación que ella quiere.

Las bondades de las estrategias de formación e instrucción previamente comentadas, permiten a los participantes saber qué tanto conocen la forma cómo la empresa quiere asumir la incertidumbre del entorno y la forma como serán evaluados sus comportamientos en desarrollo de las actividades propias de sus cargos. En contraste, las personas no tienen espacio para pensar, ni proponer alternativas de ajuste como quiera que es la empresa la que define lo que es pertinente y relevante para sus empleados.

Educando en seguridad de la información. La acción educativa como fuente de transformación del comportamiento individual
De acuerdo con Castillejo (1987) la acción educativa busca provocar en el individuo “estructuraciones, integraciones u organizaciones” para motivar una reintegración funcional de la teoría con la práctica. Entender esta lectura educativa como una vista integrada, permite al individuo reconocerse como parte de un entorno donde actúa y referenciar sus conocimientos propios sobre su saber particular frente a las decisiones que debe tomar.

En consecuencia, la acción educativa debe atender los siguientes elementos claves: (Colom y Núnez, 2005, p.121-126)
  • Conseguir la finalidad educativa de los procesos concretos que se desarrollan. Esto es, aspirar a una formación coherente e integral que supere la sola adquisición de conocimientos.
  • Generar en el sujeto actividades estructurantes, o conformadoras del modo de ser solicitado en los objetivos o finalidades educativas. Lo anterior, demanda la elaboración de una práctica sistémica de la educación que integre la práctica con la teoría.
  • Motivar una resolución mediadora entre el sujeto y el ambiente. Lo que significa desarrollar una relación permanente con el entorno donde se encuentra que le permita adaptar, modificar, optimizar, etc., sus propias reflexiones, que aumente el repertorio de propuestas disponibles por el individuo.
  • Transferir las lecciones aprendidas a otras situaciones diferenciadas. Esto significa, generar un conjunto de nuevas prácticas generalizadas que pueden ser adaptadas a otros momentos y circunstancias como base de las actuaciones del individuo debe asumir en su devenir.
  • Ajustar de acuerdo con cada individuo, según sus capacidades y exigencias, la propuesta de formación educativa. Esto es, reconocer la individualidad del sujeto, sus singularidades y su realidad social como parte de un todo en el cual actúa y es influenciado.
  • Renovar el cuerpo de conocimientos adquirido cada cierto tiempo, reconociendo que la acción educativa no se limita a la duración de los planes de estudio. Esto demanda explorar posibilidades de formación no formal, en manos de empresas, instituciones públicas y privadas, que busque no solo adaptar a los individuos a las nuevas necesidades, sino que los habiliten para ser sujetos activos de su propio aprendizaje.
  • Desarrollar cada vez más actividades más complejas, fruto de la inestabilidad del entorno y la incertidumbre de los tiempos actuales. Lo anterior, supone que el individuo se reconozca dentro de una situación contingente social y culturalmente, lo cual le permite ser parte de las transformaciones que se producen a nivel global.

Si revisamos cada uno de estos elementos, en el contexto de la educación corporativa en seguridad de la información, estamos reconectando al individuo frente a su práctica de protección de la información, integrando los saberes propios y lecciones aprendidas de tal forma que la formación que se presenta, no es exclusiva de una lectura propuesta por la organización, sino que hace parte de una forma concreta de apropiación del concepto que el individuo asume al reconocerse parte del entorno y que tiene la potencialidad de cambiarlo desde la nueva lectura de significados que este crea frente a los saberes desarrollados.

Así las cosas, si se ha demostrado que lo que se hace se aprende más fácilmente que aquello que sólo se lee o estudia, es claro que las formaciones en el aula respecto de entrenamientos en seguridad y control no son la forma más adecuada para motivar la transformación de los comportamientos de los individuos. En este sentido, las prácticas dirigidas desde el hacer, que generen controversia y contradicción, permiten revelar las posiciones particulares de los educandos, generando un escenario dinámico donde la teoría y la práctica comparten un mismo escenario.

La acción educativa como propuesta sistémica de la formación en seguridad de la información, cambia el escenario artificial del aula como sitio donde se produce el aprendizaje, libera a los participantes del ejercicio de órdenes, obediencia y autoridad que provoca la relación estudiante-maestro, y habilita al individuo para que asuma su propia lectura de la realidad, reconociendo sus saberes previos, con el fin de provocar en él posiciones más maduras y críticas, fruto del aprendizaje que comparte cuando toma de decisiones con otros.

De modo que, la formación tradicional y escolarizada, ha demostrado generar resultados inestables y poco duraderos, como quiera que se restringe la creación de significados distintos para el conocimiento adquirido y la postura hegemónica que trae inscrita en su estrategia pedagógica, deslinda al individuo y sus saberes, tratando de imponer una realidad bajo parámetros establecidos.

Por tanto, si entendemos que el proceso de toma de decisiones es un aprendizaje en sí mismo (De Geus, 2011) y que la acción educativa se decodifica en este proceso, la formación que se plantee para cambiar los comportamientos de los individuos, particularmente en seguridad de la información, deberá llevar al participante en “la tesitura de la elección, de la decisión, (…) con el fin de que ejercite su capacidad crítica, valore cada una de las alternativas, y elija la que considere más adecuada, fundamentada en criterios de racionalidad y responsabilidad” (Colom y Núñez, 2005, p.135).

De esta manera, la acción educativa aplicada, ya no sobre la instrucción en seguridad de la información, sino desde una educación en seguridad de la información, que propicia escenarios alternativos donde el individuo se enfrenta a situaciones inciertas, inestables y cambiantes, para tomar decisiones adecuadas al contexto donde se encuentra, ajustadas moralmente a sus referentes axiológicos y asistidas por los saberes que ha apropiado en el ejercicio real de la protección de la información.

