sábado, 2 de mayo de 2020

Superficie de ataque empresarial. Más allá de las probabilidades y las listas de chequeo


Introducción
El aumento de las noticias sobre ataques exitosos y brechas de datos en diferentes industrias y países advierte una importante movilización de esfuerzos y estrategias de los adversarios, para mantener una agenda agresiva e innovadora que aprovecha la inestabilidad y los momentos de incertidumbre para concretar acciones contrarias y desestabilizar a las empresas y naciones, y así encontrar “espacios en blanco” y “lugares inéditos” donde pasar desapercibidos y ganar terreno si ser notados.

En este sentido, las organizaciones más allá de sus límites corporativos, hoy se encuentran más conectadas que nunca, lo que habilita una mayor visibilidad de su infraestructura y un mayor flujo de información, que revela tanto sus estrategias de seguridad y control, así como sus limitaciones y posibles debilidades las cuales podrán (y serán) probadas por terceros, los cuales con intenciones no definidas, tendrán oportunidad de ver cómo se comportan los mecanismos de atención y control de eventos no deseados dispuestos por las empresas.

El riesgo de una brecha de seguridad y exposición de datos sensibles (y confidenciales) hoy se hace más evidente que en otros momentos, toda vez que los puntos de ataque disponibles para los adversarios se han aumentado dada la acelerada transformación digital que las organizaciones han debido desplegar para mantenerse operativas y disponibles para sus diferentes grupos de interés. En este escenario, la dependencia de la infraestructura de terceros, los puntos de conectividad entre la empresa y el proveedor, y las prácticas de seguridad y control de unos y otros, se vuelven relevantes para configurar un marco de gobierno y aseguramiento homogéneo frente a la inevitabilidad de la falla (Sharton, 2020).

En consecuencia para tratar de dimensionar esta nueva realidad aumentada y digitalmente modificada, donde la superficie de ataques se ha expandido, es necesario entender que existen diferentes maneras a través de las cuáles las cosas pueden salir por fuera de lo previsto y un contexto organizacional donde pueden ocurrir que incluyen entre otros los servidores, las bases de datos, los switches, los enrutadores, las aplicaciones (estándares, hechas a la medida y móviles), los computadores de los colaboradores, los controladores industriales y los sistemas ciber-físicos disponibles (dispositivos Smart).

Si se cruzan las posibilidades de fallas, vulnerabilidades y errores que se pueden presentar, con el contexto organizacional previamente mencionado, se tiene una malla casi infinita de lugares donde el adversario pude localizar sus esfuerzos y lograr efectos desestabilizadores para la empresa y sus grupos de interés (Banga, 2020). Por tanto, un ataque no es solamente el aprovechamiento de una vulnerabilidad, falla o error, sino la exploración de puntos pivote en la malla, previamente comprometidos, para crear el incierto necesario, que induzca a la confusión y acciones no planeadas por parte de la empresa, para tomar control de activos claves y propagar sus alcances dentro y fuera de corporación, con fines que pueden ser económicos, políticos, sociales, tecnológicos o ecológicos.

Por consiguiente este breve documento plantea una reflexión sobre los retos de las organizaciones modernas frente a sus interacciones en los nacientes ecosistemas digitales y las tensiones que los ciberriesgos exhiben en un tejido digital de nuevos flujos de datos, que con la participación de los terceros de confianza diseñan y configuran nuevas experiencias para sus diferentes grupos de interés.

Comprender el ciberriesgo
Cuando es posible advertir la malla de posibilidades que tiene el adversario para localizar y diseñar sus ataques, es claro que un sentimiento de angustia y agobio se puede apoderar tanto de los ejecutivos de seguridad como los directivos de la empresa. No obstante lo anterior y sabiendo que tarde o temprano el atacante tendrá éxito, es necesario comprender cuál es la postura de seguridad/ciberseguridad que la organización ha desarrollado frente al entorno actual, lo que implica ajustar la visual de riesgos previa y desinstalarla de los supuestos iniciales sobre las cuales fue construida (Cano, 2019).

Lo anterior, implica al menos revisar cinco elementos claves para desconectar las creencias e imaginarios de los diversos actores organizacionales, con el fin de conectar nuevas posibilidades y retos que se encuentran en el escenario vigente, que hablan de una posición de seguridad y control afectada por la incertidumbre que demanda más certezas que antes.

El primer elemento es “desinstalar la creencia de seguridad 100% y riesgo cero”. Si bien antes de entrar en esta situación de emergencia, la afirmación anterior era válida, hoy se hace más visible la malla de posibilidades que es necesario cubrir y monitorizar, para poder atender eventos no esperados y limitar los efectos adversos que se pueden materializar. Cuando se entiende que la seguridad es un umbral de riesgo aceptado mediado por la capacidades claves instaladas y desarrolladas, donde es posible construir una confianza digital imperfecta, es viable establecer estrategia de acción conjunta con los diferentes actores para asumir cualquier evento y responder de forma resiliente (Mee & Brandenburg, 2020).

El segundo elemento es “asumir el error como parte del proceso y no como resultado”. Esta afirmación permite no solo desarrollar una adecuada gestión de incidentes por parte de las organizaciones, sino aumentar la capacidad de resistencia y respuesta de la organización, pues demanda de ella una postura proactiva que busca probar y validar sus esfuerzos de seguridad y control, para anticipar sus respuesta y la forma como evolucionan la amenazas y estrategias de los adversarios. Mientras las vulnerabilidades que se detecten no sean insumos para renovar y repensar la postura de seguridad, la organización creará nuevos puntos pivote que el adversario pueda usar en el futuro.

El tercer elemento es “pasar del proteger y asegurar, al defender y anticipar”. Esta propuesta busca darle el lugar a las buenas prácticas y estándares disponibles a la fecha que son de amplio uso en las organizaciones, como una forma de cubrir los riesgos conocidos y caracterizados, para coordinar nuevos esfuerzos que permitan mirar los riesgos latentes y emergentes (Cano, 2017), con el fin movilizar a la organización al diseño de pruebas y simulaciones que la preparen para defender sus posición en el contexto digital. Esto es, lograr advertir los movimientos del adversario en su propio terreno, para demorarlo y aumentar la capacidad de respuesta y atención de la organización.

El cuarto elemento es comprender que “las vulnerabilidades crecen y se invisibilizan más hacia los activos de información sensible, que hacia las infraestructuras tecnológicas de seguridad y control”. Cuando se revisan los reportes internacionales sobre amenazas y vulnerabilidades, las empresas especializadas hacen especial énfasis en las fallas técnicas, en los errores de los programas o en problemas de configuración de dispositivos los cuales terminan en recomendaciones concretas que los clientes de dichas soluciones deben instalar de forma periódica o inmediata dependiendo de la criticidad o sensibilidad del caso. Sin perjuicio de lo anterior, pocas veces se hace énfasis en los comportamientos de las personas y su propensión al error en el tratamiento de la información, que de alguna forma debería ser la norma para mantener una operación estable y confiable, lo que reitera lo comentado en el elemento dos.

El quinto elemento es “habilitar el pensamiento sistémico y prospectivo para desarrollar capacidades” que complementen las prácticas vigentes basadas en certezas y asociadas a riesgos conocidos. La ciberseguridad es una disciplina emergente e interdisciplinar. No está basada en discursos disciplinares ni cuenta con un marco de saberes a la fecha estandarizado. Es una disciplina en formación que reconoce la convergencia de los retos y peligros del mundo físico y sus impactos, así como las oportunidades y amenazas del ecosistema digital en el cual se encuentra envuelta la empresa (Dupont, 2013). De esta forma, no son los estándares actuales lo que hacen realidad la postura de seguridad y control, sino la capacidad de reconocer las relaciones y amenazas emergentes que se advierten el entorno, sabiendo que es posible “ver las acciones del agresor” y actuar en consecuencia antes de que tenga éxito. No siempre se va a lograr y por lo tanto tendrá que estar preparada para asumir un incidente.

