lunes, 31 de octubre de 2016

Pronósticos de seguridad de la información 2017. Cinco imperativos para avanzar en un mundo digitalmente modificado.

Introducción
Adelantar la revisión de los retos y tendencias en seguridad de la información para el año siguiente, no es un ejercicio de consolidación de temáticas revisadas, sino la exigencia de plantear escenarios que permitan anticipar volatilidades o inestabilidades que impliquen una revisión de las prácticas actuales del área que gobierna la seguridad y el control de la información en una empresa.

En este sentido, la realidad de la convergencia tecnológica establece un nuevo marco de actuación de los ejecutivos de la seguridad, como quiera que, en este entorno las prácticas conocidas comiencen a ceder terreno y motivar acciones diferentes respecto de los riesgos y amenazas emergentes que surgen, cuando se advierten nuevas relaciones e interconexiones digitales entre tecnologías, personas, procesos y regulaciones (Bailey, Kaplan y Rezek, 2015).

Los productos y servicios digitalmente modificados constituyen la base de la reflexión que ahora las áreas de seguridad de la información deben considerar, habida cuenta que, la digitalización de los procesos empresariales y la necesidad de concretar negocios innovadores y disruptivos, exige de la protección de la información una apuesta de funcionalidad y control que aumente la confianza de los usuarios y asegure una práctica consistente y confiable en entornos hiperconectados, en la nube, instantáneos y con plataformas móviles.

Así las cosas, establecer una base de pronósticos en seguridad de la información para el año entrante, sugiere un reto asimétrico y discontinuo del entorno, que implica tratar de acertar en un blanco en movimiento y con los ojos vendados. Por tanto, proponer alternativas para revisar bajo estas condiciones, es abrir una ventana de aprendizajes para los cuales no hay preparación previa, pero si una actitud abierta y generosa para aceptar y renovar las prácticas actuales, frente a la inevitabilidad de la falla.

A continuación se presentan algunas tendencias emergentes que se advierten para los próximos 365 días, las cuales prometen mantener fuera de la zona cómoda a los profesionales de seguridad de la información, algunas veces sorprendidos y otras vigilantes, pero siempre aprendiendo y desaprendiendo de su maestra la inseguridad de la información.

1. Revelación de nuevos ecosistemas digitales criminales (EcoDC)
La industria criminal no para de sorprender a las instituciones gubernamentales. La dinámica de la acción delincuencial implica evolucionar tan rápido como las novedades tecnológicas. La apropiación digital y el desarrollo de nuevas capacidades delictivas por parte de actores contrarios a la ley, promueven el desarrollo de ecosistemas digitales criminales los cuales se sustentan en una demanda creciente de servicios como vulnerabilidades inéditas, alquiler de botnets, datos personales robados, información clasificada, malware “a la medida”, denegación de servicio “como servicio”, cibercrimen “como servicio” entre otros.

Estos EcoDC (Cano, 2016b) se fundan en características claves como anonimato, bajo costo, técnicas antiforenses, conocimiento especializado y facilidad de pruebas, las cuales crean un espacio sin competencia en el mercado, pues el acceso a estas posibilidades, no requiere de grandes inversiones, sino de un acceso especial y la motivación necesaria para crear un entorno incierto alrededor de la empresa o personal objetivo. Un caso particular de estos ecosistemas es la “Web Profunda”/ “Deep Web”.

Los EcoDC serán cada vez movimientos y plataformas creadas de forma invisible en la web con el fin proveer capacidades criminales a bajo costo y con alto impacto, de tal forma que se puedan concretar servicios nuevos como pueden ser un “SOC Inverso” (donde se estudie el tráfico de entidades específicas, para que mediante analítica de datos, se puedan concretar perfiles de ataque novedosos y ajustados con la realidad de cada empresa objetivo), armas digitales (malware destructivos, silencios, cifrados y multiplataforma), campañas de engaños dirigidas no rastreables, entre otros.

2. Mayor uso de tácticas disuasivas como prácticas de defensa activa
Las empresas en general mantienen un esquema de protección basado en implementaciones técnicas de dispositivos tecnológicos de seguridad y control, o servicios de monitoreo externo que mantienen una vigilancia estricta sobre el perímetro de seguridad de las organizaciones. En este sentido, se plantea y mantiene una tensión permanente entre ataque y defensa, que implica un desgaste de la doctrina de seguridad y control, lo cual implica una visión ejecutiva de la seguridad como “algo de nunca acabar” y un “gasto necesario” que se debe mantener.