Construcción de confianza. Un ejercicio de aprendizaje en seguridad de la información
Un buen ejercicio educativo supone autoconstruir y reestructurar lo conocido, es decir, motivar una permanente lectura alterna de la realidad del entorno, para repensar y asumir la incertidumbre como fundamento de las actuaciones actuales y futuras. Un proceso de aprendizaje y desaprendizaje real, que cuestiona lo que hemos aprendido, nutre los saberes propios y reconecta la práctica con la teoría.

En este contexto, la realidad que asume la práctica de seguridad de la información en una empresa, siempre será plural, es decir “nunca tiene una causa única”, lo que significa que puede tener múltiples significados como personas puedan leer la situación y abordar su tratamiento. Así las cosas, al ser la seguridad de la información un ejercicio de reconstrucción social de la manera como cada individuo entiende y actúa frente a la protección de la información, su percepción, no solo es efecto de lo que ocurre, sino causa misma de lo que sucede.

Habida cuenta de lo anterior, no son sólo los cambios del entorno los que determinan la adaptación misma de la empresa frente a sus prácticas de seguridad y control, sino las pruebas no realizadas, las construcciones incompletas de la realidad que se han evitado terminar, las explicaciones que generan restricciones autoimpuestas y la ignorancia compartida de aquellos que se han convencido de porqué ciertas cosas no pueden hacerse o intentarse (Gore, 2012, p.67).

En consecuencia, sólo es posible movilizar cambios en las prácticas de seguridad y control, “si hay quien se atreva a instalar, aunque sea pequeñas modificaciones sostenidas en el tiempo” (Gore, 2012, p.35) de comportamientos distintos, que terminen siendo parte de la cotidianidad de la organización y sus actividades. Por tanto, lograr estos cambios demanda comprender que en cada toma de decisiones ocurre un proceso de aprendizaje, un proceso social que conecta la realidad de los participantes y permite hacer distinciones nuevas que amplíen el espectro conocido de su “saber hacer” y revelar las condiciones más trascendentes, afectadas por la calidad de los vínculos que estas tienen.

Como quiera que “cualquier desempeño individual remite a un desempeño colectivo en función del cual las contribuciones singulares cobran sentido” (Gore, 2012, p.43), la transformación de la práctica de la seguridad de la información inicia en la realidad de los individuos, en aquello que logran hacer diferente y descubrir a través de los “quiebres” de la realidad. Lo anterior, supone una incorporación de una competencia, que conecta el hacer, el pensar y el ser, permitiendo ensayos psicológicamente seguros, para cruzar los umbrales conocidos y crear nuevas propuestas para repensar sus propios fundamentos de la protección de la información.

Entendiendo que el aprendizaje es también una construcción social (Gore, 2012, p.142), las decisiones que se toman alrededor de la protección de la información deben traducirse en nuevas prácticas, las cuales deben ser aplicadas y reconocidas por aquellos que participan, así como por sus pares. Esto se convierte en un ejercicio de confianza que conecta actividades específicas del negocio y la misión de la empresa, con la evidencia que es requerida para corresponder con las expectativas que ésta tiene para el cumplimento de sus objetivos (Parenty, 2003).

De acuerdo con Perenty (2003, p.41) cuatro son los objetivos de confianza de las organizaciones:
  • Mantener la confidencialidad corporativa
  • Conocer sus contactos de negocio
  • Controlar la información y las transacciones
  • Validar las actividades realizadas y su información

Estos cuatro objetivos, en una “creciente densidad de conexiones digitales y la datificación de las actividades diarias” (Auricchio y Káganer, 2015) se difuminan de forma acelerada, como quiera que la dinámica de la realidad demanda condiciones flexibles de acceso, las cuales dan paso a una seguridad y control basado en el uso, lo cual comporta la experiencia y sabiduría digital del individuo para actuar en momentos y contextos inciertos, complejos y ambiguos, y así motivar una educación holística que reconozca la red interconectada de intereses corporativos, como el tejido digital y humano que nutre el desarrollo de la persona en lo intelectual, emocional, social, físico, creativo/intuitivo, estético y espiritual (Yus, 2001).

De donde se infiere que, la seguridad de la información no gravita sobre el reconocimiento y efectividad de las tecnologías de protección disponibles, sino en las posibilidades que se presentan cuando el aprendizaje en el tratamiento de la información implica acciones conjuntas de las personas, las cuales cambian el statu quo en contextos específicos. Esto es, configuran un sistema de protección de la información que no reside en los individuos, sino que es el patrón mismo de sus interrelaciones; una propiedad emergente que define una capacidad colectiva para comprender una situación dada y probar o falsear sus supuestos en la acción (Gore y Vázquez, 2010).

Dicho lo anterior, la acción educativa como propuesta de transformación de los comportamientos individuales en la protección de la información, parafraseando a Colom (2002) “debe iniciarse por la construcción del conocimiento de la práctica de la seguridad de la información, que es lo mismo que decir, por la construcción del conocimiento del estudiante”, con el fin de reconocer el proceso fundacional del saber individual, que permite desarrollar una propuesta académica, basada en situaciones contradictorias y abiertamente ambiguas, donde el estudiante tome las decisiones, basado en los significados construidos sobre su base de conocimiento y deconstruidas desde su contexto cultural.

Reflexiones finales
Si bien el resultado del estudio de Ponemon (2016), revela las limitaciones actuales de los programas de entrenamiento en seguridad y privacidad y sus recomendaciones apuntan a una combinación de estos, basados en el juego y la práctica lúdica, con una cultura de “garrote y zanahoria” donde los ejecutivos sean el ejemplo del reconocimiento de los riesgos propios de la inadecuada protección de la información, no orienta sobre prácticas concretas que cambien la lectura mecánica del entrenamiento actual, el cual claramente no conecta el saber y el hacer, creando un imaginario parcial y desarticulado de la forma como un individuo debe proteger la información.

