lunes, 12 de enero de 2015

El lado oscuro de la tecnología de información. Reflexiones desde la inseguridad de la información

Introducción
No hay duda que los últimos cinco años hemos tenido una alta inestabilidad geopolítica en el mundo. Tensiones económicas, políticas y sociales han marcado la agenda de los gobiernos, los cuales han venido tomando acciones, generalmente no muy populares, las cuales generan mayores descontentos que se ven reflejados en marchas o manifestaciones públicas, bien de manera presencial o de manera virtual, a través de las redes sociales.

En este escenario de alta incertidumbre y variaciones inesperadas, las tecnologías de información juega un papel clave toda vez que aceleran los cambios disruptivos, que hacen más exigente la toma de decisiones en las organizaciones y generan nuevas condiciones en el tratamiento de la información que enfrentan la necesidad de seguir avanzando en el desarrollo de nuevos mercados, con la protección de la información requerida para posicionar una organización.

De acuerdo con Ferraro y Cassiman (2014), tres tendencias inciden en el ejercicio de la dirección empresarial: la globalización, la digitalización y la politización. Las tres definen nuevas exigencias para los cuerpos ejecutivos colegiados, como quiera que no entender esta nueva realidad, puede ocasionar serias implicaciones en la supervivencia de la organización en el mediano y largo plazo.

Por un lado la globalización, abre las perspectivas de negocios en diferentes puntos del globo, generando transacciones económicas internacionales, lo que permite mayor apertura del flujo de bienes y servicios con precios competitivos y por otro, genera nerviosismo en muchos empresarios, por la vinculación de diferentes participantes en sectores antes no conocidos, que puede afectar la posición competitiva de las empresas tradicionales en un segmento.

De igual forma la digitalización, plantea tres desafíos claves:
  •  Los productos y servicios migran al mundo digital.
  •  Las empresas cuentan con modelos de negocio radicalmente diferentes, generalmente basados en tecnologías de información.
  •  Los clientes y seguidores crean comunidades que impactan la innovación y la creación de valor en las empresas.
Si bien la digitalización, procura unos costos mínimos de transacción y optimiza el tiempo de las personas, la pregunta que plantea Ferraro y Cassimann (2014) es: “¿cómo puede una empresa ser rentable si no hay manera de reducir los costos del sector y del sistema heredado, ni los clientes están dispuestos a pagar más?”.

Para responder a la pregunta los autores, establecen que en el mundo de la digitalización sobrevivir no es tanto saber captar y mantener una cuota de mercado, sino hacerla rentable. Esto es, cada usuario cuenta, sus relaciones y la forma como de manera reiterada regresa para seguir haciendo uso del servicio o producto. Crear una experiencia diferente es parte del secreto del exigente mundo digital, donde todo cambia muy rápido.

Finalmente la politización, hace evidente el debilitamiento del Estado-nación, que acompaña el empoderamiento de las comunidades abiertas y vinculadas a nivel global, que genera movimientos alternativos que pueden movilizar intereses, bien a favor de grupos particulares, o en contra de intereses colectivos o nacionales.

Lo anterior implica que los mercados que antes estaban definidos por regiones o estados, ahora gracias a la globalización, se fundan en tendencias y movimientos de sociales con necesidades particulares, procurando que los ejecutivos de las empresas asuman un papel más público y aseguren responsabilidades estratégicas con grupos de interés emergentes, que les obliga dar un paso adelante y reconocer su nuevo rol como políticos y diplomáticos que buscan entender las demandas de sus nuevos mercados.

Todo este panorama establece un escenario complejo y asimétrico que los ejecutivos de la seguridad de la información deben comprender para acompañar a la gerencia frente al “lado oscuro de las tecnologías de información”, que se convierte en un arma estratégica y táctica que desequilibra naciones, compromete empresas y afecta personas.