Cuando se comprenden y se apropian estas cinco distinciones el ciberriesgo deja de ser un problema de tecnología y de especialistas de seguridad y control, para traducirse en una lectura de riesgos empresariales de negocio donde lo que está en juego no es solamente la recuperación de la empresa frente a un evento no deseado, sino la capacidad de la organización para anticipar condiciones inesperadas, limitar los impactos de los ataques cibernéticos y asumir la responsabilidad digital empresarial (Wade, 2020) que concreta la confianza digital imperfecta con cada uno de sus grupos de interés.

Entender el ecosistema digital
Las organizaciones a la fecha están más conectadas que antes, ofreciendo un mayor número de productos y servicios, que logren concretar nuevas experiencias en sus clientes. Esta realidad permite optimizar múltiples procesos internos, catalizar iniciativas claves para crear nuevas apuestas de valor y sobremanera aumentar el apetito de riesgo de la compañía respecto de su modelo de negocio y las apuestas estratégicas que se desarrollan en el marco de su visión de negocios.

Un ecosistema digital está compuesto de infraestructura, aplicaciones, usuarios y servicios, los cuales interactúan de forma coordinada para lograr un cambio de expectativa o percepción en las personas respecto de una experiencia previa sobre la manera de tener acceso a un producto o servicio. Esta realidad, implica un diseño de un sistema socio-técnico donde se advierten flujos de información entre los diferentes componentes del ecosistema y una convergencia de tecnologías para configurar un escenario diferente donde el cliente encuentra respuestas más ágiles a sus requerimientos.

Este ecosistema enriquecido ahora con sensores, dispositivos inteligentes, pagos no tradicionales, uso de analítica de datos y marketing dirigido, crea una realidad aumentada donde habitan ahora los clientes, lo que necesariamente exige el desarrollo de una confianza digital que le permita adquirir, utilizar y movilizar sus intereses y expectativas de forma confiable, en términos semejantes o mejores a los que tenía en un contexto físico. Bien anota Porter & Heppelmann (2014) que un producto digitalmente modificado no tendrá éxito sino cuenta con elementos de seguridad, privacidad y aseguramiento por parte del proveedor del producto o servicio.

En los nuevos ecosistemas digitales los ciberriesgos adquieren la característica de riesgos sistémicos, es decir, riesgos que se manifiestan en fallas, accidentes o interrupciones individuales que producen efectos en cascada, para lo cual es necesario comprender y analizar el nivel de acoplamiento e interacción de los componentes del sistema. Este tipo de riesgos tienen las siguientes características: (IRGC, 2018)
  • Riesgos altamente interconectados con relaciones causa-efecto no lineales,
  • Riesgos que implican poco conocimiento acerca de las interconexiones en entornos interdependientes,
  • Riesgos donde no se cuentan con controles específicos.

Si las organizaciones siguen empeñadas en mantener sus modelos de riesgos actuales, basados en la sabiduría convencional de la gestión de riesgos como son: (Funston & Wagner, 2010)
  • Los factores que afectan los acontecimientos no cambian,
  • Los eventos son ligeramente aleatorios,
  • Los eventos extremos son raros,
  • Los pronósticos son exactos y fiables,
  • Los eventos son independientes unos de otros,
  • Los mercados son eficientes y racionales,

estarán más expuestas a eventos no deseados comoquiera que en la dinámica de las relaciones e interdependencias que sugiere y establece un ecosistema digital, pueden surgir relaciones emergentes o flujos de información diferentes a los previstos, lo que puede generar un entorno de operación y negocios más incierto, donde la empresa puede ser objeto de la inevitabilidad de la falla con mayor facilidad, mancillando o deteriorando la relación de confianza digital que viene construyendo con su cliente.

En un ecosistema digital comprender y percibir una brecha de seguridad y control no responde a una lectura lineal y conocida de la realidad, es más bien, comprender la dinámica de un ataque como una cadena de eventos algunos probables y otros posibles, que inician con el compromiso de uno de sus componentes, seguido de la propagación del mismo en medio del tejido digital de sus flujos de información para concretar el acceso, uso no autorizado, deterioro o exposición de activos digitales valiosos para la organización, donde están apalancadas las ventajas competitivas y sus promesas de valor.

Reflexiones finales
Es claro que los métodos tradicionales de evaluación de vulnerabilidades y gestión de riesgos presentan limitaciones frente a la malla de posibilidades que se tiene en la superficie actual de posibles puntos vulnerables en una organización. En consecuencia, en una situación como la actual donde hay un: (Gul & Slipsky, 2020)
  • aumento del flujo de datos privados y públicos en la red,
  • aumento de las descargas locales de información (pública y sensible),
  • aumento de equipos sin parches aplicados,
  • aumento de conversaciones con información propia del negocio fuera de la empresa,
  • aumento de patrones de actividad inusual en las redes,
  • aumento del uso de redes WIFI sin seguridad,
  • aumento del uso de equipos personales (muchas veces sin medidas de seguridad básicas),
  • aumento de los engaños basados en los inciertos de la crisis,
  • aumento de comportamientos inadecuados de las personas,

los esfuerzos ahora se concentran en la detección y reacción frente a posibles eventos adversos que puedan afectar a la organización, para lo cual las inversiones en tecnología de monitorización y análisis de patrones como son los tradicionales SIEM (Security Information and Event Management) y los SOC (Security Operation Center) cobran gran relevencia pues permiten tener indicadores de actividades maliciosas o no autorizadas, para que las empresas actúen bien de forma autónoma o en conjunto con el proveedor del servicio.

Así las cosas, las listas de cumplimiento de controles, las listas de chequeo de seguridad y las validaciones frente a estándares conocidos y probados, no logran dimensionar los nuevos niveles de exigencia que los ciberriesgos les imponen a las organizaciones. La falsa sensación de seguridad que se puede generar al “cumplir con los estándares” se ve contrastada con el poco o bajo entendimiento de los especialistas en temas de seguridad y control del nuevo escenario de ataques, que habilitado por un tejido creciente de conectividad y leído desde las cegueras cognitivas de sus prácticas conocidas, pueden llevar a materialización de sorpresas predecibles (Watkins & Bazerman, 2003).

Por tanto, la gestión de riesgos de seguridad/ciberseguridad debe dar un paso adelante en entornos de alta incertidumbre y complejidad para aprender y desaprender de forma acelerada para dar cuenta con las capacidades, motivos, métodos e intenciones de los adversarios y así tener de forma permanente algunas preguntas en mente, que le permita caminar y seguir los pasos de sus agresores, y así mantener una postura vigilante y proactiva:
  • ¿Conoce con certeza los puntos de integración de sus fuentes de datos, las aplicaciones y servicios? ¿Se hicieron pruebas de mal uso?
  • ¿Sabe usted cuál es su nuevo perímetro de seguridad? ¿Cuenta con el listado de sus terceros y sus niveles de aseguramiento?
  • ¿Qué acciones seguiría si se compromete la integridad de la configuración de un active digital? ¿Ha efectuado simulaciones al respecto?
  • ¿Cómo sabría si luego de contener un ataque, el adversario no sigue ahí?
  • ¿Con qué apoyo externo/interno contarías frente a un ciberataque? ¿Sabe a que autoridad debe reportar el evento y sus impactos?