Es por esto, que se introduce la acción educativa, como una propuesta sistémica de formación, que reconecta las parcelas del saber y el hacer en un mismo escenario, donde el individuo se hace uno con el entorno, y es capaz de reconocerse como parte del todo. Esta perspectiva, aplicada el mundo de la seguridad de la información, releva a la instrucción plana que se ha acuñado en las organizaciones, para crear escenarios de quiebre y cambio conceptual en las personas, para que tomen decisiones en entornos tanto conocidos como volátiles, inciertos, complejos y ambiguos.

Si aceptamos que “educar es una actividad destinada a que un hombre pueda realizarse, y que se puede entender como un sistema, pero un sistema dinámico, interactuante, que afecte incluso su propio devenir” (Colom, 1987) la formación en la empresa sobre la seguridad de la información, desde la acción educativa, debe llevar a la organización a ser un ámbito de aprendizaje. Esto es, enseña a sus colaboradores a trabajar en equipo, comparte y se nutre de los significados de sus lecciones aprendidas, motiva el pensamiento innovador frente a las exigencias del entorno y asume el error como parte del proceso de construcción de conocimiento (Gore, 2015).

Luego, el entrenamiento en seguridad de la información deja de ser una tarea más que se debe cumplir en el plan de desarrollo individual y se convierte en una oportunidad para aprender en la práctica, donde la teoría se hace realidad, desde el ejercicio real de confrontación de las situaciones particulares.

Lo anterior supone permitir a los participantes darse una idea de cuál es el imaginario de su práctica, sorprenderse respecto de la realidad que debe asumir, construir nuevas posturas que privilegien el bien general sobre el particular y finalmente apropiar distinciones inexistentes que superan el desafío inicial y ahora se vuelve parte del conjunto de saberes del individuo.

En definitiva, la acción educativa debe motivar la reflexión en la acción, que no es otra cosa que la síntesis del conocimiento en la acción, un movimiento teórico-práctico que ofrece pautas de transformación del comportamiento en el hacer, a través de un diálogo con la realidad, que exige simbolizar y socializar los significados que se construyen sobre los conocimientos adquiridos.

Por consiguiente, para la seguridad de la información, la acción educativa constituye un reto de construcción colectiva, que asume el aprendizaje como una ruta de construcción de confianza, la cual se alcanza no sólo en el cumplimiento perfecto de los procedimientos y normas de seguridad y control, sino en el ejercicio imperfecto de la toma de decisiones frente escenarios adversos, complejos y ambiguos.

Referencias
Auricchio, G. y Káganer, E. (2015) Cómo la digitalización está cambiando la formación directiva. IESE Insight. Tercer trimestre. 26
Castillejo, J. L. (1987) Pedagogía tecnológica. Barcelona, España: Ediciones CEAC.
Colom, A. (1987) La metodología cibernética. En Colom, A. y Castillejo, J. L. (1987) Pedagogía sistémica. Barcelona, España: Ediciones CEAC. 65-80.
Colom, A. (2002) La (de)construcción del conocimiento pedagógico. Nuevas perspectivas en teoría de la educación. Barcelona, España: Paidos.
Colom, A. y Núñez, L. (2005) *Teoría de la educación. Madrid, España: Editorial Síntesis.
De Geus, A. (2011) La empresa viviente. Hábitos para sobrevivir en un ambiente de negocios turbulento. Buenos Aires, Argentina:Gránica.
Gore, E. (2012) El próximo management. Acción, práctica y aprendizaje. Buenos Aires, Argentina: Gránica.
Gore, E. (2015) La educación en la empresa. Aprendiendo en contextos organizativos. Tercera Edición. Buenos Aires, Argentina: Gránica.
Gore, E. y Vázquez, M. (2010) Hacer visible lo invisible. Una introducción a la formación en el trabajo. Buenos Aires, Argentina: Gránica.
Perenty, T. (2003) Digital defense. What you should know about protecting yur company’s assets. Boston, Massachussets. USA: Harvard Busines School Press.
Ponenom (2016) Managing insider risk through training and culture. Recuperado de: http://www.experian.com/assets/data-breach/white-papers/experian-2016-ponemon-insider-risk-report.pdf
Yus, R. (2001) Educación integral. Una educación holística para el siglo XXI. Bilbao, España: Desclée de Brouwer S.A. 

lunes, 9 de mayo de 2016

¿Dónde ubicar la función de seguridad y control de la información en las organizaciones modernas? Una decisión multidimensional y evolutiva

Una de las preguntas que con frecuencia se hacen las organizaciones y en general las personas que trabajan en seguridad de la información es ¿dónde debe ir ubicado el ejecutivo de seguridad de la información? Una inquietud que no sólo tiene implicaciones prácticas para el ejercicio de la función de seguridad y control de la organización, sino exigencias corporativas, económicas y políticas que las empresas deben asumir y comprender para definir qué tan importante es la protección de la información y cómo se entiende en el desarrollo de su modelo de generación de valor (Choudhary, 2015).


Figura 1. Evolución de la función de seguridad de la información (Autoría propia)

Una primera aproximación para dar respuesta a esta pregunta, la podemos ver en la evolución de la función de seguridad de la información (ver figura 1). En los años 60 y 70 la seguridad de la información estaba concentrada en el desarrollo y aplicación de controles tecnológicos de control de acceso, los cuales aún tenemos en la actualidad. Esta connotación técnica ubicaba a la función en el escenario de las áreas de tecnología de información, pues los especialistas del tema estaban allí y conocían bien la manera de configurarla para asegurar el acceso a la información a las personas y programas autorizados (Department of Defense, 1970).

Luego con la llegada de internet, durante los 80 y 90, la seguridad de la información se observa desde la vista de procesos y riesgos, es decir, la comprensión de la inevitabilidad de la falla se incorpora en la dinámica de las actividades de la empresa, ubicando a la información en un lugar visible y con impactos particularmente claves, motivando reflexiones adicionales que sacan a la seguridad de un lindero eminentemente tecnológico, para leerlo a la luz de los resultados propios de la realización de las funciones del negocio.