Si bien la seguridad informática corre el riesgo de convertirse en un “commodity”, es importante repensar las estrategias que se tienen a la fecha para revertir la tendencia de centro de costo que cada vez se confirma en los niveles de gobierno corporativo. Para ello, se advierte una tendencia para crear técnicas y tácticas disuasivas que motiven a los posibles atacantes a desistir de sus intenciones sobre la infraestructura tecnológica o personas de la organización.

Lo anterior significa jugar en el mismo terreno de los atacantes publicitando ataques de día cero, creando entorno de desinformación y siendo solidario otras víctimas de ataques. Esto implica, estudiar los movimientos de los adversarios, crear señuelos especializados para desviar la atención hacia objetivos distintos al de la organización que se protege. (CEB, 2016) La disuasión como estrategia de seguridad y control, se funda en técnicas militares que buscan comunicar y cambiar la percepción del entorno sobre el aseguramiento de la información en la empresa y así tratar de invisibilizarse en medio de la dinámica de alertas y ataques.

3. De la continuidad tecnológica a la resiliencia digital
Durante mucho tiempo las áreas de tecnología de información han sido las garantes del concepto de continuidad tecnológica, un esfuerzo permanente para asegurar que ante eventos inesperados, los componentes de tecnología que soporta el negocio sigan funcionando. En este escenario, se tienen múltiples estándares que han sido desarrollados a nivel internacional indicando las diferentes etapas y entregables que se deben construir para configurar el plan de continuidad y las respectivas pruebas de dichos planes.

De acuerdo con el ISO 22316 Seguridad y Resiliencia – Guías para la resiliencia organizacional, (ISO, 2016) la resiliencia organizacional es la habilidad de una organización para responder y adaptarse al cambio. La resiliencia habilita a una organización para anticiparse y responder a las amenazas y oportunidades, que se surgen de cambios graduales o inesperados tanto en su contexto interno como externo.

En este sentido, desarrollar esta habilidad en el entorno digital, implica cambiar el paradigma de protección de la información y del negocio, por implementaciones flexibles y dinámicas que se reconstruyen conforme ocurren los eventos, acelerando el aprendizaje de la organización respecto del evento o amenaza informática, para continuar operando bajo condiciones adversas y recuperarse en la medida que se confirman los impactos y alcances del ataque exitoso.

4. Aceleración de ataques sistémicamente comprometedores
La dinámica empresarial, las inestabilidades geopolíticas, los inciertos asociados con los derechos fundamentales en internet y las distintas expresiones de las discontinuidades tecnológicas nutren la complejidad inherente de las relaciones del ecosistema digital de una organización, anticipando crisis inesperadas, no sólo causadas por efectos de ataques de tipo tecnológico, sino por compromisos de la vida digital de las personas, donde su información personal, financiera o médica estará implicada en el tsunami digital de una realidad digital y modificada.

En este contexto, cualquier evento individual sobre un componente de un ecosistema digital de una organización o de un país, puede causar demoras, rupturas, denegación, discontinuidad o fallas en los productos o servicios, que afecten el tejido digital del cual hace parte, afectando no solamente a sus grupos de interés identificados, sino a comunidades o elementos extendidos en su red de contactos, que ponen de manifiesto la importancia de su participación en esta realidad sistémica de la empresa (WEF, 2016).

Ignorar este tipo de condición base de cualquier empresa en la actualidad, es habilitar a los atacantes para concretar ataques con efectos de difusión amplios y con alcances inesperados, que pueden trascender rápidamente su dominio particular y comprometer realidades externas, asistidas con terceros o participantes no considerados, que establecen rutas críticas para la operación de servicios o productos altamente dependientes de las características del ecosistemas digital del cual hacen parte. Un ejemplo es el ataque reciente a la empresa DYN y en el pasado el ataque a 10 servidores raíz de DNS de alcance global.

5. Mayor alfabetización digital de las juntas directivas
Los cuerpos de gobierno corporativos son siempre un objetivo de cualquier iniciativa organizacional que requiera atención y ubicación de recursos para su desarrollo. En este sentido, la seguridad de la información tiene el reto permanente de entender el imaginario vigente de estos ejecutivos (Cano, 2016) con el fin de ir motivando reflexiones alrededor de este tema, más allá de una rendición de cuentas por inversiones tecnológicas o reporte de incidentes que afectan las operaciones.