Referencias
Banga, G. (2020). Why is cybersecurity not a human-scale problema anymore? Communications of ACM. 83(4). 30-34. Doi: 10.1145/3347144
Cano, J. (2017). The AREM Window: A Strategy to Anticipate Risk and Threats to Enterprise Cyber Security. ISACA Journal. 5.
Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 63-73. Doi: 10.29236/sistemas.n151a5
Dupont, B. (2013). Cybersecurity Futures: How Can We Regulate Emergent Risks? Technology Innovation Management Review, 3(7). 6-11. Doi: http://doi.org/10.22215/timreview/700
Funston, F. & Wagner, S. (2010) Surviving and Thriving in Uncertainty. Creating the risk intelligence enterprise. Hoboken, NJ. USA: John Wiley & Son
Gul, S. & Slipsky, M. (2020) The Top 10 Employer Cybersecurity Concerns For Employees Regarding Remote Work. Security Magazine. De: https://www.securitymagazine.com/articles/91999-the-top-10-employer-cybersecurity-concerns-for-employees-regarding-remote-work
IRGC (2018). Guidelines for the Governance of Systemic Risks. Lausanne: International Risk Governance Center (IRGC). De: https://infoscience.epfl.ch/record/257279/files/IRGC%20Guidelines%20for%20the%20Governance%20of%20Systemic%20Risks.pdf
Li T., Horkoff J. (2014). Dealing with Security Requirements for Socio-Technical Systems: A Holistic Approach. In: Jarke M. et al. (eds) Advanced Information Systems Engineering. CAiSE 2014. Lecture Notes in Computer Science, vol 8484. Springer. https://doi.org/10.1007/978-3-319-07881-6_20
Mee, P. & Brandenburg, R. (2020) Digital Convenience Threatens Cybersecurity. Sloan Managemen Review. Abril. De: https://sloanreview.mit.edu/article/digital-convenience-threatens-cybersecurity/
Porter, M. & Heppelmann, J. (2014). How Smart, connected products are transforming  competition. Harvard Business Review. Noviembre. De: https://hbr.org/2014/11/how-smart-connected-products-are-transforming-competition
Sharton, B. (2020) How Organizations Can Ramp Up Their Cybersecurity Efforts Right Now. Harvard Business Review. Mayo. De: https://hbr.org/2020/05/how-organizations-can-ramp-up-their-cybersecurity-efforts-right-now
Wade, M. (2020) Corporate Responsibility in the Digital Era. Sloan Management Review. Abril. De: https://sloanreview.mit.edu/article/corporate-responsibility-in-the-digital-era/
Watkins, M. & Bazerman, M. (2003) Sorpresas predecibles. Los desastres que deberías haber visto venir. Harvard Business Review. Abril.

domingo, 22 de diciembre de 2019

Cocinando la seguridad/inseguridad en las empresas: ¿Quién es quién?

Introducción

La gastronomía como disciplina interdisciplinar, más allá de “la preparación y operación de productos alimenticios” es una apuesta que mezcla tanto ciencia como arte, para lograr comprender e impactar el entorno donde sus productos y acciones se hacen realidad. En este sentido, la gastronomía es un fenómeno sociocultural, que conecta las expectativas de las personas y sus raíces culturales, para crear experiencias que le otorgan identidad a territorios locales, regionales y globales, de tal forma que una preparación deja de ser un proceso eminentemente técnico y procedimental, para transformarse en un significado e imaginario lleno de conocimiento e historia (Reyes, Guerra & Quintero, 2017).

En este sentido, el gastrónomo en su formación a parte de dominar las técnicas propias de los cortes, el tratamiento de los productos, los métodos y técnicas de presentación y decoración, métodos de cocción, planeación de menús, la cocina fusión o la cocina molecular, deben conectarse con la dinámica del entorno y la cultura que los rodea, para reconocer la identidad de su contexto y poder recrear preparaciones relevantes y renovadas para comensales y solicitudes que den cuenta tanto de la visión del profesional de gastronomía como de las sensaciones que se esperan (y las novedosas) que se pueden concretar en esa realidad (Reyes, Guerra & Quintero, 2017).

De otro lado tenemos al Chef, una palabra de origen francesa, que revela a aquella persona hecha en la acción de la cocina. De acuerdo con la literatura, para ser Chef no se estudia, se gana el título con años de experiencia y liderazgo en ese espacio vital donde los alimentos, ingredientes y bebidas se transforman en experiencias concretas para comensales de diferentes paladares y gustos (Alonso, 2019). Un chef es un aprendiz permanente, que se enfrenta a la incertidumbre de la preparación de cada plato, que si bien conoce como se debe lograr, cada vez que lo hace tendrá un sello particular para resolverlo con ingredientes distintos disponibles en su espacio vital: la cocina.

Así las cosas, un gastrónomo, formado en la esencia misma de la visión general y particular de la preparación de los alimentos, que domina las técnicas y adquiere maestría en la gestión de los diferentes momentos del proceso de transformación de ingredientes en una apuesta de un plato; se encuentra con un chef, que en su realidad específica y particular sabe como funcionan los detalles y secretos a la hora de concretar un plato. Estas dos figuras, más que entrar en el engaño de la confrontación o comparación (Vincent & Hitch, 2019), buscan crear espacios de colaboración y sintonía donde el efecto final requerido se haga realidad en la experiencia de un comensal en términos de técnica, presentación y sabor.

Si llevamos estas dos figuras al escenario de la seguridad de la información y la ciberseguridad, donde tanto adversario como analista, deben cocinar un plato para sus comensales (grupos de interés), tendríamos que desarrollar en detalle los aspectos de técnica, presentación y sabor que cada uno debe imprimirle a su preparación para lograr la experiencia requerida en sus públicos objetivos, pensando claramente en las sensaciones que quieren crear a partir de ingredientes, utensilios y recetas innovadoras en ese espacio vital denominado empresa, nación o mundo.

Gastrónomo/Chef
Técnica
(Práctica/Destreza)
Presentación
(Venta/Marketing)
Sabor
(Experiencia/Sensaciones)
(I)ngredientes
(Calidad/Frescura)
(R)eceta
(Creatividad/Precisión)
(U)tensilios
(Funcional/Adecuado)
Tabla 1. Marco conceptual de la cocina. Elaboración propia (basado en Reyes, Guerra & Quintero, 2017)

Cocinando las sensaciones de la seguridad/inseguridad

Cuando hablamos de técnica, hacemos relación a la práctica y destreza del cocinero. Si el cocinero lo vemos desde la perspectiva del analista, este deberá alcanzar práctica y conocimiento profundo de los estándares y marco de trabajo en seguridad y control, como base de la preparación de la sensación de seguridad que quiere lograr. Si el cocinero es ahora el adversario, este buscará aprender, reconocer y replicar los efectos de los ataques conocidos, establecer algunos patrones que se pueden reutilizar, y como un chef, recabar detalles y secretos a la hora de concretar la elaboración de un plato especial que busca crear inestabilidad e incierto.

El estudio de la técnica, tanto para el analista como para el adversario, es un momento que contrasta la formalidad con la experiencia. Dos situaciones que se nutren de conocimiento concreto y del desarrollo de competencias; unos buscando certezas para dar respuestas concretas y otros, abrazando el incierto y la sorpresa de los pasos de otros, para desarrollar una ventana de aprendizaje donde el error no es ocasión de señalamientos o sanciones, sino de posibilidad y reto consigo mismo. Cuando alguno de los dos personajes cae en la tentación de la comparación, entran en el engaño de sí mismos, olvidando la esencia de sus propios servicios y platos.