Ahora no es solamente que tan bien está configurado el control de acceso, sino comprender los impactos de una gestión inadecuada de los riesgos que se identifican en los procesos, lo cual ubica al área de seguridad en la lectura de los dominios de los sistemas de riesgo empresariales.

Entrado el nuevo milenio y su primera década, el tema de la seguridad y control evoluciona hacia un lugar más empresarial, se incorpora dentro de las exigencias de cumplimiento regulatorio, como quiera que el ejercicio empresarial en el contexto de una sociedad de la información y el conocimiento, demanda una serie de condiciones básicas para aumentar la confianza de los clientes y proteger el valor de los inversionistas. La proliferación de normas con exigencias de protección y aseguramiento de información, elevan la discusión de la seguridad al escenario del satisfacer requerimientos por los cuales las empresas pueden o no pertenecer a un grupo particular.

En este sentido, no son solo los controles tecnológicos, ni la gestión del riesgo sobre el inadecuado tratamiento de la información, sino ahora las implicaciones sobre los reguladores por incumplimientos de las normas y estándares que generan confianza a los terceros interesados, llevando a la función de seguridad a los dominios de las áreas de cumplimiento.

Con la modificación acelerada del mundo a través de la tecnología, que revela una sociedad digitalmente modificada hacia 2020, donde el flujo de información se percibe con mayor claridad en los nuevos productos y servicios de las “cosas conectadas”, estamos entrando en una nueva revolución industrial donde de forma instantánea tenemos información sobre el estado de las cosas y las personas. Una realidad que experimenta cambios y se ajusta conforme las personas actúan y se relacionan con otras. En este escenario, la seguridad de la información se convierte en un valor fundamental, en una exigencia necesaria y mandatoria que permita a las personas mantenerse conectadas con la tranquilidad que su “realidad digital”, representada en todo lo que recibe y transmite, se mantiene dentro del dominio de experiencia que ellas han declarado compartir (Porter y Heppelmann, 2015).

Así las cosas, la protección de la información no sólo se traduce en medidas tecnológicas al interior de la organización, orientadas por una gestión de riesgos y controles propios de los procesos, que asisten las exigencias de cumplimiento normativo nacionales e internacionales, sino que ahora deben concretar elementos de protección más allá de los límites empresariales y asegurar que los productos y servicios que consumen sus clientes funcionen de tal manera que no permitan que una falla al interior de los mismos comprometa o afecte la esfera personal y familiar de los mismos. Por tanto, pasamos de una distinción de protección de afectaciones que vienen del exterior a mantener una operación interna de productos y servicios confiable, que funcione y sobreviva a pesar de los ataques externos (Bughin, Lund y Manyika, 2016).

En este contexto, la función de seguridad de la información adquiere mayor visibilidad y sensibilidad por parte de los clientes y por tanto de los ejecutivos de la empresa, generando mayor necesidad de conocimiento de los avances y prácticas de protección tanto al interior de la operación de la empresa, como en los procesos de producción y fabricación de los productos y servicios, habida cuenta que un falla generalizada en un uno de ellos, no solo tiene alcances técnicos sino repercusiones económicas, sociales, políticas y administrativas; en pocas palabra se hace evidente las relaciones sistémicas que la empresa mantiene con su entorno y cómo éste afecta la manera como ella desarrolla su actividad económica (De Geus, 2011).

Bajo este escenario la función de seguridad y control, se especifica a través de lo que se denomina riesgo “ciber”, una categoría que no solo concreta lo tecnológico como tal, sino como la integración o convergencia entre lo físico y lo lógico cambia la forma como entendemos la relación entre la empresa y los clientes, así como la manera en que se conciben los impactos dentro y fuera de la organización. Lo “ciber” conecta a la empresa en un espacio de relaciones hacia el exterior, para entender cómo ella y sus operaciones afectan a otros y cómo los otros y sus actividades concretan efectos en su desarrollo de negocio (Frappolli, 2015).

En consecuencia, la función de seguridad de la información eleva su discurso de cumplimiento a una lectura de valor para el negocio, de implicaciones políticas para los miembros del directorio, de impactos en las expectativas de los clientes y sobremanera en la supervivencia de la empresa en un entorno digital. Con esta lectura, el ejecutivo de seguridad deberá madurar y desarrollar un discurso políticamente correcto, que, asistido por su conocimiento del entorno, como buen estratega que debe ser, ilustra la forma como superar el laberinto de las amenazas emergentes de este entorno, comprometiendo las voluntades de los directores de la junta para concebir una lectura conjunta de estrategia corporativa digitalmente sostenible, a pesar de la inevitabilidad de la falla, que en últimas lo que significa es construir confianza y ofrecer orientación para concretar una estrategia empresarial (Cano, 2015).

Bajo este entendimiento, la función de seguridad de la información no estará atada a las connotaciones técnicas de los dispositivos tecnológicos, ni a las normas o riesgos particulares de las plataformas, sino a las lecturas ejecutivas que definen el futuro de las empresas. Las discontinuidades del entorno, particularmente basadas en estrategias digitales, se transforman en eventos relevantes que alteran la realidad empresarial y que son leídos por los miembros de la junta como eventos para revisar, bien como oportunidades o amenazas, donde el ejecutivo de seguridad y control, hace parte de la vista valiosa que define el posicionamiento de la empresa entre los clientes (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015).

Otros análisis efectuados por firmas de consultoría internacionales (Rose, 2012; Scholtz, 2014) y estudios de industria (Veltsos, 2016) establecen otros factores adicionales para establecer dónde se debe ubicar el área de seguridad de la información. Entre los elementos que estos estudios indican están la madurez de la organización en su sector de negocio, el nivel de cercanía con el área de tecnología de información, el lenguaje de negocio que utiliza el ejecutivo de seguridad para comunicarse con la junta, la complejidad del reporte de cumplimiento empresarial, las tensiones entre el área de riesgo y cumplimiento, entre otras, los cuales advierten relaciones claves que de igual forma deben considerarse para tomar la decisión de ubicar esta área.

