Introducción
Considerando las reflexiones
de los analistas de Gartner (HOWARD, PLUMMER, GENOVESE, MANN, WILLIS y MITCHELL
2012) la información, la computación móvil, la computación en la nube y las
redes sociales, establecen el nuevo ecosistema tecnológico y empresarial que
motiva y establece las nuevas estrategias para cautivar al cliente y posicionar
la organización en el contexto de una realidad abierta y digital.
En este contexto, la
información es el insumo fundamental para crear una experiencia social
aumentada, muchas veces sobrecargada y siempre movimiento. Las plataformas
móviles establecen la plataforma efectiva para la interacción y promover nuevas
formas de trabajar. Las redes sociales enlazan expectativas, oportunidades e
interacciones entre las personas de formas inesperadas, repensando la manera
como percibimos al otro y finalmente la computación en la nube, facilita la
entrega de la información y la funcionalidad requerida por las personas y los
sistemas de información.
Habida cuenta de lo anterior,
la forma como se crea riqueza y genera valor cambia dramáticamente, pues lo que
antes se concebía desde un trabajo eminentemente físico, se transforma en una
experiencia y paisaje digital que, demanda una nueva forma de entender el mundo, no
desde los productos y servicios tradicionales, sino desde el estilo personal y
particular de cada individuo, donde sus preferencias e identidad se materializa
en cada interacción con la realidad expuesta en la red.
Esto significa que cada vez
más se advierte una mayor exposición de la realidad empresarial e individual a
través de los medios digitales, aumentando el conocimiento detallado de cada
uno de ellos, el cual puede y será explotado por parte de los terceros
interesados, algunos con buenas intenciones, otros no. Así las cosas, la
pérdida acelerada de la privacidad, de los dominios de control empresarial y la
demanda de mayor transparencia y participación ciudadana, establecen un reto
corporativo que exige una vista sistémica de la gerencia para navegar en medio
de un entorno dinámico, asimétrico e inestable.
En consecuencia, lo que
inicialmente conocíamos de la realidad de los riesgos empresariales, se desdibuja
rápidamente, dejando de un lado las certezas en las que creemos, para darle
paso a la incertidumbre, como el nuevo insumo de las estrategias corporativas,
donde se introduce la “idea peligrosa” de la “antifragilidad” (TALEB 2013) como
ese proceso de entender y alimentarse de la aleatoriedad, el azar, los errores
y las fallas como forma de fortalecer su posición en el entorno de negocios y
sobrevivir aún las amenazas se materialicen en el ejercicio y aplicación de su
modelo de generación de valor.
Esto es, consultar los
estudios de entorno disponibles, las tendencias que se identifican en los
mercados emergentes, pero como anota TALEB (2013, pág.217) de Steve Jobs, “no
fiarse de los estudios de mercado ni de los grupos de sondeo y dejarse guiar
por su imaginación”, buscando navegar en los eventos inesperados, con el fin de
“domesticar” la incertidumbre, lo que se traduce en: “reducir los riesgos perjudiciales
y mantener el beneficio de las posibles ganancias” (Idem, pág. 214)
Por tanto, el futuro de los
encargados de la seguridad de la información, o mejor de la inseguridad de la
información, estará en aprender tanto como puedan de la fallas y/o
vulnerabilidades conocidas, para que en el ejercicio de establecer el modelo de
protección de información empresarial, encuentre nuevas formas de comprender las
ventajas de los riesgos inherentes y emergentes (CANO 2013) de las propuestas
de aseguramiento en las personas, los procesos y la tecnología.
Lo antifrágil en las personas
Si bien la exigencia actual
para los Chief Information Officers
(CIO) en el mundo, es como mínimo, proveer y mantener servicios excelentes de
información, tecnología y comunicaciones a precios competitivos (WEILL y
WOERNER 2013), no así es la exigencia para los Chief Business Information Security Officers (CBISO). (CANO 2012)
La responsabilidad y demanda
de los niveles ejecutivos para el oficial de seguridad de la información no es
consistente con el mundo que debe conocer y anticipar. Mientras la alta
gerencia quiere un ambiente tranquilo y controlado frente a las amenazas del entorno
empresarial, la realidad para el ejecutivo de la seguridad de la información le
enseña que sólo la inestabilidad y lo imprevisto es lo que manda en el ejercicio
de su labor.