Conforme el escenario de las organizaciones demanda habilidades digitales, competencias para comprender y desarrollar productos y/o servicios digitalmente modificados y sobre manera pensar de forma digital, esto es, comprender y explorar la vista convergente de la tecnología como un facilitador de nuevas fronteras de negocios disruptivos, como motivador de experiencias inéditas de los clientes y como creadora de capacidades flexibles y adaptables que soportan estas características (Dörner y Edelman, 2015), se requiere acelerar el entendimiento de dicha dinámica en los cuerpos directivos para desarrollar una postura estratégica distinta, que mitigue el riesgo de deterioro estratégico, por su limitada comprensión del ecosistema digital de la cual ahora hace parte la organización.

En este sentido, la alfabetización digital demanda una mayor sensibilidad de los ciber riesgos, de la vista sistémica de los ataques y sus impactos, no como fenómenos exclusivamente tecnológicos, sino como iniciativas de desestabilización empresariales que buscan crear incertidumbre y la sensación de pérdida de control, con el fin de degradar la imagen de la empresa, disminuir el capital político de los miembros de junta y sobre manera, motivar una posición vulnerable de las organización frente a sus grupos de interés.

Reflexiones finales
Gartner (Perkins, 2016) en una reciente publicación advierte sobre la necesidad de la renovación de las prácticas de seguridad y control en las organizaciones considerando la acelerada transformación digital de las empresas y las naciones. Esta renovación no sólo pasa por el cambio de las estrategias de protección, sino por una vista renovada del control que ahora debe combinar acceso, uso y localización, como fundamento de la movilidad natural de las personas en entornos hiperconectados.

Lo anterior implica establecer una transición hacia unos nuevos normales, que necesariamente exige una alfabetización digital en los cuerpos de dirección, una integración y aseguramiento prácticas con los terceros que soportan las operaciones y la reinvención del ejecutivo de seguridad de la información, que debe pasar de ofrecer soluciones livianas, sencillas y efectivas, a proponer alternativas convergentes, integradas y efectivas.

Si se entiende que “el futuro no es el destino, no está predeterminado” y que las acciones que se toman en la actualidad lo definen, la seguridad de la información tiene un camino de esperanza hacia adelante, donde puede elaborar escenarios o imágenes de futuros posibles proyectivos (extrapolación de datos del presente), utópicos (escenarios deseables), catastróficos (escenarios indeseables) y futuribles (algo cercano a lo utópico, pero factible. Es el futuro deseable y posible) (Valderrama, 2013, p.148), los cuales advierten sobre la invitación para explorar los límites de las posibilidades, más allá del entendimiento de las probabilidades en un entorno volátil, incierto, complejo y ambiguo.

Esto es, superar el miedo al error, las posturas fijas y poco flexibles, los sesgos de los resultados del pasado (Gino y Staats, 2015) y las lecciones aprendidas de los incidentes, para construir una postura de seguridad de la información creativa, tolerante a la ambigüedad y la incertidumbre, inconforme con el statu quo y sensible a los retos y situaciones problemáticas, que destruya los estereotipos creados alrededor de la función y potencie las transformaciones que las organizaciones digitalmente modificadas requieren ahora y en el futuro.

Referencias
Bailey, T., Kaplan, J. y Rezek, C. (2015) Repelling the cyberattackers. Mckinsey Quartely. July. Recuperado de: http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/repelling-the-cyberattackers
Cano, J. (2016) Manual de un CISO. Reflexiones no convencionales sobre la gerencia de la seguridad de la información en un mundo VICA. Bogotá, Colombia: Ediciones de la U.
Cano, J. (2016b) Ecosistemas Digitales Criminales. La nueva frontera de los investigadores forenses informáticos. Blog IT- Insecurity. Recuperado de: http://insecurityit.blogspot.com/2016/03/ecosistemas-digitales-criminales-la.html
CEB (2016) 2016 security Outlook. 10 imperatives for the information security function.
Dörner, K. y Edelman, D. (2015) What ‘digital’ really means. Mckinsey Quarterly. July. Recuperado de: http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means
Gino, F. y Staats, B. (2015) Why organizations don´t learn. Harvard Business Review. November. Recuperado de:  https://hbr.org/2015/11/why-organizations-dont-learn
Perkins, E. (2016) Transform your security team to deal with Digital Business Risk. Gartner Research.
ISO (2016) ISO 22316. Security and resilience – Guidelines for organizational resilience.
Valderrama, B. (2013) Creatividad inteligente. Guía para convertir ideas en innovación. Madrid, España: Pearson.
WEF (2016) Understanding systemic cyber risk. Global Agenda Council on Risk and Resilience. Recuperado de: http://www3.weforum.org/docs/White_Paper_GAC_Cyber_Resilience_VERSION_2.pdf