miércoles, 30 de mayo de 2018

Ciber riesgo/Ciberseguridad. Superando cinco (5) imaginarios comunes en los cuerpos de gobierno corporativo


Introducción
La ciberseguridad como un tema emergente en los cuerpos de gobierno empresariales, ha venido creando reflexiones ejecutivas, que dan cuenta de nuevas realidades y retos que las organizaciones deben asumir frente a una amenaza digital, que evoluciona y se transforma tan rápido como las disrupciones tecnológicas actuales.

Sin perjuicio de lo anterior, los ejecutivos, al parecer siguen manejando imaginarios sobre esta temática, donde la incorporación de tecnología avanzada permite cerrar la incertidumbre identificada y mantenerse al margen de las inestabilidades que los riesgos emergentes pueden crear en los modelos de negocios actuales y futuros. Hoy las disrupciones tecnológicas, quiebran el statu quo de los negocios, mientras los ciberataques comprometen la confianza de los clientes y deterioran la imagen de la empresa.

En consecuencia, las juntas directivas se encuentran más expuestas a los inciertos de los ataques digitales, como quiera que estos eventos, no sólo revelan las limitaciones inherentes a la inevitabilidad de la falla, sino la desatención de los equipos directivos, sobre los alcances, impactos y desafíos que generan los sucesos digitales adversos. Esta tendencia, si bien contrasta con recientes informes que indican un resultado diferente (Pwc, 2018), no es ajena a muchos cuerpos de gobierno de empresas tradicionales, los cuales guiados por sus sesgos cognitivos piensan que conocen los riesgos, generando así una falsa sensación de seguridad.

Así las cosas, las juntas directivas deben superar al menos cinco imaginarios y sesgos cognitivos que les permitan rasgar el velo de la realidad y preparar mejor sus respuestas cuando un incidente de seguridad y/o ciberseguridad se manifieste en el ejercicio de sus operaciones diarias. Pensar desde la postura de la inevitabilidad de un incidente y la necesidad de un reconocimiento constante del entorno y su volatilidad, es un cambio de paradigma de seguridad y control frente al desarrollo de capacidades de pronóstico y anticipación.

Por tanto, en este breve documento se detallan y analizan los cinco imaginarios que, asistidos por sesgos cognitivos, reducen la capacidad de análisis y pronóstico de las empresas limitando su capacidad de resiliencia digital (Bodeau & Graubart, 2013), tan necesaria en entornos agrestes e inciertos como el actual

Imaginario No.1Los temas de seguridad y ciberseguridad son del área de tecnología. Ellos deben cuidar el negocio y responder a esta amenaza digital” – Sesgo de proximidad
Cuando se ha habla de temas en el contexto ciber, las referencias no son otras que las tecnologías modernas y los adelantos técnicos que aumentan la generación de datos alrededor de los objetos físicos. En este escenario, los ejecutivos asocian esta dinámica con los retos de las áreas de tecnología de información, sin percatarse que esta tendencia, de un aumento de densidad digital (Zamora, 2017), lo primero que hace es cambiar la lectura del entorno de negocio, suspendiendo la realidad que se conoce, transformando la experiencia de los clientes en nuevas posibilidades para conectarlos y crecer de forma conjunta con ellos.

En este sentido, se crea un sesgo cognitivo de proximidad, que consiste en estar tan cerca de la realidad que se manifiesta, que se pierde el contexto donde ocurre. Comprender que el resultado de una mayor densidad digital, genera en primer lugar un reto de negocio, es atender la necesidad de confianza digital de los usuarios de los nuevos productos y servicios digitalmente modificados, quienes demandan experiencias inéditas y tomar el control de su entorno para configurarlo según sus expectativas.

Por lo tanto, no es la tecnología por sí misma la que se debe proteger, sino crear una base de confianza digital (seguridad, privacidad, cumplimiento y promesa de valor) (Accenture, 2014) que supere la vista técnica de la relación con el cliente, conectando el nivel de exposición del negocio con los impactos de un ciberataque en sus grupos de interés, como un nuevo referente de gobierno corporativo, que permita incorporar la ciberseguridad en clave ejecutiva, es decir con matices estratégicos, financieros, técnicos y de industria.