El tema de la presentación está asociado con la venta y el marketing de sus productos finales. De acuerdo con la literatura tanto la venta como el marketing responden a emociones y sensaciones que se producen en el comprador, para se más exactos en la mente de las personas. Se comenta en la sabiduría popular que la “comida entra por los ojos”, en este caso por la experiencia que se tiene frente a las prioridades organizacionales y sus efectos en las apuestas estratégicas de las empresas (Kaplan, Bailey, O’Halloran, Marcus & Rezek, 2015).

Desde la perspectiva del analista, la presentación de sus preparaciones está asociada con sus indicadores de desempeño y su lectura de las expectativas de sus comensales ejecutivos, quienes muchas veces están atrapados en el imaginario de la seguridad/ciberseguridad “del 100%” o del “cero riesgo”. La presentación o venta de las preparaciones de este cocinero por lo general son estándares, con baja creatividad y mucha técnica. Generalmente los comensales terminan degustando un plato que sabe bien (por lo general) pero que no los transporta o conecta con sensaciones distintas que los enganchen y los motiven.

De otro lado, cuando el cocinero es un adversario, la presentación de sus platos responde a un impacto y visibilidad esperado. Esto es, conocer muy bien el paladar de sus comensales y crear con su propuesta, una experiencia que lo conecte con una realidad distinta, inédita e inestable, que le permita captar su atención y asegurar, que de ahora en adelante tiene un cliente más, conectado con su sazón y los sabores que quiere posicionar en su imaginario. Ya no es un plato más, sino una narrativa de amenazas (Parenty & Domet, 2020) que se encuentra en el paladar de sus clientes.

El estudio de la presentación para estos dos roles contrasta dos mundos. Uno el del seguimiento de pautas reconocidas y esperadas, con el de propuestas alternas, muchas desconocidas y arriesgadas, que pueden ser leídas de forma diversas por los comensales. Mientras el analista reconoce la dinámica y expectativas de los ejecutivos, para lo cual configura estrategias de comunicación conocidas y probadas, con las cuales puede crear un canal de comunicación con este cuerpo directivo; el adversario se concentra en crear situaciones desconocidas, desde patrones conocidos, creando combinaciones que no se han probado, sabiendo que las cosas pueden salir bien o tener efectos inesperados favorables o desfavorables.

El tema del sabor esta relacionado con la experiencia y las sensaciones que se producen en el cliente del plato que se sirve. Cuando se analiza esta variable desde la condición de analista, se habla del programa de seguridad/ciberseguridad que se tiene en la organización. Es decir, de cómo los diferentes comensales perciben y se sienten con el servicio, la sazón y el sello del gastrónomo que lo ha desarrollado. Es una lectura que se construye desde la experiencia práctica de la seguridad en la dinámica de la organización, que sabe a objetivos estratégicos, que tiene ingredientes autóctonos de la cultura empresarial y que usa el lenguaje y realidad cotidiana como utensilios básicos en sus preparaciones.

Desde la postura del adversario, el sabor se concreta en las experiencias de sus platos novedosos, llenos de la emocionalidad del vértigo para concretar una acción, y sus efectos en las empresas, en las naciones o en globo. El sabor del adversario siempre lleva un toque de ingredientes inciertos e inéditos (y algunas veces secretos) que hace de sus apuestas en los comensales, experiencias que pueden sorprender o dejar dudas, de acuerdo con la calidad de sus productos, que en este caso son las vulnerabilidades, fallas o errores, donde hace especial énfasis para lograr la sazón que desea imprimir en su preparación.

El estudio del sabor, tanto en el analista como el adversario, tensiona dos realidades: la lectura de la realidad empresarial y la novedad del reto ante lo inesperado. Cuando el analista le imprime un sello y sabor a la ciberseguridad/seguridad de la información desde la confianza, busca concretar espacios para construir con ingredientes conocidos e reconocidos en la cultura de la organización, no para sorprender ni protagonizar, sino para degustar y posicionar un sabor especial en sus comensales, y desde ahí crear preparaciones distintas y novedosas para sus clientes.

De otro lado, el adversario apuesta por sabores distintos, llenos de magia y sorpresa que exigen romper el status quo de la dinámica empresarial y revelar experiencias y texturas que no se habían visto. Esta postura, puede crear una demanda insaciable de novedad que termina cansando a sus comensales, o una práctica necesaria para salir de lo tradicional y mantener siempre la sorpresa del cliente por nuevos sabores.

A manera de resumen se detalla la siguiente gráfica que condensa las vistas tanto del analista como del adversario, frente a la técnica, la presentación y el sabor.

Tabla No.2 Cocinando la seguridad/inseguridad en las empresas. Elaboración propia

Reflexiones finales

Sea un gastrónomo o un chef, un analista de seguridad/ciberseguridad deberá no sólo atender en detalle las técnicas, la presentación y el sabor de sus preparaciones, sino reconocer el fenómeno sociocultural que representa la experiencia de su labor, para que, en la elaboración de sus platos, se advierta la identidad de cada uno, y de esta manera se reconozcan las expectativas de las personas y sus raíces culturales.

Estas dos figuras, para lograr capturar las expectativas de sus clientes y concretar experiencias memorables, deben nutrirse de ingredientes de primera calidad que permitan aplicar las técnicas necesarias de cocción, las propuestas claves para su presentación y el sazón necesario, enraizado en sus costumbres y lecturas particulares de su entorno, para crear sensaciones que conecten a sus comensales con sus propuestas y productos específicos.

La seguridad/ciberseguridad, al igual que la cocina, es un mundo tanto de técnica como de arte. De técnica asociada con la formalidad de los estándares y el uso de tecnologías particulares de protección, y de arte, por la forma como se presenta y se concreta el sabor en la experiencia de sus comensales.

De esta manera, tanto analista como adversario, que hacen parte de una misma lectura del reto de proteger y anticipar, deberán conectar sus propósitos y objetivos sobre una base cultural equivalente, donde cada cliente tendrá expectativas y condiciones previas, que no podrán ser ignoradas, para resolver todo el tiempo el reto natural de una organización o un estado: ¿cómo generar confianza digital a pesar de que un ciberataque es inevitable?

Referencias
Alonso, E. (2019). ¿Chef o Gastrónomo? Universidad del Claustro de Sor Juana. Recuperado de: https://www.elclaustro.edu.mx/claustronomia/index.php/mundo-foodie/item/307-chef-o-gastronomo
Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. & Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.
Parenty, T. & Domet, J. (2020) A leader’s guide to cybersecurity. Why boards need to lead and how to do it. Boston, MA. USA: Harvard Business Review Press.
Reyes, A., Guerra, E. & Quintero, J. (2017). Educación en gastronomía: su vínculo con la identidad cultural y el turismo. El periplo sustentable, (32), 00009. Recuperado de http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S1870-90362017000100009&lng=es&tlng=es
Vincent, J. & Hitch, J. (2019). Winning not fighting. Great Britain, UK. Penguin Random House.

domingo, 27 de octubre de 2019

El CEO Moderno y el CISO Vigilante: del deber ser al poder ser

Introducción
En un contexto de inestabilidad e incertidumbre permanente, las organizaciones tratan de establecer patrones acción que les permitan encontrar nuevas oportunidades para posicionarse y tomar un lugar privilegiado en su segmento de negocio. Para hacerlo, deben estar atentas a los cambios y tratar de “establecer relaciones en un contexto caótico” (Calvo, 2017). Por tanto, reconocer las amenazas emergentes y posibles eventos inciertos, es un reto constante de las empresas que aspiran generar nuevas experiencias y ventajas competitivas basadas en su apetito de riesgo.

El incremento de la densidad digital revela y define los nuevos patrones de acción de las corporaciones modernas (Sieber & Zamora, 2018). Esto es, configura una serie de condiciones de arquitectura tecnológica que habilitan posibilidades digitales, para luego hacer distinciones novedosas desde las expectativas de los clientes, como un experimento permanente, donde este hace parte de la construcción de aquello que espera tener y utilizar. No es una apuesta segura de condiciones estables, sino una propuesta que explora aspectos antes ignorados por la realidad, donde es claro que no siempre se tendrán los resultados esperados.