En este sentido, las personas
y sus actividades, sus percepciones y motivaciones establecen la realidad de
los modelos de protección de la información. Por tanto, cuando se trata de
establecer niveles de aseguramiento de prácticas de resistencia a los ataques,
sólo es viable comprender con claridad las mismas, cuando los eventos adversos
se han materializado, es decir, cuando la inseguridad de la información, nos
enseña y advierte que aún tenemos mucho que aprender.
Cuanto más dolor se sienta
por una pérdida y/o fuga de la información, mayor será el dilema de control que
enfrente la organización. Esto es, querrá conocer los detalles del flujo de
información técnica que tienen los mecanismos de seguridad informática, su
nivel de aseguramiento y efectividad para detener futuros ataques. Sin embargo,
esta preocupación durará poco, pues al “delegar la protección” en la vista de
la tecnología, nuevamente se expone a situaciones que pudiesen ser peores a las
que ya han ocurrido.
Como quiera que tendemos a “relajarnos”
y al “confort” cuando no somos estresados por condiciones ambientales adversas, nuestra
capacidad de acción frente a situaciones críticas, se reduce y no podemos
capitalizar la disrupción, como fuente de “desaprendizajes” para hacer más
resistente nuestra estrategia de anticipación a los riesgos emergentes.
Así las cosas, en el ser
humano se hacen realidad todas las razones y sinrazones de la protección de la
información. Podemos desarrollar la capacidad para asegurar sus
comportamientos, pero no asegurar su compromiso para efectuar dicho ejercicio.
En consecuencia, se hace necesario comprender de manera personal la severidad
de una falla seguridad de la información, no como forma de motivar su compromiso,
sino como una estrategia para promover el sentido de alerta permanente, que
incentive sus acciones preventivas sabiendo que la inevitabilidad de la falla
siempre está presente en todas sus actividades.
Esto significa que el riesgo
residual que aceptamos, nos habla del nivel de exposición que podemos tener
frente a una falla, es decir, las actuaciones que podemos tener frente a la
materialización de la inseguridad de la información. A mayor aceptación de
riesgo residual, menor valoración de futuros incidentes e impactos de ante las
fallas, lo que necesariamente nos dice que a menor aceptación de este riesgo,
mayor sensibilidad a los incidentes e impactos de los mismos.
En consecuencia, hacer
resistente a los incidentes de seguridad de la información a las personas,
implica mantener un “mínimo de paranoia debidamente administrada”, es decir,
que no tenga “ansiedad por el futuro y las vulnerabilidades emergentes”, y que
igualmente no “subestime las condiciones actuales de su operación”.
Lo antifrágil en los procesos
Cada vez más los procesos
empresariales cruzan las fronteras físicas de las organizaciones. Empiezan en
las oficinas reales de la empresa y terminan en comunicaciones digitales, en
servidores distantes, que generalmente no sabemos dónde se ubican o bajo qué
condiciones operan, claro está, muchas veces confiando en las prácticas de
quien las opera y administra.
En este contexto, la
incertidumbre es la forma natural en la que las organizaciones trabajan con sus
terceros, confiando en la promesa de valor de sus socios estratégicos y
aprendiendo a crear prácticas, que a diferencia de los que sugiere la sabiduría
convencional, no busquen la serenidad y predictibilidad de la operación, sino
la preparación permanente y constante para enfrentar la materialización de
riesgos conocidos y desconocidos.
En la medida que los procesos
de las empresas, aprenden sobre la inestabilidad del entorno donde operan, son
capaces de reconocer las trazas de la inseguridad de la información, para
disminuir las consecuencias de la materialización de eventos contrarios y
aumentar su resistencia para entender y confrontar eventualidades mayores. Esto
no hace referencia a la característica de resiliencia, sino a la forma como el
proceso se preparar para comprender e interiorizar la falla, para rediseñar su
propia dinámica interna y aumentar su capacidad de respuesta ante lo
inesperado.
El valor de la información
como un activo y la alta interconectividad de las empresas a través de los
móviles, las redes sociales y la computación en la nube, genera un escenario
potencial de falla que se hace necesario analizar y entender, no para inhibir
las potencialidades de la empresa, sino para capitalizar las oportunidades que
esta realidad le propone, disminuyendo los impactos de la materialización de la
inevitabilidad de la falla.