Si bien, los esfuerzos actuales de los ejercicios de auditoria (CEB, 2014c) se concentran en la efectividad de los controles de TI (tecnología de información), son los comportamientos inadecuados de las personas, la limitada capacidad de valoración de vulnerabilidades y amenazas emergentes, así como el monitoreo insuficiente e inefectivo de accesos, las causas raíces de las fallas de seguridad de la información más significativas, que habilitan el lado oscuro de la fuerza y materializan sus efectos. En este sentido, las lecciones aprendidas de los eventos adversos en seguridad de la información nos deben animar a comprender la vista sistémica que se esconde en el denso tejido de la conectividad, para entender los impactos de los cambios y tratar de identificar sus patrones. (Goldin, 2012)

Con esta panorámica internacional de tendencias y las manifestaciones cada vez más frecuentes del lado oscuro de la tecnología de información, se presenta esta reflexión que inicia contextualizando qué es el lado oscuro de la TI y cómo se materializan en cuatro riesgos emergentes (incertidumbre y complejidad regulatoria, ciberseguridad, ejecución de la estrategia y privacidad de los datos). Así mismo, revisa dos casos internacionales recientes donde se hacen evidentes las realidades de la inseguridad de la información en el contexto de la globalización, la digitalización y la politización, para terminar con una propuesta de análisis de escenarios emergentes que permita a las empresas y naciones aumentar su sensibilidad a las fallas de seguridad de la información con el fin de contar con estrategias concretas frente a situaciones inesperadas, que pongan a prueba su capacidad de respuesta y resiliencia para continuar operando.

¿Qué es el lado oscuro de la tecnología de información?
De acuerdo con la revisión efectuada por Tarafdar, D’Arcy, Turel y Gupta (2014) se observa que si bien la tecnología de información tiene cualidades ampliamente reconocidas relacionadas con la confiabilidad, la portabilidad y el procesamiento eficiente, también ella puede socavar la productividad, la innovación y el bienestar de las personas.

En este sentido, los investigadores establecen lo que denominan el “lado oscuro de la TI”, manifiesto en dos tendencias identificadas: el tecnostress y el uso inadecuado de la TI. Por un lado, la primera hace referencia a la exigencia de hacer múltiples cosas al mismo tiempo en diferentes dispositivos electrónicos, con el fin de contar con información en tiempo real; lo que hace que las personas tengan que adaptarse rápidamente a ciclos y cambios tecnológicos generando presión y sobrecarga en sus labores lo que puede ser contraproducente frente a los resultados que se esperan y los impactos en adicciones que se pueden derivar de esta condición.

De otra parte, están las amenazas y riesgos emergentes propios del uso inadecuado de la TI organizacional que puede generar ambientes o escenarios de ataques que comprometan la información o la infraestructura de la empresa. Múltiples estudios (CEB, 2014c) confirman que los ataques derivados por fallas internas son más graves en alcance y severidad, que aquellos que se generan por brechas o fugas de información ocasionados por fuentes externas a la empresa. En este contexto, los comportamientos de las personas frente al tratamiento de la información definen en gran medida el nivel de seguridad y control que puede tener una organización.

Así las cosas, se confirma por parte de Tarafdar, D’Arcy, Turel y Gupta (2014) que los comportamientos ingenuos y aquellos inadecuados no sancionados, configuran la gran mayoría de las conductas contrarias al tratamiento apropiado de la información. Adicionalmente, se reporta por estos investigadores que irónicamente estos comportamientos se presentan por un deseo de los individuos por ser más efectivos en desarrollo de sus labores y que a pesar de conocer que dichas acciones violan una política organizacional en temas de protección de la información, la ven como inocua.

Lo anterior plantea la tensión inherente entre la seguridad de la información y la productividad empresarial. Esto es, se requiere acceso a la información clave de la empresa en el menor tiempo posible para tomar las decisiones con la mejor oportunidad y establecer los marcos de acción requeridos para mantener la competitividad e innovación empresarial, y de igual forma, proteger los intereses y el valor de la empresa tanto en los activos de información clave de su negocio, así como en la reputación de la empresa, la cual es sensible a los tratamientos inadecuados de la información por parte de los individuos (internos o terceros – contratistas), que en algunos casos puede terminar en litigios o acciones jurídicas que afecten las operaciones y el buen nombre de la compañía.

Las implicaciones de los comportamientos inadecuados frente a la información inicialmente no se advierten como condiciones críticas para las organizaciones, dado que los impactos se pueden diferir (algunos) en el tiempo, lo que hace se mantengan latentes y sólo cuando un evento particular actúa como detonante, se manifiestan con un mayor nivel de severidad, pues generalmente ha trascendido a la esfera pública, llamando la atención del nivel ejecutivo como quiera que algunos de sus grupos de interés han sido afectados.