Con esta lectura de la realidad, tanto las corporaciones y sus promesas de valor, como los adversarios, plantean los nuevos escenarios que buscan sorprender a sus contrapartes, con el fin de configurar un imaginario que desestabilice su ecuación de riesgos, y de esta forma ganar terreno frente a las expectativas inicialmente planteadas para invertir la carga de prueba hacia el receptor y no en el iniciador (Saydjari, 2018).

Así las cosas, los encargados de la seguridad de la información y sus ejecutivos deberán desarrollar la visión de un líder vigilante (Day & Schoemaker, 2019), que le permita no sólo poder identificar amenazas y riesgos emergentes, sino anticipar los movimientos de sus adversarios, comoquiera que es desde la inestabilidad y las señales débiles del entorno, es desde donde se construyen las tendencias y se identifican las incertidumbres propias de las prácticas de seguridad y control.

En este contexto, los ejecutivos de seguridad y/o ciberseguridad deben desarrollar características claves, que les permitan posicionarse como asesores estratégicos de los presidentes de las empresas (CEO – Chief Executive Officer) (Cano, 2011), de tal forma que las capacidades de defensa y anticipación, se conviertan en los referentes naturales de la estrategia corporativa, que traducida en el lenguaje de los negocios, se presente bajo la distinción de confianza digital.

Retos de los CEO Modernos
La confianza digital como distinción emergente en las relaciones de negocios ahora en ecosistemas tecnológicos, requiere comprender tanto la dinámica de los participantes en las plataformas tecnológicas disponibles, así como las necesidades de los consumidores respecto del uso y tratamiento de sus datos. De esta manera, articular las nuevas experiencias de los clientes, resulta en una apuesta de riesgos compartidos, donde la empresa sabe cómo puede ser afectado sus grupos de interés y cómo la organización debe responder ante posibles eventos que surjan de relaciones emergentes o inciertas que se pueden presentar.

Frente a este nuevo ambiente de cambios acelerados, los CEO enfrentan el desarrollo de un gobierno y gestión corporativo más complejo, donde en la práctica, no es claro como navegar en este mar de inciertos para lograr capitalizar ventajas competitivas y posicionarse en un lugar estratégico, desde donde poder advertir las nuevas disrupciones en los negocios. Por tanto, se hace necesario alejarse de la orilla de las estrategias conocidas, para romper con las certezas y habilitar la organización para aprender ágilmente.

En este sentido, los CEO modernos enfrentan cuatro (4) retos fundamentales, los cuales ponen a prueba las habilidades y capacidades de los ejecutivos para estimular el debate, descubrir señales débiles en el entorno y pensar de manera abierta e inclusiva. Los retos son: (De Yonge, 2019; Bryant, 2019)
  • Transformación digital: crear y anticipar nuevas experiencias en los clientes.
    • Plataformas digitales
    • Ecosistemas digitales
  • Confianza digital: construir una relación basada en sinceridad, simetría y reciprocidad.
    • Ciberseguridad
    • Privacidad
  • Aprendizaje ágil: Habilitar cualidades y atributos en las personas para ganara flexibilidad, crecer a partir de los errores y así enfrentar una amplia gama de desafíos (Flaum & Winkler, 2015).
    • Quebrar silos
    • Experimentación
  • Apetito al riesgo: Comprender que riesgos está dispuesto a tomar y cuáles no.
    • Cumplimiento
    • Resiliencia

Estos cuatro retos revelan una necesidad de contar con una visión clara y pensamiento flexible para no apegarse a lo que funciona, ni desechar aquello que ha resultado valioso para la organización. Encontrar este punto medio, con un blanco en movimiento, implica danzar con la inestabilidad y sentirse cómodo con los inciertos, para descubrir caminos inéditos que configuren las experiencias novedosas para sus clientes.

El CISO Vigilante
Si a lo anterior, le sumamos que los adversarios digitales reconocen el mismo escenario, con retos semejantes para concretar sus acciones para retar (o desacreditar) el ordenamiento legal vigente, estamos en una dimensión de conocimiento y reto complementaria que las organizaciones por lo general tratarán de atender, siguiendo las recetas conocidas y proporcionadas por los estándares y buenas prácticas.

Mientras las empresas están escolarizadas, esto es, parafraseando al profesor Calvo (2017), se mueven en el ámbito del deber ser; los atacantes, más abiertos a los inciertos, navegan en el escenario del poder ser. “El deber ser impera obligando a hacer lo que dice la norma”, en cambio en el “poder ser, todo el proceso queda abierto a lo emergente, a lo que podría ocurrir si pasara tal o cual situación o tal vez no ocurre de ningún modo o de uno inesperado” (Calvo, 2017, p.51).

Lo anterior, conlleva la reflexión que moviliza tanto a las empresas como a los adversarios: el riesgo. Mientras más certezas, aparentemente menos riesgos, y a mayor incertidumbre necesariamente más riesgo. Establecer el lado de la distinción que se quiere llevar, funda la postura que se requiere para dar cuenta de la situación a la que se enfrenta y las implicaciones a futuro de las decisiones que se tomen al respecto.

Si bien no existen fórmulas establecidas para saber qué tanto arriesgar y cuanta prudencia se debe tener, si se disponen de estrategias que permiten abordar la realidad para aprender y desaprender, no con la velocidad que se quisiera, pero si con el espacio requerido para concretarlo. Dos conceptos pueden ser de utilidad en este sentido: los errores deliberados (Schoemaker, 2011) y el análisis de escenarios (Chermack, 2011), técnicas claves que habilitan para fallar anticipadamente y por ende, aprender y tratar de sorprenderse antes que las cosas ocurran.

Llegados a este punto, la pregunta es ¿qué tipo de CISO (Chief Information Security Officer) requieren los CEO modernos para navegar y sobrevivir en un contexto digital donde la única constante es la inevitabilidad de la falla?

Para tratar de dar respuesta a este interrogante, es importante comprender que no es lo mismo digitalización, que ser digital. Mientras la digitalización habla de las herramientas tecnológicas utilizadas para mejorar la eficiencia de la operación y habilitar la flexibilidad para responder a los retos e inestabilidades; “ser digital” es habilitar un diseño holístico de personas, procesos y tecnología para definir una propuesta de valor posibilitada por las capacidades de las tecnologías digitales disponibles (Ross, Beath, & Mocker, 2019).

Si lo anterior es correcto, el CISO debe mantener una postura vigilante y de anticipación, que recomiende y asesore la estrategia corporativa desde la custodia de la promesa de valor, dado que la organización hará apuestas de productos y servicios novedosos, donde su apetito al riesgo será probado, y las implicaciones de sus resultados (positivos o negativos) debe atender, de cara a la confianza digital que demandan sus diferentes grupos de interés.

En este sentido, el ejecutivo de seguridad/ciberseguridad tendrá que hacerse preguntas estratégicas en dos sentidos: de afuera hacia dentro de la organización, así como de dentro hacia fuera de la empresa, para mantener una vista, que no solamente advierta algunas señales débiles del entorno, sino una comprensión de qué significan (lo que demanda conectar los puntos identificados) y cómo actuar de manera prudente en un contexto amplio y concreto para la organización (Day & Schoemaker, 2019).

Las reflexiones desde el exterior al interior son:
  • ¿Cómo han venido evolucionando las técnicas y tácticas de los adversarios?
  • ¿Qué adversarios están anticipando y usando estás nuevas técnicas y tácticas?
  • ¿Qué nuevos ataques pueden afectar a la organización?