Cualquiera que sea la ubicación que se defina, habrá que tener claridad de las bondades y limitaciones del enfoque que se decidido, esto es, cómo estará afectada la visibilidad del área, cómo serán las relaciones necesarias con el área de tecnología de información, qué sintonía debe desarrollar con las áreas de negocios y la necesidad para alcanzar resiliencia en su operaciones, qué lenguaje será el más adecuado para comunicar su promesa de valor, cómo será el perfil de sus analistas de seguridad y control, el alcance de su labor empresarial: seguridad, privacidad, ciberseguridad, fraude, seguridad física, seguridad electrónica, las relaciones con los entes de control, instituciones de estándares y buenas prácticas, así como con los supervisores de su sector y el gobierno.

Por tanto, ubicar organizacionalmente el área de seguridad de la información en una empresa, en un escenario volátil, incierto, complejo y ambiguo (Johansen, 2009), deberá reconocer las oscilaciones estructurales que la dinámica empresarial exhibe y la necesidad de agilidad permanente frente a sus competidores, para desarrollar una capacidad de aprender y desprender de forma acelerada, por lo cual deberá tener en cuenta los siguientes aspectos:
  • Ser lento es especialmente peligroso en un mundo de frecuentes cambios.
  • Es necesario experimentar permanentemente con la realidad. Por tanto, fallar de forma segura todo el tiempo debe ser la norma.
  • El temor a los riesgos impregna los procesos de pensamiento de los ejecutivos. La audacia de las opciones creativas requiere quebrar estándares conocidos y hacer apuestas sobre entornos inestables.
  • Las negociaciones entre seguridad y funcionalidad no pueden ser opciones exclusivas de atajos de tiempo hacia el futuro, sino opciones de riesgos calculados e informados para concretar oportunidades.
  • La función de seguridad y control no es un ente pasivo manipulado por fuentes externas, por lo que no puede ser explicada solamente por relaciones causa-efecto.

Referencias
Bughin, J., Lund, S. y Manyika, J. (2016) Five priorities for competing in an era of digital globalization. Mckinsey Quarterly. Mayo. Recuperado de: http://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/five-priorities-for-competing-in-an-era-of-digital-globalization
Cano, J. (2015) Juntas directivas. Descifrar e influenciar su imaginario vigente sobre la seguridad de la información. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2015/08/juntas-directivas-descifrar-e.html
Choudhary, U. (2015) This Might Be The Next Coveted Leadership Position Of 2015. F@stcompany Magazine. Recuperado de: https://www.fastcompany.com/3043376/how-to-earn-respect-from-the-hottest-seat-in-leadership-today
De Geus, A. (2011) La empresa viviente. Hábitos para sobrevivir en un ambiente de negocios turbulento. Buenos Aires, Argentina: Gránica.
Department of Defense (1970) Security controls for computer systems (U). Report of Defense Science Board Task Force on Computer Security. Febrero. Recuperado de: http://seclab.cs.ucdavis.edu/projects/history/papers/ware70.pdf  
Frappolli, M. (2015) Managing cyber risk. Malvern, Pennsylvania.USA: American Institute for Chartered Property Casualty Underwriters.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.
Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre.
Rose, A. (2012) Role Job description: Chief information security officer. Forrester Research.
Scholtz, T. (2014) Determining Whether the CISO Should Report Outside of IT. Gartner Research.
Veltsos, C. (2016) Is Your CISO Out of Place? Recuperado de: https://securityintelligence.com/is-your-ciso-out-of-place/

viernes, 25 de marzo de 2016

Ecosistemas Digitales Criminales. La nueva frontera de los investigadores forenses informáticos

Introducción
Al ver las tendencias tecnológicas que aceleran los cambios y establecen nuevos referentes de comportamiento de las personas, se puede advertir que estamos entrando una dinámica de transformaciones sociales que aumentan los flujos de información, abren nuevas oportunidades para concretar negocios antes inexistentes y sobre manera plantean plataformas digitales donde se posibilitan conexiones entre grupos de interés que definen una nueva “ecología digital” esto es, la gestión de lo digital de forma creativa y disruptiva, para crear nuevas relaciones y experiencias en un ecosistema digital.

Un ecosistema de acuerdo con Capra (2003, p.294) es una red flexible en fluctuación permanente, cuya flexibilidad es una consecuencia de múltiples bucles de retroalimentación que mantienen al sistema en un estado de equilibrio dinámico y donde ninguna variable es maximizada, sino que fluctúan alrededor de sus valores óptimos; esta definición en el escenario digital, implica la creación de una cultura que se crea y se sostiene a través de un tejido de comunicaciones y relaciones que modifican la percepción de la realidad, cuya estabilidad y resistencia está basada la diversidad de iniciativas e ideas que generan sus participantes.

En este sentido, explicar la rápida expansión e innovación de la delincuencia informática, demanda conectar las prácticas de los “chicos malos” alrededor de los fundamentos de los ecosistemas digitales, de tal forma que los patrones de análisis basados en causa-efecto, comienzan a ceder terreno frente a los modelos dinámicos y circulares, que demandan entender la capacidad de adaptación y anticipación que han desarrollado, para así motivar nuevos referentes de entendimiento de sus propuestas y los nuevos vectores de actividades delictivas que se observen o propongan en el mediano y largo plazo.