Imaginario No.2Contamos con las capacidades y competencias en nuestros equipos de tecnología para hacerle frente a variaciones inesperadas de las amenazas digitales” – Sesgo de confianza
Bien anota Edgar Morin (2001) que estamos expuestos en un mar de incertidumbres, donde tratamos de encontrar algunos archipiélagos de certezas. En este ejercicio, se hace necesario todo el tiempo retar y renovar los saberes previos, con el fin de encontrar nuevas oportunidades para aprender y desaprender.

Contar con tecnologías avanzadas de seguridad y personal altamente competente en seguridad de la información, si bien permite avanzar en contextos ciertos, no asegura que la inevitabilidad de la falla encuentre nuevos caminos para sorprender a las organizaciones. En consecuencia, si la empresa permanece confiada en la manera como actualmente mantiene y ejecuta las rutinas de seguridad y control para mantenerse tranquila, encontrará escenarios desconocidos que crearán tensiones en el modelo de seguridad vigente, sacando de la zona cómoda a los ejecutivos de primer nivel.

La sensación de incertidumbre e inestabilidad que crea una condición inesperada que vulnere la seguridad de la información, aumenta el dilema de control latente (Espejo & Reyes, 2016) en los cuerpos de gobierno, que se sienten que su confianza ha sido defraudada y no reparan, en comprender que dicha confianza es imperfecta. Es decir, superar la vista de invulnerabilidad o cero riesgos, que implica comprender los umbrales de falla que la organización debe y puede manejar, según sus retos y condiciones de negocio actuales.

Por tanto, el reto de la confianza imperfecta (Cano, 2017) es el desafío de saber qué tan bien se protege y aseguran las operaciones, con el fin de defender y anticipar nuevos vectores de ataque que se revelan en el horizonte, de los cuales no existen referentes y donde las simulaciones, pruebas y escenarios se vuelven relevantes para tratar de develar patrones de agresiones digitales futuras.

Imaginario No.3La continuidad tecnológica en las plataformas de nuestras operaciones, nos permiten recuperarnos ante cualquier falla informática” – Sesgo de optimismo
Las organizaciones y las personas por lo general mantienen una vista positiva de las situaciones diarias, que, si bien permite una sana estabilidad emocional y psicológica, con frecuencia las llevan a subestimar la posibilidad y probabilidad que eventos adversos se manifiesten.

Esta condición anterior, lleva a las organizaciones a creer son más inmunes que otras a eventos adversos, teniendo como base que no ha habido situaciones relevantes en su sector o materializadas en empresas conocidas o cercanas (Meyer & Kunreuther, 2017). Lo anterior, genera un paradigma de “confort” en las prácticas de seguridad y continuidad del negocio que aumenta el imaginario de los ejecutivos sobre una seguridad a toda prueba.

Cuando una empresa es capaz de mantener un mínimo de paranoia bien administrado, mantiene una postura de vigilancia y monitorización proactiva, que le permite ajustar todo el tiempo su capacidad de reacción, pero con mayor efectiva, su faceta de anticipación. Tener continuidad tecnológica no asegura una adecuada gestión de la falla, sólo asegurar que la infraestructura y la continuidad de la misma se mantiene desde sus bases.

Una postura optimista sobre una baja probabilidad de un evento adverso, o la materialización de una amenaza digital, no exime a la organización de una estrategia proactiva de ejercicios, escenarios y simulaciones que no sólo la preparen para ese momento, sino que la actualice en paradigmas de continuidad, y la lleven a pensar en la resiliencia digital de los negocios.

Imaginario No.4Incorporar tecnologías avanzadas de seguridad, aumenta nuestra resistencia a problemas de fraude, seguridad y ciberseguridad” – Sesgo de inercia
Cuando una empresa se siente tranquila por el nivel avanzado de incorporación tecnológica de seguridad, comienza a cultivar la falsa sensación de protección. Esto es, crea un entorno de confianza ciega, que busca mantener un statu quo o una opción por defecto, que se justifica desde los beneficios potenciales de soluciones que prometen preservar la tranquilidad o resistencia a eventos informáticos adversos.

La inercia como incapacidad tanto de las organizaciones como de las personas de ver que están ocurriendo cosas fuera de su dominio de conocimiento y experiencia, establece las bases de un futuro incidente, como quiera que se crean zonas ciegas en sus análisis de la realidad, se subestiman las posibilidades de fallas y se acomodan las lecturas de la exposición del negocio, a aquello que los ejecutivos quieren escuchar.