Una reciente encuesta de Cisco manifiesta esta tendencia y caracteriza cuatro perfiles de los individuos respecto de su preocupación por la protección de la información los cuales dibujan claramente los comportamientos tipo de las personas en las organizaciones actuales. Las categorías son: (Net-Security, 2015)

  • Los conscientes de la amenaza - aquellos que son conscientes de los riesgos de seguridad y que se esfuerzan por mantener la seguridad en las operaciones, pues conocen y entienden sus impactos.
  • Los bien intencionados - aquellos que tratan de cumplir con las políticas, pero que las implementan o aplican de forma “impredecible”.
  • Los complacientes - aquellos que esperan que la empresa les proporcione un entorno de seguridad de la información adecuado y, por tanto, no toman la responsabilidad individual de la seguridad de los datos.
  • Los aburridos y cínicos - quienes creen que las amenazas de la seguridad de la información están sobrevaloradas y que los mecanismos de seguridad y control inhiben su rendimiento y por tanto como resultado, violan las políticas y normativas de seguridad vigentes.

Riesgos claves emergentes para las juntas directivas frente al tratamiento de la información
Los analistas del CIO Executive Board – CEB (2014b) anualmente adelantan una encuesta internacional  sobre los ejecutivos corporativos y miembros de juntas directivas sobre los riesgos emergentes que ellos observan y cómo éstos pueden afectar a sus empresas en su operación global. Como resultado del ejercicio realizado, establecen cuatro (4) temas concretos donde se establecen los focos de atención en los próximos años: incertidumbre y complejidad regulatoria, ciberseguridad, ejecución de la estrategia y privacidad de los datos.

La necesidad de avanzar en mercados emergentes, en contextos globalizados, con comunidades emergentes y demandantes de servicios de tecnología de información, exige a las empresas revisar con cuidado su manual de operación según la región y el sector donde se encuentre. A pesar de que las organizaciones intentan cumplir con los requerimientos legales en sus ambientes de operación, siguen confiando en el conocimiento regulatorio que tienen, lo que puede ocasionar controversias de entendimiento con las autoridades locales que enrarecen el tono de las revisiones jurídicas y de cumplimiento, y afectan la imagen y operaciones propias de la empresa en su sector.

En razón con lo anterior, las corporaciones deben atender y mantener un seguimiento y adaptación permanente del entorno de cumplimiento y regulatorio de sus actividades de negocio, para bien anticipar los cambios que se puedan presentar o mejor aún influir en las autoridades locales para establecer referentes de cumplimiento alineados con las mejores prácticas internacionales, con el fin de mantener un lenguaje común de valoración y aseguramiento de operaciones que permita, por un lado una actividad empresarial ajustada a los patrones corporativos y el fomento de un ambiente regulatorio de clase mundial que supere la vista local y la proyecte en este contexto global.

De otra parte, la ciberseguridad (Cano, 2014) ha sido protagonista en los últimos cinco (5) años en las noticias empresariales internacionales. Basta revisar los casos más publicitados como son el de Sony (Schneier, 2014), el de JP Morgan (Son, 2014), el de EBay (Harrison y Barinka, 2014) y recientemente la afectación física de una planta de acero en Alemania (Zetter, 2015), donde los atacantes ingresan por la red corporativa usando un spear phishing, es decir a través de un envío de correo electrónico específico que parece provenir de una fuente confiable con el fin de engañar al destinatario para que abra un archivo adjunto malicioso o visite un sitio web malicioso, donde el malware se descarga en su equipo.

Los costos e implicaciones de las afectaciones por las fallas de seguridad de la información, no solamente están en la mente de los profesionales de la seguridad de la información, sino en el colectivo de los miembros de juntas directivas, que cada vez más toma más relevancia en el escenario de riesgos de la organización, como factor relevante para mantener y asegurar las operaciones de las organizaciones. En este sentido, progresivamente se exige a la empresa establecer los planes concretos para responder a un ciberataque, con énfasis en su detección y respuesta, incluyendo si es posible una contraofensiva si ésta es requerida; sin dejar de lado el fortalecimiento de los mecanismos de protección como son entre otros, comportamientos adecuados frente al tratamiento de la información, incorporación de ciberseguros (CIS-AIG, s.f) y aseguramiento de los controles técnicos de la infraestructura de tecnología de información.