Las reflexiones desde el interior hacia el exterior son:
  • ¿Cómo podemos mejorar y aumentar la identificación de nuevos patrones de amenazas?
  • ¿Qué más podemos hacer con nuestras capacidades actuales?
  • ¿En qué somos buenos actualmente?

Las respuestas a las primeras tres preguntas, establecen las nuevas capacidades requeridas para dar cuenta con los riesgos que la organización debe tomar para hacer realidad su estrategia digital y crear los escenarios necesarios para movilizar nuevas apuestas de valor en un escenario digitalmente modificado. 

Las respuestas a los siguientes tres interrogantes, definen el nivel de madurez de la organización para enfrentar los inciertos de la inseguridad de la información, y cómo las tecnologías emergentes pueden potenciar aquellas capacidades existentes para defender y anticipar los movimientos de los posibles adversarios.

Reflexiones finales
Los temores naturales para darle vida a una estrategia digital, las nuevas apuestas disruptivas que puedan generarse en su sector de negocio y las amenazas emergentes que pueden surgir de un mayor acoplamiento de las plataformas digitales y las necesidades de los clientes, deben ser los insumos básicos del ejecutivo de seguridad/ciberseguridad para tomar riesgos inteligentes con su CEO. Esto es, definir un umbral reforzado de tolerancia a la falla, que visto desde los impactos estratégicos, las afectaciones tácticas, las lecciones aprendidas y los grupos de interés que se pueden ver afectados, refine el camino incierto que la organización ha decidido tomar.

La incertidumbre no es un juego de azar que aparece y desaparece sin razón aparente, es una tendencia propia del entorno que se manifiesta, en palabras de Charan (2015), como rarezas, inconsistencias y contradicciones, las cuales deben ser identificadas y leídas, como insumo para avanzar y proponer alternativas que hagan del “incierto”, una oportunidad para crear incentivos y motivaciones, que quiebren el status quo y revelen aquello que no era posible ver previamente.

Así las cosas, el CISO que requieren los CEO modernos necesita entender la turbulencia digital y cómo se movilizan los adversarios allí, para anticipar y defender la organización. Por lo tanto, deberán aprender del pasado, interrogar el presente y anticipar futuro como las premisas bases de sus aportes y recomendaciones para explorar y conocer mejor las prácticas y normas de los adversarios, cambiando su ecuación de riesgos, es decir, “vulnerar la distancia que exista entre el funcionamiento del sistema y sus usos no intencionados” (Snowden, 2019, p.79) para aprovechar sus posibles errores, y así crear consecuencias inesperadas para ellos.

Referencias
Bryant, A. (2019). How to think like a CEO. Strategy+Business. Recuperado de: https://www.strategy-business.com/blog/How-to-think-like-a-CEO
Calvo, C. (2017). ingenuos, ignorantes, inocentes. De la educación informal a la escuela autoorganizada. La Serena, Chile: Editorial Universidad de la Serena
Cano, J. (2011). La Gerencia de la Seguridad de la Información: Evolución y Retos Emergentes. ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx
Charan, R. (2015). The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.
Chermack, T. (2011). Scenario planning in organizations. San Francisco, USA: Berrett Koehler.
Day, G. & Schoemaker, P. (2019). See sooner act faster. How vigilant leaders thrive in an era of digital turbulence. Cambridge, MA. USA: MIT Press.
De Yonge, J. (2019) Has your C-suite changed to reflect the changing times? EYQ. Recuperado de: https://www.ey.com/en_gl/growth/has-your-c-suite-changed-to-reflect-the-changing-times
Flaum, J. P. & Winkler, B. (2015). Improve Your Ability to Learn. Harvard Business Review. Recuperado de: https://hbr.org/2015/06/improve-your-ability-to-learn
Ross, J., Beath, C. & Mocker, M. (2019). Designed for digital. How to architect your business for sustained success. Cambridge, MA. USA: MIT Press.
Saydjari, O. (2018). Engineering trustworthy systems: get cybersecurity design right the first time. New York, USA.: McGraw Hill
Schoemaker, P. (2011). Brilliant mistakes. Philadelphia, USA: Whartonn Digital Press.
Sieber, S. & Zamora, J. (2018). The Cybersecurity Challenge in a High Digital Density World. European Business Review. November. Recuperado de: https://www.europeanbusinessreview.com/the-cybersecurity-challenge-in-a-high-digital-density-world/
Snowden, E. (2019). Vigilancia permanente. Bogotá, Colombia: Editorial Planeta.

lunes, 16 de septiembre de 2019

Pronósticos de seguridad/ciberseguridad 2020


Introducción
En un contexto digital asistido por la desintermediación, la distribución, la desinformación, la deslocalización y la desinstalación, los flujos de información y las plataformas tecnológicas operadas por terceros adquieren un mayor relevancia y atención, no sólo por los ejecutivos de las empresas, sino por los adversarios. Este nuevo escenario de negocios, que no es responsabilidad exclusiva del área de TI, establece nuevas relaciones y retos para crear experiencias novedosas en los clientes y abrir posibilidades inexistentes para las empresas.

Lo anterior exige crear un “retorno de la experiencia”, es decir, un nuevo ROI (Retorno de la inversión) que consiste en mapear el viaje de compra de los clientes, aislar los puntos de contacto y los factores que impulsan la experiencia (Maxwell, 2019), de tal manera que se puedan crear patrones y condiciones particulares para todos los participantes, con lo cual la experiencia de compra sea conveniente, ágil y de valor para el comprador.

Este entorno donde se ha superado el uso de los navegadores, por el uso de aplicaciones móviles (de ahora en adelante apps), establece un escenario digitalmente denso donde la conectividad, los flujos de información, los datos personales y las personalizaciones hacen ahora parte de la cotidianidad del mundo actual. Sin perjuicio de que algunos estén o no de acuerdo con esa nueva realidad, es claro que habrá una mayor exposición de las características de las personas y sus gustos, así como el uso de algoritmos especializados para mantener la atención y potencial de compra activado en cada uno de los ciudadanos de internet.

Esta dependencia en aumento de los terceros de confianza, la necesidad de agilidad en el despliegue de soluciones, el uso de la inteligencia artificial para afinar las decisiones, la confiabilidad de la información y el ingreso de la tecnología 5G como habilitador de la futuras ciudades digitales, configura un entorno rico en propuestas de negocios y nuevos vectores de ataques que serán diseñados, para lograr sus objetivos, basados en la economía del adversario, donde se hacen los mínimos esfuerzos para obtener el máximo beneficio.

De esta manera, se presenta a continuación este documento con algunos pronósticos de seguridad/ciberseguridad para el año 2020, como una excusa académica y reflexión práctica, posiblemente incompleta y limitada, que trata de explorar y conectar ciertos puntos inconexos en el espacio actual de posibilidades, con el fin de motivar reflexiones tanto en los profesionales de seguridad/ciberseguridad, así como en los ejecutivos de las empresas para visualizar escenarios adversos donde un agresor puede tomar ventaja y así estar preparados para cambiar su ecuación de riesgos.

A continuación se presentan las cinco (5) tendencias o pronósticos identificados para un contexto digital e hiperconectado donde más que probabilidades, se debe pensar en posibilidades.

1. Criptominería en IoT
La criptominería es una actividad que se ha venido consolidando desde hace algunos años como una forma de construir base monetaria, algunas veces de manera no autorizada o por debajo de los radares de los reguladores financieros. Para ello la capacidad de cómputo es un elemento fundamental, dado que la generación de criptomoneda demanda dicha capacidad para resolver los retos matemáticos que implica su producción.