La inevitabilidad de la falla, la vulnerabilidad y la incertidumbre deben ser los mejores referentes para establecer tensiones creativas sobre las implementaciones tecnológicas. Un ejercicio sano para crear entornos inesperados e inciertos, donde la tecnología no responda de la forma más adecuada y los ejecutivos experimentan vacíos y dilemas de control que no pueden resolver solos, sino en una lectura colaborativa que supere sus saberes disciplinares y se habilite una visión transdisciplinar.

La inseguridad de la información al igual que el fraude, son dinámicas que nunca se acomodan con las condiciones del entorno. Tienen la capacidad de transformarse y renovarse al interactuar con el incierto, de tal forma, que no sólo crean contextos inesperados, sino nuevas perspectivas para mimetizarse con el ambiente. En consecuencia, la organización que es ajena a la naturaleza de estos dos fenómenos, estará expuesta a experiencias de inestabilidad y ambigüedad que afectarán no solo su promesa de valor, sino la experiencia con su cliente.

Imaginario No.5Compañías de nuestro sector de negocio han superado incidentes de seguridad, con un mínimo de inversión” – Sesgo de rebaño
Una forma natural en la que los cuerpos ejecutivos de las empresas tratan de comprender los fenómenos de las organizaciones, es indagando cómo lo hacen los otros, qué experiencias han tenido y las prácticas que han implementado. Este ejercicio, por demás acertado y necesario, deja de lado algunos supuestos que los directivos pasan por alto, sin perjuicio de la positiva intencionalidad de sus reflexiones.

Cuando una organización pregunta por las experiencias de otras, está preguntando por sus propias inquietudes e incertidumbres, las cuales llevan inmersas una declaración de “no saber” que la motiva a aprender sobre aquello que no tiene conocimiento o no tiene claridad. Esto implica declarar una ceguera cognitiva que no comprende y explorar posibilidades fuera del entorno conocido dentro de la organización.

Una vez la organización tiene acceso a la información o responde a las inquietudes que tiene sobre un tema de interés, trata de abordar la situación interna desde la perspectiva de la otra organización, tratando de adaptar la lección aprendida a su contexto particular, muchas veces sin recabar el contexto diferente que ella enfrenta, habida cuenta que no son las mismas condiciones y variables las que están en juego.

Lo anterior, puede llevar a un sesgo de rebaño (Meyer & Kunreuther, 2017), que es la tentación de tomar opciones basados en las acciones de otros, creando una sensación de certidumbre, que lo que hace es encubrir los verdaderos motivadores y fundamentos de la situación identificada. Si bien, las empresas de un mismo sector pueden tener referentes equivalentes, las dinámicas de cada una responden a momentos y situaciones únicas, que deben ser consideradas y analizadas de forma particular.

Los incidentes de seguridad, los ciberataques, las amenazas digitales a las cuales están expuestas las organizaciones, responden a condiciones diferenciadas que rompen con la cotidianidad y exigen quebrar la lectura conocida del entorno, para encontrar patrones de posibles agentes hostiles allí donde lo no convencional proporciona una sabiduría especial y una lectura diferente.

A continuación se resumen los cinco imaginarios revisados en la siguiente gráfica:

Figura 1. Cinco imaginarios de las juntas directivas sobre el ciber riesgo y la ciberseguridad. Elaboración propia


Reflexiones finales
Comprender y superar estos cinco imaginarios de las juntas directivas sobre el ciber riesgo y la ciberseguridad, demanda fundar un lenguaje común que permita una lectura convergente de estas temáticas desde el modelo de negocio de la empresa. Cuando el ciber riesgo se conecta con las promesas de valor de la empresa, con la confianza digital requerida en el cliente y con la declaración de un ejercicio de confianza imperfecta frente a la exposición de la empresa, es posible abrir un espacio de construcción directivo donde lo “ciber” deja de ser algo que “otros hacen por mi”, y pasa a ser “eso que concreta y conecta la experiencia del cliente”.

Este nuevo lenguaje debe estar desarrollado desde la manera como la empresa crea su ventaja competitiva, bien desde el contenido, la experiencia del cliente o las plataformas que usa para desplegar su promesa de valor (Weil & Woerner, 2018). En este contexto, se hace necesario comprender la densidad digital de la empresa, su nivel de conectividad con terceros y sobremanera, las capacidades y competencias de sus colaboradores para efectuar un adecuado tratamiento de la información.