Los delincuentes informáticos son parte de una evolución natural del crimen tradicional, de una transformación de la vista digital del mundo, donde las relaciones y posibilidades son parte de una mente colectiva que se construye sobre formas diferentes e inexistentes a la fecha, en palabras de Castells (mencionado por Capra, 2003, p.196), se fundamentan en una organización flexible en red, bien enraizada en la tradición y la identidad dentro de un marco institucional favorable, con una actuación local bien definida y un pensamiento global basado en alianzas estratégicas, generalmente con plataformas digitales de uso masivo y en lo posible gratuitas.

Así las cosas, este documento busca comprender los retos de los ecosistemas digitales criminales, como la nueva frontera de la investigación criminal, con el fin desconectar los conceptos hasta ahora vigentes para entender la delincuencia informática, incorporar la dinámica de las relaciones que se advierten en la conformación de comunidades ilegales y abiertamente contrarias a las leyes, que encuentran en un mundo digitalmente modificado nuevas oportunidades para alcanzar sus objetivos, comprometer la propiedad privada, dejar el menor número de rastros y pistas, y así reconectar la realidad del delincuente en un mundo digital desde la inevitabilidad de la falla como fundamento de sus actuaciones.

Ecosistema digital criminal. Repensando el modus operandi en un mundo digitalmente modificado
Para repensar la forma como la criminalidad ha evolucionado en un contexto digital como el actual, debemos superar la vista análoga del mundo, esto es la vista de los productos y servicios conocidos, basados en infraestructuras física y capitales económicos tradicionales, por una donde las conexiones se basan en infraestructuras lógicas, plataformas digitales (libres o gratuitas) y consumidores modernos, aquellos que han adoptado la tecnología como una oportunidad para transformar su contexto y hacer cosas distintas o mejorando las existentes de forma novedosa (McQuivey, 2013).

Lo anterior supone estresar los modelos lineales que explican la forma como se concreta un delito, donde existe un delincuente, una persona u objeto valioso, unas acciones concretas que afectan la persona u objeto y una consecuencia de la acción contraria a la ley, por una mentalidad circular y digitalmente modificada, donde existen comunidades socialmente conectadas, que motivadas por temas políticos, económicos o sociales, actúan sobre objetivos individuales o nacionales, para concretar acciones transversales contrarias a los ordenamientos jurídicos que afectan personas o naciones, aprovechando los vacíos normativos existentes.

Este contexto reta no solamente las prácticas de investigación criminal vigentes, sino el entrenamiento de las instituciones de policía judicial, pues ahora es necesario comprender la dinámica que supone un Ecosistema Digital Criminal - EcoDC, como ese conjunto de relaciones entre participantes locales y globales, que crean una red flexible de capacidades criminales para concretar nuevas posibilidades de acción ágiles, livianas, sencillas y efectivas, que alteren y confundan la realidad de los afectados y así, se alcancen los objetivos planeados con el máximo de anonimato y el mínimo de evidencia disponible.

Una vista concreta de este EcoDC, se puede leer desde los cinco dominios de la transformación digital de Rogers (2016): los clientes, la competencia, los datos, la innovación y el valor. Esto es, aprovechar las redes de clientes asistidas por las redes sociales digitales, construir plataformas digitales para potenciar las capacidades entre los competidores, convertir los datos en activos, que revelen patrones y oportunidades para crear realidades emergentes, crear prototipos experimentales de bajo costo que validen ideas y apalanquen el aprendizaje sobre aspectos inciertos de la realidad y finalmente reimaginar el presente, anticipando nuevas oportunidades y riesgos leídos en términos de los rápidos cambios de los clientes, sus necesidades y gustos.

La delincuencia informática leída en esta dinámica digital se concreta en redes sociales de comunidades criminales que han desarrollado habilidades colaboración y estatus basada en sus acciones delictivas, las cuales cuentan con plataformas digitales basadas en herramientas, generalmente abiertas o gratuitas, que se aprovechan de debilidades de los sistemas informáticos, que confunden a sus víctimas y demoran a las autoridades, las cuales recaban información de sus objetivos comprometidos para crear perfiles y patrones que puedan anticipar y analizar, con los cuales pueden experimentar para crear nuevos vectores de ataque, con ligeros cambios en las prácticas actuales que aumenten la efectividad de sus acciones, aseguren bajos niveles de detección, así como inhabilitación, desactivación o destrucción de cualquier rastro disponible.

Lo anterior plantea un reto estratégico para las autoridades de justicia, pues la promesa de valor criminal, cuenta con una variedad y complejidad superior a la que un investigador tradicional puede manejar, lo que necesariamente obliga a concretar una vista que procure una destrucción creativa de los paradigmas actuales. Un proceso de deconstrucción de prácticas de investigación criminal estáticas, hacia una aproximación dinámica donde los miembros de la comunidad tienen acceso abierto a toda la información, en lugar de restringir su flujo basado en la “necesidad de conocer” (Nolan y Croson, 1995, p.91) y donde las plataformas digitales abiertas ofrecen posibilidades para desarrollar conocimiento superior sobre tendencias y patrones de los delincuentes.

La estrategia digital criminal. La inestabilidad y la incertidumbre como promesa de valor
La estrategia de los delincuentes en internet no ha variado. La industria del engaño y el exceso de confianza en los mecanismos de seguridad y control, confirman de forma permanente la esencia de los movimientos de aquellos que actúan en contra del ordenamiento jurídico, afectando los derechos, libertades y garantías de las personas. En este sentido, la estrategia digital criminal establece una frontera confusa para las autoridades, como quiera que crean ventanas de oportunidad o de amenaza que revelan aspectos desconocidos de sus actuaciones, ahora en un ecosistema digital criminal.

Considerando la definición de un ecosistema digital criminal, previamente comentada, es claro que se requiere desarrollar una red flexible de capacidades, creando confusión en los afectados, con el máximo de anonimato y el mínimo de rastros. En este entendido, las comunidades de delincuentes en redes sociales o bajo escenarios como la “web profunda”, comparten ideas, tendencias, desarrollos y propuestas para aumentar la efectividad de sus acciones, actividades que crean tejidos de conocimiento que anticipan acciones delictivas no conocidas e inciertas para la sociedad.