Así las cosas, la información
en los procesos actuales de las empresas deberá pagar una cuota de sacrificio o
dicho en términos de riesgos, contar con una tolerancia conocida a la falla,
que implica reconocer en cada interacción la posibilidad del error y la revelación de vulnerabilidades. Esto es, en la medida
que podamos hacer fallar el proceso, “mayor será el papel de la opcionalidad”,
haciendo de cada momento en su ejecución, una forma de entender la
no linealidad de las operaciones y por tanto, la capacidad para absorber y
contener los efectos de la materialización del riesgo.
Lo antifrágil en la tecnología
Anota, TALEB (2013, pág.365) “Cuando
no podemos expresar con exactitud lo que algo es, sí podemos decir mucho sobre
lo que no es”, dicho en otra forma, muchas veces la forma de aclarar un término
es definir su negación (SPRAGUE, STUART y BODARY 2010), pues de esta manera
podemos explorar aquellas características que establece su opuesto, nutriendo
necesariamente lo que podría llegar a ser la definición de su positivo.
Por tanto, la sabiduría en el
ejercicio del estudio de la inseguridad de la información, no está en la
capacidad de predecir las asimetrías que pueden generarse en la puesta en
operación de una determinada estrategia de protección de información, sino en
el diseño de un sistema que genere mayor o igual variedad de momentos de falla, que prepare a la organización para actuar frente a
la misma, sin la angustia de la paranoia desbordada y con la tranquilidad de
quien está alerta a los cambios inesperados.
Así las cosas, hablar de
infraestructuras de TI seguras, es una ilusión que recaba sobre un supuesto
incorrecto que dice que la seguridad de la información es una función que busca
la tranquilidad en una zona controlada, cosa que es contraria a la realidad. En
este escenario, la seguridad de la información será mayor en la medida que la inseguridad
de la información pueda generar y manifestar opciones para estresar las propuestas
de protección, las cuales no serán confiables hasta que las mismas no tengan la
capacidad de resistir de manera permanente los casos de mal uso.
En este sentido, la mente del
atacante y su vista no lineal de la realidad, nos permite explotar la
fragilidad inherente de la tecnología, la cual se diseña y construye bajo
supuestos de uso y no de mal uso. La vista desprevenida de los “chicos malos”
es capaz de revelar la inevitabilidad de la falla de la infraestructura bien
por una relación no prevista, un parámetro no considerado o introducción de
anomalías que son inesperadas tanto para el hardware o el software.
Construir infraestructuras de
TI seguras, requiere una vista enriquecida desde la inseguridad de la
información, para establecer una postura de falla confiable que, reconociendo
su debilidad inherente, es capaz de asumir la falla, haciendo menos dolorosa la
experiencia de la misma, motivando un ejercicio de análisis y aprendizaje por
parte de los analistas de seguridad de la información; más allá de un modelo de
riesgos y controles, que privilegie las posibilidades de error y haga más resistente a los ataques
la infraestructura disponible.
La fragilidad propia de la
tecnología, llena de errores desde el diseño y aún más en su implementación,
debe ser la motivación de los analistas de la “inseguridad de la información”
para crear entornos hostiles y divergentes que preparen a los perímetros
porosos de seguridad, para enfrentar la curiosidad y mente abierta del atacante
y así, sobrevivir a la materialización de los riesgos actuales y emergentes que ponen
a prueba la capacidad de anticipación que las empresas puedan tener frente a
eventos inesperados.
Balancear lo frágil y lo antifrágil de la protección
de la información
La información es frágil por
naturaleza, como lo es el agua y otros tantos elementos en la naturaleza, que
permiten efectos contrarios sobre éstos y aún así se mantienen vivos y activos.
Esta particularidad de la
información, de absorber tanto lo positivo como lo no positivo, y su capacidad
de restauración propia, es la característica que los analistas de la
inseguridad deben conocer y explotar. Mientras los estándares de seguridad de
la información, tratan de modelar la complejidad de la inevitabilidad de la
falla, a través de controles definidos, los cuales deben ser ejecutados de
manera “perfecta” (LAMBRINOUDAKIS 2013), las vulnerabilidades responden y
siguen la corriente de las relaciones y acciones no lineales e imperfectas, que
potencian virtudes (o fallas) de la información tanto en las personas, los
procesos y la tecnología.
En este sentido, los
estándares o prácticas de los organismos de estandarización deberían diseñar
programas que habiliten a los analistas para crear condiciones límite y
adversas sobre los sistemas de gestión, no para su aseguramiento, sino para
crear situaciones en las cuales es inevitable la falla y crear un escenario
incómodo psicológicamente frente a la sabiduría convencional de la protección,
abriendo el espacio para las posibilidades más que para las probabilidades.
Por tanto, diseñar un modelo
de protección de la información tradicional basado en riesgos y controles, es
retar a la incertidumbre para que tome el control de aquellas situaciones no
previstas y doblegar la esperanza de seguridad y control que supone el mismo. Esto
es, mantener una capacidad limitada de acción frente a la falla e incrementar
la incapacidad de la organización para hacerse resistente a las
vulnerabilidades conocidas o desconocidas.
Elaborar un modelo de
seguridad y control, basado en la antifragilidad misma del sistema que protege,
esto es en el azar, los errores, la imprevisibilidad, los comportamientos no
lineales y manejar los impactos de la combinación de éstos, alimenta la
curiosidad y resistencia del modelo, que claramente será contrario a lo que
espera un ejecutivo de alto nivel de empresa, pero estará alineado con la
realidad misma, donde la incertidumbre es el referente natural para su acción.
Como quiera que el marco referencial
y preponderante de lo positivo y conocido se encuentra arraigado en el colectivo
empresarial y personal, se hace necesario abrir espacios de diálogo con lo
asimétrico, incierto y desconocido para mantener el ejercicio de protección de
la información, con un lenguaje que movilice los esfuerzos preventivos a nivel
empresarial y creativos a nivel personal.
Si bien el concepto de
antifragilidad, no es una invitación a mantenernos en el caos y la
improvisación, si es una postura que nos advierte sobre la comodidad de lo
conocido y sus consecuencias, un ejercicio que motiva la creatividad para crear
una cultura de seguridad de la información saludable (LACEY 2009), es decir,
aquella incorpora la inevitabilidad de la falla como parte natural de lo que la
gente cree, promueve la generación de escenarios de riesgo como parte de lo que
las personas hacen y se prepara para superar las situaciones críticas e
inesperadas como parte inherente de lo que los individuos ven.
Así pues el balance entre lo
frágil y lo antifrágil en seguridad de la información, es entender la necesidad
de certidumbre de la gerencia sobre el control de la información y contraponer
dichos intereses frente su capacidad de resistencia y aprendizaje ante
situaciones inesperadas, aleatorias y no lineales que potencian tanto
oportunidades como nuevas amenazas.
Referencias
ARTHUR, W. B. (2011) The second economy. Mckinsey Quarterly. October. Disponible en: http://www.mckinsey.com/insights/strategy/the_second_economy
(Consultado: 24-08-2013)
WEILL, P. y WOERNER, S. (2013) The future of the CIO in a digital
economy. MIS Quarterly Executive.
June, No.12, Vol.2.
LACEY, D. (2009) Managing the
human factor in information security. John Wiley & Sons.
TALEB, N. N. (2013) Antifrágil. Las cosas que se benefician del
desorden. Paidos
CANO, J. (2013) La ventana de
AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Blog IT-Insecurity. Junio. Disponible
en: http://insecurityit.blogspot.com/2013/06/la-ventana-de-arem-una-herramienta.html
(Consultado: 24-08-2013)
CANO, J. (2012) El futuro de
la inseguridad de la información. El arte de imaginar lo inesperado. Blog IT-Insecurity. Agosto.
Disponible en: http://insecurityit.blogspot.com/2012/08/el-futuro-de-la-inseguridad-de-la.html
(Consultado: 24-08-2013)
HOWARD, C., PLUMMER, D., GENOVESE, Y., MANN, J., WILLIS, D. y MITCHELL,
D. (2012) The nexus of forces: social, mobile, cloud and information. Gartner Research. Disponible en: http://www.gartner.com/id=2049315 (Consultado:
24-08-2013)
LAMBRINOUDAKIS, C. (2013) Evaluating and enriching information and
communication technologies compliance frameworks with regard to privacy. Information management and computer security.
Vol.21. No.3
SPRAGUE, J., STUART, D., y BODARY, D. L. (2010). The Speaker´s Handbook. Wadsworth: Cengage Learning.