De igual forma, es necesario comprender y acelerar el conocimiento sobre nuevos paradigmas de computación como la “computación en la niebla” (en inglés Fog Computing), donde se crea una infraestructura de computación descentralizada que distribuye las funciones de computación, control, almacenamiento y redes más cerca de los dispositivos de los usuarios finales (Chiang & Zhang, 2016). Lo anterior implica, diseñar y desarrollar prototipos, simulaciones y escenarios sustentados en productos y/o servicios digitalmente modificados, donde las “cosas” van a estar comunicadas y conectadas, creando experiencias en los clientes, para reconocer los nuevos inciertos y retos que esto plantea frente a las nuevas apuestas de negocios disruptivos que se puedan plantear.

Así las cosas, el ciber riesgo y la ciberseguridad, deben salir del imaginario tecnológico donde han sido concebidos, para comprender la nueva dinámica digital de los negocios, donde se hace necesario reconocer a la densidad digital como un nuevo actor que motiva nuevas amenazas y oportunidades para las empresas. Por tanto, las juntas directivas deben comprender que la era de la incorporación tecnológica está llegando a su fin, dando a paso a un nuevo amanecer de nuevos ecosistemas de negocio digitales, donde los terceros se vuelven parte natural para crear esa ventaja competitiva, ahora más esquiva y volátil, en un contexto digital y tecnológicamente modificado.

Referencias
Accenture (2014) Accenture’s Four keys to digital trust. Research Report. Recuperado de: https://www.accenture.com/us-en/insight-trends-communications-digital-trust-consumer-data-control
Bodeau, D. y Graubart, R. (2013) Cyber Resiliency and NIST Special Publication 800-53 Rev.4 Controls. Mitre Technical Report. MTR130531. Recuperado de: https://www.mitre.org/sites/default/files/publications/13-4047.pdf
Cano, J. (2017) Riesgo y seguridad. Un continuo de confianza imperfecta. En Dams, A., Pagola, H., Sánchez, L. y Ramio, J. (eds) (2017) Actas IX Congreso Iberoamericano de Seguridad de la Información. Universidad de Buenos Aires - Universidad Politécnica de Madrid. 34-39
Chiang, M. & Zhang, T. (2016) Fog and IoT: An Overview of Research Opportunities. IEEE Internet of Things Journal. 3(6) pp. 854-864.  doi: 10.1109/JIOT.2016.2584538
Espejo, R. & Reyes, A. (2016) Sistemas organizacionales. El manejo de la complejidad con el modelo del sistema viable. Bogotá, Colombia: Ediciones Uniandes – Universidad de Ibagué
Meyer, R. & Kunreuther, H. (2017) The Ostrich paradox. Why we underprepare for disasters. Philidelphia, USA: Wharton Digital Press.
Morin, E. (2001) Los siete saberes necesarios para la educación del futuro. Barcelona, España: Paidos.
PwC (2018) The Anxious optimist in the corner office. CEO Survey Report. Recuperado de: https://www.pwc.com/gx/en/ceo-survey/2018/pwc-ceo-survey-report-2018.pdf
Weil, P. & Woerner, S. (2018) What’s your digital business model. Six questions to help you build the next-generation enterprise. Boston, MA. USA: Harvard Business Review Press.
Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre.

jueves, 1 de marzo de 2018

Ciberconflictos en la era digital: Ciber-axiomas y recomendaciones


Introducción

La dinámica global del mundo que conocemos ha cambiado. La acelerada evolución de la tecnología y los nuevos activos digitales, establecen tensiones emergentes entre las naciones para encontrar lugares privilegiados que le permitan influir en sectores no tradiciones y crear condiciones favorables para sus ciudadanos, no sólo en el despliegue de actividades y acciones productivas de alcance internacional, sino en el posicionamiento de una doctrina global de seguridad y control (Choucri, 2012).

Esta nueva realidad, crea escenarios más asimétricos y menos predecibles, como quiera que en un contexto digitalmente modificado, los diversos actores que participan tienen capacidad de influencia y desestabilización, bien por vías conocidas como organismos multilaterales y cumbres políticas, o por rutas alternas como grupos de agresores digitales en las sombras (generalmente patrocinados por estados), que diseñan, desarrollan, despliegan y ejecutan operaciones en el ciberespacio, con propósitos específicos, como pueden ser algunos de ellos APT29, Lazarus, Remsec, entre otros (Kello, 2017).