Este ejercicio de compartir, por lo general recibe la crítica y el debate de los participantes, con el fin de concretar y mejorar la perspectiva de la acción propuesta con el fin de aumentar la contundencia de la misma, en términos de crear el desconcierto y desorientación, como fundamento de su actuación y disminuir la generación de evidencia verificable que pueda motivar una investigación y reconstruir la forma como el plan de la delincuencia se ha formulado y cuáles han sido sus motivaciones.

Mientras las autoridades basan sus investigaciones y acciones sobre la certeza de los ataques o acciones delictivas, para concretar sus dictámenes, los delincuentes asumen y se recrean en lo incierto como fundamento para repensar sus propias actuaciones desde diferentes puntos de vista. Lo anterior, implica que, en un entorno digitalmente modificado (Porter y Heppelmann, 2015), los maleantes informáticos saben que la promesa de valor de sus acciones está fundada en la creación de inestabilidad e incertidumbre que confunda, engañe, destruya, altere, degrade o niegue el acceso a los recursos, servicios, productos y operaciones que una organización o persona tiene.

Así las cosas, no es la acción delictiva en sí misma la fuente de la comprensión de los móviles en los delitos de alta tecnología, sino las capacidades de experimentación y tolerancia a la falla disponibles en las comunidades criminales, lo que permite celebrar como la inevitabilidad de la falla concreta momentos inesperados que abren posibilidades para adelantar actividades, basadas en las capacidades de otros participantes y potenciando los nuevos aprendizajes que retan el estado del arte de la práctica de seguridad y control.

En pocas palabras, la estrategia digital criminal se configura como una capacidad resiliente que se adapta antes que las nuevas tendencias le indiquen que lo hagan (Aurik, Fabel y Jonk, 2015). Es un ejercicio donde se crean nuevas propuestas que cambian el status quo de la práctica de seguridad y control, aumentando la oferta de opciones contrarias a la ley, a través de un ecosistema digital criminal como plataforma de despliegue, para generar nuevos potenciales elementos de valor (nuevas tecnologías, tendencias socioculturales, necesidades no satisfechas) (Rogers, 2016, p.181) que aumenten la ambigüedad y la incertidumbre como fuente de nuevas técnicas ofensivas complejas, de bajo costo, altamente confiables y basadas en el anonimato.

La preparación forense digital. Reinventando las prácticas de investigación criminal
Ante esta realidad volátil, incierta, compleja y ambigua (Johansen, 2009) que plantea el nuevo EcoDC, se hace necesario desconectar los fundamentos de la práctica forense digital conocidos hasta el momento, para lograr, como anota García (2014, p.9) un equilibro entre creación de potencial y explotación de potencial, y de esta manera superar la inercia y tranquilidad que generan la confianza en las prácticas y procedimientos se usan de forma cotidiana para enfrentar la criminalidad informática.

Mientras el proceso de la práctica forense digital, sigue un paso a paso lineal, que debe ser asegurado en cada uno de sus momentos para mantener la integridad de la evidencia y su adecuado tratamiento, la preparación forense digital responde a una lógica circular y dinámica que busca asegurar al menos cinco objetivos fundamentales: (Adaptado de: Sachowski, 2016, p.21)
  • Maximizar el uso potencial de la evidencia digital
  • Minimizar el costo de las investigaciones forenses digitales
  • Minimizar la interrupción e interferencia de los procesos de negocio
  • Preservar y mejorar la postura de seguridad de la información
  • Maximizar la inteligencia de fuentes abiertas de nuevos vectores y prácticas criminales informáticas

En este sentido, la preparación forense digital es la capacidad que tiene una organización o individuo para maximizar de manera proactiva el uso prospectivo de la información electrónicamente almacenada y los resultados de la inteligencia de fuentes abiertas, para reducir el costo de las investigaciones forenses digitales y fortalecer su postura vigilante frente a la inestabilidad e incertidumbre que genera la inevitabilidad de la falla (Adaptado de: Sachowski, 2016, p. 45).

Lo anterior supone la convergencia de las prácticas forenses digitales y las de seguridad de la información, una combinación y desarrollo de capacidades que buscando la minimizar la interrupción de las funciones del negocio y aumentando su resistencia a los ataques, mantenga la relevancia, pertinencia y admisibilidad de la evidencia digital. Esta nueva realidad, establece no solo una estrategia forense y de seguridad conjunta, sino acciones proactivas y de prevención que crean una plataforma de defensa que disuada a los potenciales atacantes, aumente su tolerancia a las fallas y anticipe escenarios de investigación criminal no conocidos.

Esta convergencia habilita una vista dinámica y sistémica de la investigación criminal digital que cambia las reglas de los análisis forenses digitales creando nuevos normales que conectan la realidad de los ecosistemas digitales criminales. Esto significa, trabajar de forma conjunta con los profesionales de seguridad y control en las organizaciones para: (Adaptado de: Sachowski, 2016, p. 51)
  • Definir escenarios de riesgos conocidos, latentes, focales y emergentes (Cano, 2014) que requieren contar con evidencia digital
  • Identificar las fuentes de datos disponibles y los diferentes tipos de evidencia digital
  • Determinar los requerimientos para recopilar la evidencia digital
  • Establecer las capacidades de recolección de evidencia digital que soporte las reglas de la evidencia
  • Desarrollar un marco de gestión de la evidencia digital sobre ecosistemas digitales
  • Diseñar controles de monitoreo activo para detectar patrones y eventos no convencionales que afecten las operaciones, servicios y/o productos de la organización
  • Especificar criterios de escalamiento de incidentes para adelantar investigaciones forense digitales
  • Adelantar entrenamientos para educar y formar sobre las nuevas amenazas y vectores de ataque identificados a los diferentes roles en la organización
  • Documentar y presentar los hallazgos y conclusiones de las investigaciones basados en evidencia digital formalmente tratada
  • Asegurar una adecuada revisión legal que facilite acciones de respuesta concreta a los eventos o incidentes detectados

Como quiera que tanto la práctica de seguridad de la información como la de investigaciones forenses digitales tienen sus propios referentes teóricos y tradición científica, la evolución de la criminalidad informática sobre EcoDC, motiva una transformación de ambos dominios para crear un modelo de práctica convergente que identifique los nuevos retadores de sus estándares, revele las nuevas personas o industrias afectadas por las inéditas capacidades criminales y persiga y confronte los clientes emergentes a los cuales los nuevos retadores sirven (Rogers, 2016, p.220).