Por otro lado, tenemos los temas relativos a la ejecución de la estrategia, que de acuerdo con los analistas del CEB (2014b) se presenta por una incapacidad por parte de las empresas para cerrar la brecha entre la estrategia y su ejecución debido a dos factores claves como son la necesidad de victorias tempranas que generen credibilidad en un contexto económico complejo y por otro, la sobrecarga laboral y recortes de personal, que distraen la capacidad de los profesionales de la empresa para crear y desarrollar esfuerzos que contribuyan al crecimiento de la organización.

En consecuencia con lo anterior, se hace necesario comprender el nuevo entorno de negocio, donde la información es el nuevo recurso natural (Stokes, 2014), para establecer las propuestas innovadoras que encuentren en los retos de la empresa, la forma de generar nuevas propuestas de valor que le impriman una nueva dinámica a las estrategias de negocio, no solamente basadas en ventajas competitivas sostenibles, sino en transitorias. Esto es, reconocer patrones emergentes de oportunidades que puedan aprovechar y luego prescindir de ellas, una vez se ha concretado y aprovechado la propuesta de valor identificada y puesta en operación.

Finalmente y no menos importante, la protección de datos personales tema que se ha acentuado a nivel internacional por la creciente digitalización de los datos de las personas como son los relacionados con la salud, finanzas, prestaciones sociales, condiciones laborales, preferencias, entre otras, contextualizadas en el escenario de las redes sociales y tecnología de la Web 2.0, las cuales permiten la recolección, consolidación, análisis y publicación de los mismos.

Las empresas líderes en esta temática desarrollan un programa de protección de datos personales que incluye el inventario de bases de datos donde se recolecta, almacena y transfiere información sensible de las personas. Adicionalmente establecen un conjunto de normas y procedimientos para su adecuado uso, las notificaciones pertinentes para los terceros autorizados para su tratamiento, las medidas de seguridad y control requeridas para su manejo dentro y fuera de la organización, así como los planes de auditoria propios del programa y las acciones requeridas ante una brecha de seguridad de dichos datos.

Como hemos podido observar los cuatro riesgos emergentes comentados previamente responden claramente al escenario comentado al inicio de este documento que está gobernado por la globalización, la digitalización y la politización, elementos que afectan de manera transversal la forma como debemos entender, atender y enfrentar dichos riesgos. Esto supone crear un entorno y tono adecuado en la organización para acoger la incertidumbre, la diversidad, el conflicto y los fracasos, como una forma de aprendizaje y desaprendizaje, que abra la puerta a propuestas flexibles que aumenten la capacidad de respuesta y anticipación de la empresa, entendiendo los escenarios posibles donde ella puede operar y las alternativas viables que puede desarrollar.

Dos casos concretos para analizar: Sony y JP Morgan
Si bien las velocidades con que los riesgos previamente revisados generan impactos importantes en la organización, están determinados por la preparación para responder al evento y su capacidad de anticipación, en los casos de dos grandes corporaciones internacionales como son Sony y JP Morgan dichos elementos fueron puestos a prueba con resultados poco satisfactorios.

Mientras el caso de Sony, quien previamente había sufrido un ataque importante a uno de sus productos estrella como el playstation, el cual se podía utilizar y activar para jugar en línea con otros participantes, fue víctima nuevamente de un ciberataque que comprometió sus servidores web, correo electrónico y equipos de oficina donde se revelaron datos sensibles de sus ejecutivos y productos claves; en el caso del JP Morgan, entidad sometida y regulada por la Security Exchange Commission (el regulador de las empresas públicas norteamericanas, es decir, aquellas que cotizan en la Bolsa) sufre una brecha de seguridad de la información en sitios alternos donde tenían información de contacto de sus clientes a través del web o aplicaciones móviles, que no comprometió información personal ni sensible de sus clientes como sus contraseñas, números de cuenta, número de identificación, números telefónicos entre otras.

Si analizamos ambos casos, con las tres variables inicialmente planteadas como son la globalización, la digitalización y la politización, podemos entender mejor las implicaciones y lecciones aprendidas que nos dejan estos eventos, para efectos de plantear estudios extendidos que nos permitan tener mejores elementos de análisis cuando situaciones semejantes aparezcan en nuestro horizonte de riesgos y amenazas emergentes.