En razón con lo anterior, no es ingenuo pensar que estamos en medio de un ciberconflicto global, donde las naciones ahora, establecen posturas geopolíticas e infopolíticas (basadas en el manejo de la información) para crear y ganar ventajas estratégicas en el ciberespacio, con el fin de crear un imaginario de “control”, que procure debilitar posiciones de “poder” conocidas, y motivar movimientos de comunidades internacionales para introducir inestabilidades imperceptibles en el ciberdominio, lugar donde las interacciones de los diferentes actores: personas, empresas y estados, se hace realidad, a través del engaño y la disuasión (Green, 2015).

Ciber-axiomas: Verdades transitorias para los ciberconflictos en el entorno digital 

En este contexto, los ciberconflictos establecen una serie de ciber-axiomas en un entorno digitalmente modificado, que permiten reconocer algunos patrones de actuación y efectos que se vienen presentando en el marco internacional, para identificar movimientos de las naciones y sobremanera, consecuencias que deben advertir las empresas, como quiera que son ellas y los ciudadanos, los que están expuestos a las diferentes ciberoperaciones que se adelantan entre los intereses globales.

Los ciber-axiomas, de acuerdo con Sienkiewicz (2017), se pueden resumir como:
  • Efecto de red: Un bien o servicio adquiere valor en la medida que aumenta su utilización y sus flujos de información pueden generar activos digitales interesantes para otros grupos de interés.
  • Guerra sin restricciones: Todos los medios posibles se pueden utilizar para crear inestabilidad y cualquier actor de la sociedad puede ser un objetivo.
  • No confianza: Cualquier elemento en el entorno puede ser utilizado para comprometer o someter a la contraparte. Una persona, un dispositivo, una aplicación y los datos se asumen siempre como no confiables.
  • Omnidireccionalidad: Las acciones pueden venir desde cualquier parte. Mientras la mitigación de vulnerabilidades es relativamente estática, las amenazas potenciales para una nación o empresa pueden generarse en diferentes momentos y lugares.
  • Asimetría: Las capacidades de los actores involucrados no es conocida y sus potencialidades no han sido evaluadas.
  • Barreras de entrada: Todas las barreras que se definan para contener una agresión son para demorar y disuadir, no para proteger.
  • Atemporalidad: En un escenario digitalmente modificado una agresión ocurre sin marco de tiempo reconocido. Las acciones se programan de manera automática para que se ejecuten al mismo tiempo desde lugares distintos y de forma aleatoria.
  • Defecto cero: En un entorno digital y tecnológicamente no existe hardware y software libre de vulnerabilidades. Sólo es cuestión de tiempo averiguarlo.
  • Engaño: El engaño en el contexto digital se traduce como una interacción entre dos o más partes, donde una de ellas quiere que su contraparte acepte como válido, algo que en su origen no lo es. En un ciberconflicto esta es la norma.
  • Atribución: En el ciberespacio establecer la autoría de una agresión digital, es una declaración complicada (y políticamente delicada), dadas las acciones de camuflaje, suplantación y anonimato que los atacantes pueden desarrollar para concretar sus acciones.
  • Desinformar: El uso de información falsa de forma deliberada o difusión de información parcial y manipulada, como estrategia para desviar la atención o engañar a una audiencia. Esto es parte del reportorio de acciones de los agresores.
  • Rizomático: El ciberconflicto tiene la característica biológica de un rizoma, es decir, no tiene una estructura definida, cambia de posición, sus interacciones avanzan distintas direcciones, no comporta un sitio estable y crea nuevas conexiones.
Estos ciber-axiomas, establecen la base de la nueva realidad que las naciones y las organizaciones deben considerar para mantener sus operaciones actuales con los menores impactos posibles y procurar la construcción de alianzas estratégicas entre los participantes de un sector específico para concretar y desarrollar capacidades conjuntas que le permitan una mejor estrategia de defensa activa y pasiva (Archibald et al, 2005), para superar las inestabilidades que la tensiones internacionales revelan en la actualidad.

Así las cosas, si bien es claro que al final, el agresor digital doblegará las “barreras” y superará las estrategias de protección definidas, para lo cual la empresa y las naciones deberán contar con procedimientos y prácticas de atención de incidentes, se detallan a continuación algunas ideas y recomendaciones para mantener una “paranoia debidamente administrada”, en donde los distintos actores de la dinámica de los ciberconflictos desarrollan una “tensión creativa” para sumergirnos en el escenario de lo incierto y desconocido.