Los mineros suelen crearse equipos de minería consistentes en múltiples tarjetas gráficas unidas a una misma placa base mediante extensores PCIe, y los fabricantes de placas base han estado aprovechando el boom de Ethereum para sacar modelos específicos para equipos de minería” (Baños, s.f.). Sin perjuicio de lo anterior, los mineros cada vez más diversifican su capacidades de procesamiento, con el fin de contar con mayores recursos en su reto por alcanzar nuevos registros de criptomonedas.

En este contexto, con una alta densidad digital cada vez más evidente y mayor conectividad de objetivos físicos con características inteligentes, se advierte una acción proclive de los mineros sobre dispositivos de internet de las cosas, que si bien son pequeños y con limitadas capacidades, es viable construir un grid de computación amplio y denso de tal forma que se puedan tener “granjas de minería” en segundo plano trabajando en la generación de criptomonedas nuevas o más maduras, como apoyo a otras estrategias ya consolidadas con servidores y equipos de computación caseros capturados mediante engaños a muchas personas.

Este nueva propuesta criptominera tiene la ventaja de poder utilizar capacidad de procesamiento posiblemente imperceptible para los dueños de los dispositivos, habida cuenta que no se cuenta con una práctica regular de medición y seguimiento de las capacidades de estos dispositivos de internet de la cosas, creando un escenario propicio para “robar” procesamiento de bajo perfil de forma no autorizada.

2. Engaños basados en terceros de confianza (Cadena de suministro y actualizaciones de firmware)
Con la transformación digital como fundamento de la propuesta de valor de muchas organizaciones a nivel global, los terceros de confianza se convierten en los aliados estratégicos de muchas de ellas, como base de la configuración y despliegue de soluciones y propuestas innovadoras para sorprender a sus clientes. En este ejercicio, tanto las empresas como los terceros despliegan productos y servicios digitalmente modificados, que por lo general se basan en los fundamentos de las metodologías ágiles, para lograr el efecto deseado de forma efectiva y en tiempos de mercado.

En este contexto, las empresas delegan y confían en sus terceros muchos de los aspectos de seguridad y control, dejando una brecha de monitorización y verificación en el proceso, comoquiera que éstos pueden o no estar certificados y/o cuenten con reportes internacionales que validan sus buenas prácticas al interior de sus procesos y productos. No obstante lo anterior, los adversarios sabiendo que la aplicación de los estándares y buenas prácticas pueden generar cegueras cognitivas y crear una zona de confort para estos actores, configuran nuevos vectores de ataque que cambian la ecuación de riesgos de la empresa y sus aliados estratégicos aumentando la probabilidad de un incidentes no identificado.

Dichos incidentes, generalmente basados en la confianza y reconocimiento mutuo de los implicados, crea engaños que pueden pasar por actualizaciones de microcódigo en sistemas de control industrial, descarga de aplicaciones actualizadas o ajustes en configuraciones en puntos críticos de conexión entre la infraestructura del tercero y la empresa, de tal forma, que bajo la apariencia de comunicaciones y conexiones confiables (Darkreading, 2019), es posibles crear un evento no deseado que surge por la falta de ejercicios de novedad o inestabilidad, que permita mantener atenta a las partes sobre nuevas tensiones que se crean los posibles adversarios.

Si bien esta tendencia no es nueva, si es consistente con los eventos que se han venido presentando a lo largo del año y que si no se cambian las prácticas vigentes, continuará desarrollándose y avanzando en los procesos cada vez más automatizados y menos monitoreados, particularmente en sectores como el industrial y manufactura, el de la salud y posiblemente el de tecnología dado el incremento de empresas emergentes que buscan desarrollar ecosistemas digitales con aplicaciones y productos de apropiación rápida y expansión viral.

3. Uso adversarial de la inteligencia artificial
La inteligencia artificial como fenómeno tecnológico que ha salido de los laboratorios para convertirse en un producto comercial, da cuenta de una realidad de transformación acelerada de cambios y actividades que antes tomaban tiempo para realizarse. Este ejercicio de automatización e inteligencia basada en el poder de los algoritmos que aprenden tanto de manera supervisada como no supervisada, establece una nueva frontera para crear apuestas particulares en diferentes campos y dominios de la ciencia.

El uso positivo de los capacidades de la inteligencia artificial pasa por diagnósticos médicos, sistemas de detección de intrusos avanzadas, propuestas de pronósticos de eventos en sistemas financieros, entre otras aplicaciones. No se escapan los teléfonos inteligentes, ahora con asistentes basados en este tipo de inteligencia, que atienden las dinámicas de las personas, programan citas y recuerdan aspectos propios de la vida personal y profesional. Los algoritmos de inteligencia artificial están en medio de la dinámica de la sociedad actual, los cuales bien utilizados, se convierten en poderosas herramientas para avanzar y correlacionar eventos de formas novedosas.

Cuando el atacante hace uso de esta misma tecnología y la usa para adelantar sus acciones contrarias, estamos en un campo donde el incierto, el engaño y la premeditación se hacen presentes. Es un ejercicio donde el atacante puede crear contexto de distracción y acciones evasivas que pueden engañar las prácticas actuales de los sistemas más avanzados de detección y análisis. Esto supone aspectos como malware construido para autogenerarse y reconfigurarse, código inteligente que se reescribe a sí mismo en entornos controlados, engaños a otros algoritmos de detección, guerras de información asimétrica, manipulación de tendencias y mercados, entre otras acciones que revelan un campo inestable donde no tenemos reglas concretas para jugar o desafiar (Li, Zhao, Cai, Yu & Leung, 2018).

Avanzar frente a esta nueva amenaza implica desarrollar el concepto de contrainteligencia cognitiva, que adaptando la definición de Jiménez (2019) sobre contrainteligencia, definimos podemos definir como “el conjunto de actividades que tiene como finalidad localizar, identificar y monitorizar, para neutralizar y, en su caso, contrarrestrar y reportar, las actividades no autorizadas de los algoritmos de aprendizaje automático, es decir, aquellas que rompen con las reglas inicialmente establecidas y materializan los riesgos inherentes al desarrollo y puesta en operación de los algoritmos de inteligencia artificial".

4. Compromiso de la integridad de la información
De las características de la información que hoy está más expuesta es la integridad. La confidencialidad y la disponibilidad, si bien igualmente son relevantes, se hace evidente en la actualidad revisar dos atributos más propuestos por Parker (1998) como son la utilidad y la posesión, los cuales son convergentes con la esencia de la integridad. Bajo esta perspectiva, una información es íntegra si en todo su ciclo de vida no ha sido alterada o deteriorada, y si fuese el caso, se tiene registro y trazabilidad de dicha condición.

La utilidad definida como el “uso de la información para un propósito” y la posesión como “la tenencia o titularidad, el control y la capacidad de utilizar la información” (Parker, 1998, p.240) se vuelven relevantes a la hora de comprender las tendencias actuales donde la manipulación de la información se convierte en un arma estratégica para posicionar un producto o servicios,  o un vector de ataque que busca confundir, crear un engaño o facilitar el posicionamiento de intereses de actores con intenciones poco confiables.

Cuando se entiende la degradación o deterioro de la información como estrategia para limitar su utilidad y habilitar usos distintos a los inicialmente establecidos, así como motivar un cambio de titularidad de la misma a un tercero mediante engaños o suplantaciones, con el fin de adelantar acciones no autorizadas a nombre de un intruso, es posible advertir tendencias que afectan la identidad, la veracidad y el control de los imaginarios de las personas en un contexto particular. Cambiar la esencia de la información con fines no conocidos es un realidad que exige más que controles de acceso para poder protegerla y asegurarla.