  

SONY
JP MORGAN
Globalización
·       Tiene una operación de alcance internacional
·       Experimenta con modelos de negocio diferentes identificando los mercados potenciales y entendiendo la cultura de los grupos de interés locales.
·       Control centralizado con  estructuras organizacionales de ejecución diferentes en cada región donde opera.
·       Cuenta con una operación internacional con una infraestructura de computación centralizada y basada en alta disponibilidad.
·       Reconoce que existen otros jugadores importantes en su mercado, que igualmente aprovechan las oportunidades de negocio que se presentan.
·       Reconocen los riesgos financieros que implican las crisis internacionales y se preparan para ello.
Digitalización
·       La necesidad del “time to market” disminuye los tiempos de aseguramiento requeridos de los productos y plataformas.
·       Los comportamientos y competencias relacionadas con el tratamiento de la información se enfrentan a la necesidad de efectividad en la gestión de la empresa.
·       Regulada por la SEC y con las demandas de aseguramiento propias de una empresa pública en los Estados Unidos de América.
·       El uso intensivo de las tecnologías de la Web 2.0 o superiores, son requisito indispensables para crear productos, servicios o modelos de negocio innovadores para comunidades  emergentes
·       La necesidad de disminución de costos y aumento de efectividad en su gestión lo lleva al uso intensivo de tecnologías de información y aplicaciones en la Web.
·       Cuenta con un programa de protección de la información como parte del programa de cumplimiento exigible por la SEC (Security Exchange Commission)
·       Requiere crear nuevas formas de captar valor en un mercado competitivo y cambiante, para lo cual las tecnologías emergentes son sus aliados directos.
Politización
·       Cuentan con comunidades creadas alrededor de sus productos y servicios
·       Los ejecutivos de la empresa actúan representando intereses políticos de su nación y no solamente los empresariales.
·       Interactúa con gobiernos, reguladores y otros grupos de interés que representan intereses bien estatales, comerciales o colectivos.
·       Es una banca global que se ha convertido en una marca de riqueza y reconocimiento en su sector.
·       Los ejecutivos de la entidad, no solo representan interesa nacionales sino internacionales con implicaciones en países emergentes.
·       Interactúa con gobiernos, reguladores y otros grupos de interés que representan intereses bien estatales, comerciales o colectivos.

Si revisamos las dos empresas, ambas dependen altamente de la tecnología de información, no solo para su operación, sino como componente clave para apalancar el modelo de generación de valor de la empresa. En este contexto, la información que se maneja en ambas corporaciones, exige el entendimiento de la misma como un activo clave y sensible que tiene la relevancia requerida para hacer la diferencia en mercados altamente competidos, así como una alta especialidad técnica en prácticas de seguridad y control que permitan la mayor flexibilidad con la mayor protección.

De otra parte, dada su operación global y presencia regional, es susceptible de las diferentes variaciones de los grupos de interés que pueden ver afectados sus intereses, toda vez que las empresas multinacionales en su operación, desean adelantar y posicionarse rápidamente con las menores implicaciones legales posibles y con los mínimos impactos en sus planes de negocio. Sin embargo, muchas veces estas empresas, por el afán de alcanzar mínimos de eficiencia requeridos, desatienden elementos y tendencias de comunidades emergentes que pueden impactar las operaciones de la firma en un entorno digital.

De igual forma, las multinacionales ya no solamente representan intereses corporativos sino nacionales. Se convierten en embajadores naturales de los países en otros territorios, lo que cambia la connotación de su visión exclusivamente de negocios, por una de agenda política y de impacto regional, donde los intereses de las naciones se ven involucrados, volviendo a los ejecutivos empresariales en diplomáticos, que como anotan Ferraro y Cassiman (2014), influyen en las condiciones del área e impactan con sus operaciones los intereses de la región.

Si miramos ambas empresas, por las exigencias regulatorias deben tener activas prácticas de seguridad y control para asegurar la integridad de los estados financieros como lo exige la SEC. Sin perjuicio de lo anterior, la pregunta en el fondo es ¿qué significa el ejercicio de cumplimiento en cada una de ellas? ¿Una revisión de evidencias exigidas para cumplir con la auditoría efectuada por el organismo de control o una práctica interiorizada en la cultura de la organización que reconoce la información como un activo clave que debe asegurar?