Recomendaciones

Recomendaciones para las personas:
·         La contraseña en un punto único de falla. Por tanto, debe ser en la medida de lo posible dinámica y multifactor (validación por medios alternos: mensaje de texto o pines de autenticación a cuentas alternas).
  • Haga un uso responsable de las redes sociales. A mayor exposición de información personal, mayor “sombra digital” disponible y manipulable.
  • Proteja sus archivos personales y sensibles. Haga respaldos de información en medios locales, alternos y remotos. Mantenga su actualización al menos una vez al mes.
  • Concientice, apropie y asegure las prácticas de protección de la información en cada uno de los miembros de la familia, considerando los riesgos y retos de su manejo en internet. A mayor resistencia y preparación, mayor disuasión para el agresor.
  • Disminuya el número de puntos vulnerables en sus equipos y dispositivos. Entre menor sea la ventana exposición mayor exigencia para el atacantes y sus estrategias de acción.
  • Asegure la información sensible a la que tiene acceso. Si es necesario transmitirla, use canales cifrados extremo a extremo, verificando origen y destino de forma aleatoria.  De igual forma, si se requiere usarla, mantenga su custodia cercana y verificable de ésta, de lo contrario deberá estar guardada y en la medida de lo posible, cifrada.
  • Otras recomendaciones las puede encontrar en: Endureciendo el cortafuegos humano. El arte de la contrainteligencia social. Disponible en: http://insecurityit.blogspot.com.co/2014/06/endureciendo-el-cortafuegos-humano-el.html

Recomendaciones para las organizaciones:
  • Asegurar la madurez de la cultura organizacional de seguridad de la información: mayor capacidad para detectar situaciones desconocidas, monitorear acciones inestables y reportar posibles fallas o vulnerabilidades a nivel de personas, procesos, dispositivos o datos.
  • Pruebas y valoraciones permanentes de los controles vigentes, estrategias de vulneración novedosas, ataques ciegos y semiciegos, simulaciones y escenarios conocidos y desconocidos, y en la medida de lo posible, ejercicios o juegos de guerra, coordinados con autoridades nacionales.
  • Monitorear, correlacionar, detectar y anticipar patrones y amenazas emergentes en el entorno que puedan comprometer las operaciones y la promesa de valor de la empresa.
  • Observar el cumplimiento normativo y legal requerido por su sector de negocio y las entidades del orden nacional e internacional que sea requeridas para mantener la confiabilidad de la comunidad internacional y el aseguramiento de los procesos de negocio.
  • Crear alianzas con terceros confiables, organizaciones nacionales de defensa cibernética y centros de atención de incidentes, para compartir información y aumentar la resiliencia de las empresas frente a agresiones digitales no identificadas.
Recomendaciones para los gobiernos:
Establecer mandatos y directrices en temas como:
  • Persecución y judicialización de cibercrímenes, con el apoyo de la comunidad internacional.
  • Proveer anuncios preventivos permanentes de amenazas y vulnerabilidades tanto a la ciudadanía como a las empresas.
  • Definir estándares de responsabilidad demostrada que establezcan el debido cuidado y diligencia de las empresas frente a las infraestructuras críticas que tiene a cargo y reportar su nivel de cumplimiento.
  • Revelar y comunicar a la ciudadanía las brechas de seguridad que afecten a los diferentes grupos de interés como parte de su responsabilidad digital empresarial.
  • Diseñar y aplicar estándares de resiliencia digital que incluya pruebas y simulaciones coordinadas con los diferentes sectores de la sociedad.
  • Establecer currículos educativos, estudios de caso y desarrollo de competencias en temas de ciberseguridad, ciberdefensa, seguridad y privacidad de la información en los colegios y los diferentes niveles académicos de las instituciones de educación superior.
  • Habilitar espacios y canales para compartir información sobre tendencias y amenazas detectadas tanto en el sector público como privado para crear una red extendida y proactiva de seguridad.
  • Establecer incentivos y presupuestos de inversión para la investigación, desarrollo e innovación en temas de ciberseguridad, ciberdefensa, seguridad y privacidad de la información.
Reflexiones finales

Si bien las reflexiones que se han desarrollado en este documento no son exhaustivas, si hacen evidente el escenario incierto y poco visible que se tiene en la actualidad sobre los ciberconflictos, para motivar acciones y cambios en la manera de concebir los negocios en la era digital. En este sentido, las noticias sobre del desarrollo de una “ciberguerra global” no deben ser tratadas como “ciencia ficción”, sino como “hechos verificables”, que han de ser entendidos, analizados e incorporados en las actividades ejecutivas de las empresas como parte natural de sus actuaciones y decisiones de gobierno corporativo.