Reflexiones finales
Los ecosistemas digitales, como nueva referencia básica de las organizaciones, en un mundo digitalmente modificado, plantean retos permanentes que motivan transformaciones empresariales que crean inestabilidades en los mercados cambiando las reglas sobre las cuales se hacen y crean relaciones de negocio (Weinman, 2015); un reto para los ejecutivos de las juntas directivas que definen y asumen niveles aceptables de riesgo en una realidad dinámica e incierta (Ormazabal, 2016).

De esta misma forma, la delincuencia ha asumido esta nueva realidad para crear ecosistemas digitales criminales donde transforman productos en plataformas de acción, que habilitan la introducción de capacidades distintivas para comunidades socialmente conectadas de delincuentes, con el fin de acelerar y extender las oportunidades para concretar sus actos contrarios a la ley.

En este sentido, las intervenciones de la criminalidad se hacen socialmente más fuertes, dado los impactos de sus actividades para crear miedo, incertidumbre y dudas, que crean efectos masivos en los ciudadanos, los cuales ven como los “chicos malos” establecen referentes de actuación de acción local y con soporte global, donde las autoridades se declaran sorprendidas y particularmente superadas con las capacidades novedosas que los ataques y engaños exhiben.

Sin perjuicio de lo anterior, la respuesta de la institucionalidad de la sociedad viene ganando terreno para aumentar y desarrollar mayores capacidades para anticipar la dinámica de las redes criminales y las posibilidades que plantean las plataformas digitales habilitadas desde los EcoDC. En este entendido, la investigación criminal digital establece una vista convergente de las prácticas de seguridad y control con las forenses digitales, para aunar esfuerzos que permitan observar de manera cercana los patrones emergentes de acciones criminales no conocidos y pensar por fuera de lo establecido en el status quo, y así reconfigurar los procedimientos y estándares desde una epistemología sistémica y compleja.

Si entendemos que cualquier cosa puede ser digitalmente modificada, es decir que esencialmente puede tener un procesador que genere datos sobre el comportamiento del objeto modificado (Raskino y Waller, 2015), estamos ante un cambio de perspectiva del mundo análogo y de fronteras difusas, donde la información se convierte en un activo estratégico valioso para crear nuevas fronteras en los negocios y propuestas de valor que anticipen o motiven tendencias inexistentes en la sociedad.

Habida cuenta de loa anterior, estamos entrando en una acelerada transición hacia ecosistemas digitales que crean características, funciones y desempeños inéditos que habilitan capacidades para cambiar la realidad actual y crear las tendencias del futuro. En un mundo de productos, servicios y operaciones digitales activos y conectados, la delincuencia informática encuentra un escenario natural para repensar sus actuaciones, aprovechando al máximo la inexperiencia, el desconocimiento y la novedad de la sociedad frente a esta realidad emergente.

Por tanto, tendencias tecnológicas como la computación en la nube, el internet de las cosas, la computación móvil, los grandes datos y la analítica, las redes sociales, las criptomonedas, los drones, el almacenamiento 5D, entre otras, establecen referentes para observar, conocer y aprovechar, de tal modo que la investigación criminal digital no se concentre en encontrar la solución correcta frente a los casos que enfrenta, sino que explore y resuelva el problema correcto, esto es, asuma los ecosistemas digitales criminales como una ventana de aprendizaje y desaprendizaje que quiebre sus verdades vigentes y posibilite la convergencia con otras disciplinas.

Referencias
Aurik, J., Fabel, M. y Jonk, G. (2015) The future of strategy. A transformative approach to strategy for a World that won´t stand still. A. T. Kearney, Inc. New York, USA: McGraw Hill Education.
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
Capra, F. (2003) Las conexiones ocultas. Implicaciones sociales, medio ambientales, económicas y biológicas de una nueva visión del mundo. Barcelona, España: Editorial Anagrama.
García, E. (2014) Supera las crisis reinventándote. Una guía hacia la excelencia empresarial y personal. Barcelona, España: Libros de Cabecera S.L.
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
McQuivey, J. (2013) Digital disruption. Unleashing the next wave of innovation. Forrester Research. Las Vegas, Nevada. USA: Amazon Publishing.
Nolan, R. y Croson, D. (1995) Creative destruction. A six-stage process for transforming the organization. Boston, Massachussets. USA: Harvard Business School Press.
Ormazabal, G. (2016) Lo que todo consejero debería saber. IESE Insight. Primer trimestre. 23-28.
Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre.
Raskino, M. y Waller, G. (2015) Digital to the core. Remastering leadership for your industry, your Enterprise and yourself. Gartner, Inc. Brookline, MA. USA: Bibliomotion, Inc.
Rogers, D. (2016) The digital transformationn playbook. Rethink your business for the digital age. New York, USA: Columbia University Press.
Sachowski, J. (2016) Implementing digital forensic readiness. From reactive to proactive process. Cambridge, Massachussets. USA: Syngress-Elsevier.
Weinman, J. (2015) Digital disciplines. Attaining market leadership via the cloud, Big data, Social, Mobile and the internet of things. Hoboken, New Jersey. USA: John Wiley & Son.