Cualquiera que sea la respuesta, es importante construir y madurar una cultura de protección de la información que persuada a los individuos sobre los impactos de sus comportamientos frente al tratamientos de la información, revele los efectos nocivos que tiene sus usos inadecuados, controvierta las prácticas “culturalmente aceptadas” que afectan la protección de la información y sobre manera, se lidere con el ejemplo desde la parte ejecutiva y su junta directiva, con el fin de establecer patrones de conducta y prácticas operativas y tecnológicas que promuevan una vista de cumplimiento normativo por convicción y no por conveniencia.

Juegos de guerra: Escenarios emergentes para retar la inseguridad de la información
Las tensiones internacionales vigentes nos sugieren que la geopolítica global está cambiando y nuevos dominios de operación (Lynn, 2010) emergen en las estrategias de defensa y control de las naciones. Las amenazas informáticas se convierten en referentes novedosos en las estrategias de protección de las naciones, que ahora centran su atención en los ataques sofisticados que se adelantan por grupos hacktivistas contra infraestructuras tanto civiles como militares.

En este sentido, la capacidad de respuesta y anticipación de las empresas frente a este escenario de “guerra fría informática” de las naciones, se vuelve impredecible e incierto, como quiera que la tecnología evoluciona muy rápido y que los legisladores apenas comienzan a entender esta nueva realidad de la ciberseguridad y la ciberdefensa, para cumplir con las expectativas de respuesta y protección que ahora exigen los ciudadanos de una sociedad de la información y el conocimiento.

Bejtlich (2014) consciente de esta realidad, desarrolla una revisión académica de las investigaciones previas que se tienen respecto de las tecnologías de seguridad de la información que se vienen haciendo desde los años 70 hasta la fecha, donde concluye que al parecer alguien no está escuchando el mensaje sobre la realidad de la inseguridad de la información, posiblemente por tres razones:
·   No ha llamado la atención de líderes de negocios o gobernantes, bien por su alta especialidad técnica o por la forma como se ha presentado.
·   Los resultados de las investigaciones fueron hechas por los académicos en los primeros años del surgimiento de la seguridad de la información y no fueron tomados en cuenta.
·   Los resultados de los artículos promovían un monitoreo centralizado como filosofía base, más que un enfoque preventivo de protección.

De otra parte, durante los primeros años de evolución de la protección de la información, el enfoque técnico primaba sobre las recomendaciones y estrategias, lo que hizo que rápidamente la lectura del aseguramiento de los datos, se consolidara como un tema de herramientas y tácticas, más que de prácticas y responsabilidad gerencial. En consecuencia Bejtlich (2014) plantea un modelo de cinco niveles para desarrollar una seguridad estratégica que lee y construye un programa de objetivos inspirados en las expectativas de la junta directiva, para luego desarrollar las estrategias de operación basadas en detección rápida, respuesta y contención que minimice los daños e incremente la capacidad de recuperación empresarial basado en los análisis de datos de la incidentes y lecciones aprendidas que aumenten la resistencia de la empresa a situaciones de ataques conocidos y desconocidos.

Sin perjuicio de lo anterior y como una vista complementaria Intel propone la estrategia de juegos de guerra, con el fin anticipar nuevas vulnerabilidades y amenazas emergentes con el fin de contar con acciones concretas que disminuyan el nivel de incertidumbre en las actuaciones de la empresa, sin que esto quiera decir que lo podrá hacer para todas las ocasiones.

Lo que propone Intel (CEB, 2014) es el desarrollo de escenarios de análisis basado en cuatro actividades:
·         Participación de múltiples roles de la organización
o   Expertos técnicos
o   Líderes de proceso
o   Operarios
o   Personal de ventas

·         Establecer los escenarios de ataque basados en vulnerabilidades conocidas y desconocidas para lo cual se debe especificar como mínimo:
o   Objetivo del ataque
o   El perfil del atacantes o agente
o   Nivel de habilidades y recursos disponibles del atacantes
o   Tiempo de planeación y ejecución por parte del atacante

·         Operacionalizar el ataque
o   Postular los medios a través de los cuales el atacante puede lograr su objetivo.

·         Capturar y analizar las ideas que surjan sobre el ataque
o   Registro de las sugerencias, alternativas e ideas sobre el ataque
o   Adelantar un análisis posterior del escenario y las ideas planteadas por parte de los analistas para revelar las nuevas posibles vulnerabilidades.