Finalmente y no menos importante, en la medida que aumente la sensibilidad para comprender y analizar los ciberconflictos, mejores oportunidades tendrán las naciones, empresas y ciudadanos para crear estrategias que les permitan disfrutan el ciberespacio y sus posibilidades, creando zonas confiables de interacción en el ciberdominio que, sin llegar a ser invulnerables, cuentan con la suficiente resistencia y resiliencia, que le dice a los posibles agresores digitales, que están dispuestos a defender su derecho a la “no agresión” y a la “paz digital”, para motivar transformaciones digitales que cambien la manera de hacerlas cosas y concebir el mundo.

Referencias
Archibald et al (2005) Agressive network self-defense. Rockland, MA. USA: Syngress Publishing.
Choucri, N. (2012) Cyberpolitics in international relations. Boston, MA. USA: MIT Press
Green, J.  (Editor) (2015) Cyber Warfare. A multidisciplinary analysis. New York, USA: Routledge.
Kello, L. (2017) The virtual weapon and international order. New Heaven, CT. Yale University Press.
Sienkiewicz, H. (2017) The art of cyber conflicts. Indianapolis, USA: Dog Ear Publishing.

domingo, 21 de enero de 2018

La paradoja de la experiencia: Un reto para los CISO más experimentados

Los más experimentados directores o ejecutivos de seguridad de la información tienden a sufrir la “paradoja de la experiencia”. Una paradoja que generalmente se presenta luego de más de una o dos décadas de ejercicio profesional en dicha disciplina. Esta paradoja, si bien no es algo que comprometa la esencia de su práctica, si es un riesgo latente que deben atender para evitar el aumento del nivel de sesgos que se pueden presentar en sus decisiones, sin poderlos notar.

La paradoja de la experiencia es, siguiendo las ideas de Taylor (2016, p.72-73), “la frustrante realidad de que cuanto más profundamente sumergido se está en un mercado, una categoría de producto o una tecnología, más difícil resulta abrirse a nuevos modelos, nuevas ideas o propuestas que pueden remodelar ese mercado o formas prometedoras de superar esa tecnología”. En este sentido, cambiar de dominio o perspectiva puede ayudar al ejecutivo de seguridad de la información a retar su práctica introduciendo visiones que sugieran reflexiones distintas.

En un contexto donde el flujo de información se presenta de formas inesperadas, la densidad digital (Káganer, Zamora, & Sieber, 2013) aumenta de manera exponencial y más objetos del mundo físico son digitalmente modificados, es necesario que los profesionales de seguridad tomen distancia de sus saberes previos y las buenas prácticas que conocen, para observar la nueva pintura de la realidad que tienen en la actualidad. El ejercicio no es observar lo que se ve en este panorama, sino poder hablar acerca de lo que se ve, poder detallar aspectos invisibles a la cognición y particularmente, reconocer que no se tiene la variedad requerida para dar cuenta con los riesgos emergentes o reinventados, que se ocultan en este contexto.

Crear zonas de disonancia y discrepancia en la manera como se lee el entorno, permite mover de la zona cómoda a los analistas tradicionales de seguridad. Incorporar visiones de personas no especialistas en seguridad, profesionales que sean críticos de los estándares conocidos, sorprenderse con posibilidades no documentadas, incorporar lecciones aprendidas de otros procesos y crear conexiones entre dominios aparentemente no relacionados son entre otras, algunas rutinas que la función de seguridad de la información deberá incorporar para poder superar el reto de la “paradoja de la experiencia”.

En este contexto, los profesionales de seguridad deben activar más que la innovación, la imaginación. Esto es, ventanas de aprendizaje permanente, creando experiencias de eventos que puedan sorprenderlos, con el fin adelantar un ejercicio semejante al que adelantan los atacantes. Mientras los “chicos malos” se mantienen “jugando y experimentando” en el terreno de la incierto y no documentado, los profesionales de seguridad de la información deberán desarrollar un sentido de urgencia para avanzar y concretar propuestas que visualicen nuevas formas de anticipar los movimientos de los agresores.