Parker (1998) de forma visionaria estableció que revelar información sobre un propietario de forma inadvertida, en medios abiertos o sin controles, establece un campo de acción para un adversario donde cualquier uso o utilidad se puede concretar, creando un escenario de negligencia y gestión que se devuelve a su dueño. En consecuencia, perder posesión de la información, no es sólo el acceso a la misma, sino en brindarla a terceros de forma no intencional o inadevertida con la cual se crea conocimiento o se construye nuevas versiones de la misma que están más allá de los propósitos iniciales y legítimos que se tenían.

Enfrentar este desafío, implica pasar del control de acceso al control de uso, donde se hace necesario desarrollos los atributos de posesión y utilidad propuestos hace más de dos décadas, con el fin de fortalecer no solamente la integridad, sino la confidencialidad y la disponibilidad ahora con un propósito y fines superiores y sensibles cuando puede ser utilizada y controlada fuera de un espacio de comprensión y conocimiento autorizado.

5. Redes 5G: hiperconectados y ultravulnerables
El advenimiento de las ciudades inteligentes, la conexión masiva de objetos físicos y la necesidad de pobladores hiperconectados, configura un escenario de alto flujo de información, de infraestructuras basadas en terceros y agilidad en la transmisión de los datos con el fin de concretar la visión de una realidad aumentada, informada y en tiempo real para los moradores de esas ciudades. Por tanto, la aparición de las redes 5G es la respuesta tecnológica que se requiere para cumplir con la promesa de ese entorno hiperconectado, con baja latencia de interacción entre los móviles, la nube y los objetos, y sobremanera, de agilidad y eficiencia en los servicios dispuestos en estas ciudades.

La redes 5G se configuran como la pieza clave del rompecabezas para potenciar servicios y productos en diferentes industrias para potenciar las capacidades y oportunidades de las personas para acceder a espacios de interacción inexistentes con vehículos autónomos, cirugías asistidas por brazos mecánicos a distancia, sistemas industriales robotizados, sistemas de emergencias conectados y masivos, entre otras actividades. De esta forma, estas nuevas redes potenciarán el desarrollo de una economía digital, donde los bienes intangibles y el internet de las cosas serán parte natural de esta nueva dinámica.

A la fecha cinco son las empresas que están a la vanguardia de esta nueva tecnología: Nokia, Ericsson, Samsung, Huawei y ZTE, la dos últimas representan intereses chinos, con lo cual se crean tensiones geopolíticas, donde “la posibilidad de que los fabricantes chinos introduzcan en sus productos dispositivos que permitan el envío de información de forma encubierta o que, sencillamente, puedan escapar al control del operador de esos equipos poniendo en peligro la seguridad, integridad o confidencialidad de los sistemas” (Moret, 2019) de las empresas y las naciones.

Considerando que la infraestructura de las redes 5G configura un ecosistema de ecosistemas, dado que se virtualizan las infraestructuras de redes y se transforman en software de gestión y transmisión, que disminuyen la latencia, reducen un 90% el consumo de energía de la red, ofrecen un tasa de datos de hasta 10Gbs (Gemalto, 2019), entre otras características, se funda un escenario emergente de amenazas dado las limitadas opciones de seguridad y control consideradas en el diseño y desarrollo de esta tecnología.

Un reciente estudio del Instituto Brookings (Wheeler & Simpson, 2019) establece cinco razones por las cuales las redes 5G serán más vulnerables a ciberataques que sus predecesoras. Las razones son:
  • La red se ha alejado de la conmutación centralizada basada en hardware y ha pasado a un enrutamiento digital distribuido y definido por software.
  • Virtualización en software de funciones de red de alto nivel que anteriormente realizaban los dispositivos físicos.
  • Gestión de la red basada en software.
  • Expansión del ancho banda de forma dinámica.
  • Conexión de miles de millones de dispositivos IoT.

Dado este entorno de software sobre una red distribuida, proclive a los ataques, las organizaciones y naciones deben tomar sus precauciones y acciones concretas para avanzar en una estrategia de protección proactiva en el despliegue de los sistemas socio-técnicos sobre este nuevo ecosistema: infraestructura, aplicaciones y servicios. Surge un deber cibernético de cuidado de todos lo participantes para compartir y asegurar la dinámica de este entorno que aún está por conocerse y descubrirse.

Reflexiones finales
Entender estas cinco tendencias revisadas previamente es reconocer que es necesario superar el enfoque de control y cumplimiento vigente en las empresas, para movilizar a las organizaciones y naciones hacia estrategias accionables que las configuren como corporaciones y naciones resilientes, donde se privilegian las relaciones con el entorno y la generación de valor para sus clientes y ciudadanos (Deloitte, 2018).

La nueva generación de disrupciones tecnológicas creará nuevos entornos desafiantes para los cuales no se puede estar preparados. Por tanto, es clave que las naciones y empresas emprendan con frecuencia un viaje al futuro desde las simulaciones y la experimentación, con el fin de exponer las inestabilidades e inciertos que se pueden presentar con el fin de encontrar patrones y tendencias sobre las cuales poder trabajar de forma previa y aprender de ellas.

Los cinco pronósticos detallados en este breve reporte son una reflexión limitada de un entorno cada vez más volátil e inestable, que busca comprender posibles vectores de ataques y contextos en los cuales los adversarios pueden tomar ventaja para incrementar la incertidumbre en las variables de gestión de riesgo de los analistas organizacionales.

En consecuencia, la invitación es a construir y actualizar de forma permanente el mapa de amenazas digitales del entorno actual, sobre un territorio que cambia de forma dinámica y muchas veces rizomática creando zonas grises y ocultas, propias de las cegueras cognitivas, para tensionar y desconectar aquello conocido y así, intentar descubrir los patrones y retos de los adversarios.

Referencias
Baños, D. (s.f.). ¿Qué es la criptominería? Revista Muy Interesante. Recuperado de: https://www.muyinteresante.es/tecnologia/articulo/que-es-la-criptomineria
Darkreading (2019). Firmware Vulnerabilities Show Supply Chain Risks. Darkreading. Recuperado de: https://www.darkreading.com/vulnerabilities---threats/firmware-vulnerabilities-show-supply-chain-risks/d/d-id/1335313
Deloitte (2018) Auditing the risks of disruptive technologies. Internal Audit in the age of digitalization. Report. Recuperado de: https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-rfa-auditing-the-risks-of-disruptive-technologies.pdf
Gemalto (2019). Red 5G – Características y usos de esta tecnología. Recuperado de: https://www.gemalto.com/latam/telecom/inspiracion/5g
Jiménez, F. (2019). Manual de inteligencia y contrainteligencia. Sevilla, España. CISDE
Li, P., Zhao, W., Cai, W., Yu, S. & Leung, V. (2018). A Survey on Security Threats and Defensive Techniques of Machine Learning: A Data Driven View. IEEE Access. 6, 12103-12117. Doi: 10.1109/ACCESS.2018.2805680
Maxwell, J. (2019). ROX is the new ROI: Prioritizing customer experience. Strategy+Business. Recuperado de: https://www.strategy-business.com/blog/ROX-Is-the-New-ROI-Prioritizing-Customer-Experience
Moret, V. (2019). El despliegue de las redes 5G, o la geopolítica digital. Real Instituto Elcano. Recuperado de: http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari31-2019-moret-despliegue-de-redes-5g-geopolitica-digital
Parker, D. (1998). Fighting computer crime: a new framework for protecting information. New York, USA: John Wiley & Sons.
Wheeler, T. & Simpson, D. (2019). Why 5G requires new approaches to cybersecurity. Racing to protect the most important network of the 21st century. Report. Brookings Institute. Recuperado de: https://www.brookings.edu/research/why-5g-requires-new-approaches-to-cybersecurity/