Adelantar este tipo de ejercicios permite aumentar en la organización la apropiación del tema en sus diferentes área, incrementar la concienciación de los procesos respecto de la inevitabilidad de la falla en el tratamiento y uso de la información, así como el fortalecimiento de la cultura de cumplimiento, que combina no solamente la vista del regulador y sus expectativas, sino una revisión multidimensional de factores que pueden incrementar la aparición de la inseguridad de la información en las operaciones de la empresa.

Habida cuenta de lo anterior, la organización cuenta con una vista consolidada de las posibilidades y vulnerabilidades que puede enfrentar, así como las acciones requeridas para actuar en consecuencia en el evento que se puedan materializar. De otra parte, al contar con la información, los ejecutivos corporativos pueden tomar decisiones informadas basadas en el conocimiento de los riesgos identificados y sus implicaciones, lo que lleva a enfrentar la falsa sensación de seguridad inherente al contar con mecanismos tecnológicos instalados y operando, y con prácticas de gestión de vulnerabilidades periódicas.

Reflexiones finales
Si bien los ciberataques comentados en este artículo revelan que están revestidos de contextos geopolíticos relevantes y las operaciones militares que se han llevado a cabo en el pasado, denominadas “ciber operaciones”, nos ponen en alerta sobre un escenario de “ciber guerra”, que para algunos es una realidad y para otros, algo improbable con las dimensiones que implica la aplicación real del concepto (Lynn, 2010; Dieterle, 2012); lo cierto es que una confrontación en términos digitales, no es un concepto nuevo y que ha sido analizado desde la década de los 90s cuando se hacía distinción entre “guerra en red” (en inglés Netwar – en el campo civil) y “ciber guerra” (en inglés cyberwar – en el campo militar) ambos basados en la información y la infraestructura de comunicaciones tanto de organizaciones como de estados. (Arquilla y Ronfeldt, 1993)

No obstante lo anterior, las brechas de seguridad de la información continuarán siendo las armas tácticas que utilicen tanto gobiernos como comunidades hacktivistas, así como otros participantes, como posibles mercenarios informáticos, para comprometer y desestabilizar la operación de empresas y naciones. Dichas brechas son producto, por lo general de la aplicación sistemática de malas prácticas en el desarrollo de software, en el tratamiento de la información por parte de las personas, así como por una inadecuada adopción y aplicación de marcos de gestión de seguridad de la información. (Krausz y Walker, 2013)

Por tanto, debemos comprender que en un escenario de globalización, digitalización y politización, surgirán cada vez más nuevos vectores de ataque, muchos de ellos motivados por las tensiones políticas de dominio y control por parte de las naciones desarrolladas o bien por inconformidades de comunidades digitales emergentes que reclaman ser escuchadas en el escenario de las políticas nacionales e internacionales, los cuales serán asistidos por técnicas basadas en amenazas persistentes avanzadas, técnicas de evasión avanzadas o aplicación de vulnerabilidades conocidas sobre tecnologías emergentes. (Lewis, 2014)

En razón con lo anterior, se hace necesario repensar los modelos de revisión y análisis de riesgos y amenazas, para mirar no solamente aquellos conocidos, sino los emergentes, latentes y focales, es decir, aquellos propios de su sector de negocio (Cano, 2014b) y de esta forma complementar los análisis tradiciones de valoración de riesgos que revisan los impactos en los modelos de negocio, las implicaciones legales y financieras, así como las responsabilidades inherentes de las terceras partes que hacen parte de la operación de la infraestructura tecnológica o de proceso de las empresas. (Krausz y Walker 2013, pág.19 y 20)

Así las cosas, debemos desarrollar un pensamiento basado en una sabiduría no convencional que estimule tanto a los ejecutivos empresariales como a los responsables de la seguridad de la información, a pensar por “fuera de la caja” para retar las condiciones existentes de protección, no como un juicio desfavorable para las estrategias vigentes implementadas, sino como una forma de estresar el modelo actual, pensar en escenarios inesperados y activar el pensamiento lateral, sobre aquello que podría ser. En este sentido, la propuesta de los juegos de guerra de Intel puede ser una oportunidad en esta dirección.