Por tanto, los ejecutivos de seguridad de la información deberán estar atentos a reconocer y superar al menos los siguientes siete (7) sesgos (Meyer & Kunreuther, 2017) en sus decisiones sobre la protección de la información y el valor de la empresa, como quiera que no hacerlo, es habilitar un entorno de vulnerabilidad no documentada, que sólo se hace evidente una vez se ha concretado un hecho.

El primero es el sesgo de miopía, que implica concentrarse en decisiones de corto plazo y soluciones inmediatas. Este sesgo muchas veces se aumenta con la presión de las organización y los miembros de junta por tener resultados de manera pronta, lo que termina marginando la capacidad sistémica de ver otros aspectos del entorno, que pudiendo ser relevantes, terminan siendo marginados de los análisis y abandonados luego por la exigencia de agilidad y efectividad requerida por la organización.

El segundo es el sesgo de amnesia, que se concreta cuando se olvidan rápidamente las lecciones del pasado. Un ejecutivo de seguridad que no mantiene la trazabilidad o línea de tiempo de los eventos claves que han ocurrido dentro o fuera de la organización, termina decidiendo con lo que con su corta memoria puede recordar sobre los hechos que se materializaron. Su equipo debe ayudarlo a mantener vigente el mapa de lecciones que se han aprendido y se deben aprender.

El tercero es el sesgo de optimismo, que habla sobre subestimar la probabilidad de la pérdida por un incidente. Si bien, el ejecutivo de seguridad sabe el nivel de inversión y confiabilidad de la tecnologías de protección que tiene incorporada, debe mantener un mínimo de paranoia bien administrado que le permita estar indagando y retando los niveles de seguridad y control que tiene disponibles y cómo un ataque puede afectar a la organización y comprometer el valor que ella genera.

El cuarto es el sesgo de inercia, ese que quiere mantener el statu quo, aquel que dice “lo que tenemos es suficiente y además no ha pasado nada”. Esta postura, lo que hace es habilitar un escenario de posibles amenazas que crece de forma silenciosa, dado que los atacantes saben y conocen las rutinas de monitoreo y control que tiene la organización. Lo que aparentemente puede ser normal, puede estar gestando una brecha de forma oculta.

El quinto sesgo es el de simplificación, en donde el ejecutivo tiene atención selectiva a ciertos detalles, dejando de lado a otros. Este sesgo es muy sensible y requiere que múltiples fuentes y análisis se vinculen y reten las reflexiones del director de seguridad de la información, con el fin de ver aspectos del entorno que podría ser relevantes frente a una situación particular. Las tendencias y patrones que se puedan identificar, aún no sean confirmadas pueden ayudar a anticipar posibles amenazas que están en curso.

El sexto sesgo es el de influenciar, en el cual el responsable de seguridad de la información toma acción basado en opciones que otros han tomado previamente. Si bien, otros colegas tienen experiencia en el tratamiento de una situación particular, es claro que tenían un contexto diferente de aquel que la tiene en este momento. Por tanto, es clave consultar la práctica de otros, para construir el escenario propio donde variables diferentes van a orientar decisiones en otras direcciones.

El último sesgo de arrogancia(*), es una característica del profesional de seguridad que piensa que conoce siempre la respuesta para asegurar una situación inesperada. Si bien el responsable de seguridad debe confiar en sus saberes, prácticas y estándares, y transmitir tranquilidad a sus grupos de interés, debe también darle paso a aquellos que desde otras disciplinas retan sus reflexiones y propuestas. En la medida que el directivo de seguridad pueda superar sus propias seguridades, es posible encontrar alternativas que sumen a las iniciativas de protección que requiere una organización.

En consecuencia, la “paradoja de la experiencia” es un elemento a tener en cuenta en el desarrollo de un Chief Information Security Officer, como una sana advertencia para mantenerse atento sobre los acelerados cambios del entorno, las inestabilidades de sus saberes previos y sobremanera, como una forma de preguntarse cada cierto tiempo, “¿cuándo fue la última vez que hice algo por primera vez?”.

Referencias
Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. Tercer trimestre. 18.
Meyer, R. & Kunreuther, H. (2017) The ostrich paradox. Why we underprapare for disasters. Philadelphia, Pennsylvania. USA: Wharton Digital Press.
Taylor, W. (2016) Simply brillant. How great organizations do ordinary things in extraordinary ways. New York, USA: Penguin.

(*) Sesgo basado en la experiencia y fuera de la referencia de Meyer & Kunreuther (2017).