Finalmente, el lado oscuro de la tecnología de información, leído desde la inseguridad de la información, nos presenta una realidad apasionante y compleja, que nos demanda no solamente “pensar fuera de la caja”, sino “crear una nueva caja” que tenga la virtud de establecer nuevas formas de pensar, de conocer, de transcender y anticipar el mundo que queremos y deseamos. Esto implica tener la audacia y la originalidad para liberarnos de nuestros filtros particulares y así, asumir las fallas de seguridad como los pilares de la gestión de la seguridad de la información, donde no existan fracasos técnicos o de procedimiento, sino escenarios de aprendizaje y colaboración para crear y anticipar los quiebres de nuestra maestra la inseguridad.

Referencias
Arquilla, J. y Ronfeldt, D. (1993) Cyberwar is coming! Comparative Strategy. Vol 12, No.2. Spring. Recuperado de: http://www.rand.org/content/dam/rand/pubs/monograph_reports/MR880/MR880.ch2.pdf
Bejtlich, R. (2014) Strategy, not speed. What today’s digital defenders must learn from cybersecurity’s early thinkers. Center for 21st Century Security and Intelligence at Brookings. Recuperado de: http://www.brookings.edu/~/media/research/files/papers/2014/05/07-strategy-not-speed-digital-defenders-early-cybersecurity-thinkers-bejtlich/voices-from-the-cyber-past-final.pdf
Cano, J. (2014) Fundamentos de ciberseguridad. Perspectivas emergentes para construir un entorno digital menos inseguro. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com/2014/07/fundamentos-de-ciberseguridad_21.html
Cano, J. (2014b) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
CEB (2014) Heard in suite: Intel perform structured risk sensing. (Requiere suscripción)
CEB (2014b) Risk intelligence Quarterly. Q4. Recuperado de: http://ceb.uberflip.com/i/192608/2
CEB (2014c) 2014 IT Audit Benchmarking Survey.
Center for Internet Safety-CIS and American International Group-AIG (s.f.) Cyber insurance research paper. Recuperado de: http://www.canberra.edu.au/media-centre/attachments/pdf_folder/AIG-CIS-Cyber-Insurance_F3.pdf
Dieterle, D. (2012) Cyber warfare network attacks. Revista Hakin9. Recuperado de: http://hakin9.org/download/hakin9-042012-cyber-warfare/ (Requiere suscripción)
Ferraro, F. y Cassiman, B. (2014) Globalización, digitalización y politización. Tres tendencias que cambiarán su forma de dirigir. IESE Insight. No.23. Cuarto Trimestre.
Goldin, I. (2012) Riesgo sistémico, el precio de la interconectividad. IESE Insight. Primer trimestre. No.12.
Harrison, C. y Barinka, A. (2014) EBay Asks Users to Change Passwords After Cyber-Attack. Recuperado de: http://www.bloomberg.com/news/2014-05-21/ebay-asks-users-to-change-their-passwords-after-cyber-attack.html
Krausz, M. y Walker, J. (2013) The true cost of information security breaches and cyber crime. IT Governance Publishing.
Lewis, N. (2014) Malware defense: How to detect and mitigate advanced evasion techniques. Recuperado de: http://searchsecurity.techtarget.com/tip/Malware-defense-How-to-detect-and-mitigate-advanced-evasion-techniques
Lynn, W. (2010) Defending a new domain. The pentagon’s cyberstrategy. Foreign Affairs. September/October. Recuperado de: http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain
Net-Security (2015) Is IT security stifling innovation and collaboration? Recuperado de: http://www.net-security.org/secworld.php?id=17806
Schneier, B. (2014) Sony made it easy, but any of us could get hacked. Wall Street Journal. Recuperado de: http://www.wsj.com/articles/sony-made-it-easy-but-any-of-us-could-get-hacked-1419002701
Son, H. (2014)  JPMorgan Employee Password Was Key in Hack Hitting 76 Million Homes. Recuperado de: http://www.bloomberg.com/news/2014-10-02/jpmorgan-says-data-breach-affected-76-million-households.html
Stokes, D. (2014) Technology Innovation the New Currency of the Digital Age. Recuperado de: http://www.europeanbusinessreview.com/?p=6290
Tarafdar, M., D’Arcy, J., Turel, O. y Gupta, A. (2014) The dark side of information technology. Sloan Management Review. Vol.56, No.2. Winter.
Zetter, K. (2015) A Cyberattack Has Caused Confirmed Physical Damage for the Second Time Ever. Recuperado de: http://www.wired.com/2015/01/german-steel-mill-hack-destruction/  

1 comentario: