domingo, 5 de agosto de 2018

Conocimiento del entorno y confianza digital: Fundamentos de la próxima generación de profesionales de seguridad de la información y ciberseguridad

Introducción
En un contexto digitalmente modificado, los retos de la seguridad de la información y la ciberseguridad cambian sustancialmente. Mientras en el pasado, las prácticas de protección de la información se mantenían con recetas conocidas: controles generales de tecnología de información, generación de alertas sobre eventos previamente identificados, evaluaciones de verificación de controles, entre otros; hoy el panorama dinámico y asimétrico de las vulnerabilidades, riesgos y amenazas demanda una vista más sistémica y prospectiva que cambia el status quo reactivo y preventivo de la seguridad y el control (Kaplan, Bailey, O’Halloran, Marcus & Rezek, 2015).

Si bien durante la última década del siglo XX y la primera del siglo XXI, la seguridad de la información, estuvo marcada por la protección de los activos de información en las organizaciones (Cano, 2018), hoy en los albores de la tercera década de este nuevo milenio, es la densidad digital, el nuevo paradigma que los profesionales de la protección de la información deben comprender, para alinear los esfuerzos de los ejecutivos y sus retos empresariales, frente a la inevitabilidad de la falla, que ahora se concentra en plataformas digitales, terceros de confianza, convergencia tecnológica y tecnologías disruptivas.

La densidad digital como “el poder de acceder de forma remota a los datos generados por las organizaciones, las personas y las cosas sin importar su ubicación física, y de articular interacciones relevantes entre ellas” (Zamora, 2017), se configura como el nuevo normal que deben asumir los profesionales de la protección de la información, para reinventar sus prácticas y modelos de seguridad y control, ahora en un contexto de flujos de datos controlados, latentes (no controlados) y emergentes, los cuales definen la condición de confiabilidad de un objeto digitalmente denso.

Lo anterior, configura nuevos escenarios de interacción, donde las “cosas digitalizadas” hacen parte de ecosistemas con funcionalidades y características extendidas, que crean capacidades diferenciales para las empresas, con el fin de fundar experiencias distintas para sus clientes. Estas nuevas plataformas digitales, que pertenecen a diferentes compañías, se fusionan con desarrolladores especializados para proveer una variedad de interfases de programas de aplicaciones (en inglés API), que permiten integrar y potenciar la conectividad entre diferentes contextos de uso (dispositivos móviles, aplicaciones, hardware, entre otros) para lograr funcionalidades antes no imaginadas (De Reuver, Sørensen & Basole, 2018).

En consecuencia, este documento hace una revisión de los retos que enfrentan los profesionales de seguridad de la información y de ciberseguridad (en adelante psiyc) en una sociedad digital, y detalla algunas reflexiones sobre cómo deben abordar esta nueva realidad tecnológicamente modificada, con el fin de ejercer un liderazgo digital valioso, que anticipe, comprenda y comunique los riesgos como elementos claves para construir una confianza digital imperfecta, que está basada, no sólo en la protección de activos de información, sino en activos digitales que ahora en están en manos de los clientes, y que evolucionan según las expectativas y experiencias de éstos.

Retos de los profesionales de seguridad de la información y ciberseguridad en un contexto digital
Los especialistas y ejecutivos en seguridad de la información y ciberseguridad, se encuentran en una encrucijada, que les demanda resolver el reto de la velocidad y la creatividad del negocio, con la protección, no sólo de la información, sino de la realidad digital que ahora vive y experimenta el cliente.

En este sentido, los límites naturales de los profesionales en la protección de la información, que están fundados dentro de los linderos de la organización para la cual prestan sus servicios, ahora se extienden sobre los escenarios alternos que ahora plantean los negocios actuales. Un cliente digitalmente conectado, se configura como una extensión de la empresa y se convierte en parte inherente de la promesa de valor de la empresa, así como en un elemento clave en la lectura de la confiabilidad de la empresa y sus productos.

Si bien, la elaboración y configuración de los nuevos dispositivos digitalmente densos, exige un mayor detalle y consideraciones de seguridad y privacidad por diseño (Bhattari & Wang, 2018), los psiyc deben asegurar que dicho artefacto se revele a los clientes, no solo como una oportunidad que concreta nuevas experiencias, sino como un elemento digitalmente confiable, donde tanto empresa como cliente, construyen una relación de confianza digital, que conecta las exigencias de cumplimiento de calidad y conformidad de producto, y la promesa de valor de la empresa con sus usuarios.

Dicho lo anterior, los retos claves que los psiyc, se concentran en al menos cuatro (4) elementos claves: los flujos de datos conocidos (controlados), los latentes (no controlados) y aquellos emergentes, propios de las nuevas implementaciones propuestas y poco estudiadas (ver figura 1), así como priorizar la cultura de confiabilidad sobre el proceso de aseguramiento de la información.


Figura 1. Flujos de información en contextos digitalmente modificados. Elaboración propia

Los flujos de datos conocidos, están asociados con las conexiones que se han fundado sobre la infraestructura, los diseños de las aplicaciones y sus funcionalidades, las cuales cuentan con una lectura de riesgos y controles tradicional que permiten mantener una confianza base de la operación. En este escenario, los terceros de confianza y las infraestructuras compartidas en sí mismas, deben mantener una línea base de seguridad y control que mantenga su negocio bajo condiciones estables de funcionamiento y cumpliendo con la exigencias de las regulaciones y mejores prácticas internacionales.

Los flujos latentes (no controlados), se derivan de las conexiones y usos alternativos que se configuran sobre los dispositivos digitalmente modificados. Las funcionales y la conectividad que se habilitan en estos objetos digitales a través de APIs, establecen un mapa extendido de la infraestructura, que crea rutas alternas de enlaces entre la infraestructura, los datos de las personas y las características del mencionado objeto, que no son visibles ni para el administrador de la infraestructura, ni para el desarrollador de las aplicaciones, ni para el cliente; creando una zona gris de interacción que debe ser revelada y asegurada en tiempo real (Calabro, Púrpura, Vasa & Perinkolam, 2018).

Los flujos emergentes, surgen cada vez que un nuevo ecosistema aparece con capacidades diferenciadas, brindando espacios de conectividad, contenido y acoplamiento con infraestructuras previas, lo que si bien, habilita y establece nuevas oportunidades para hacer cosas distintas y anticipar expectativas de los usuarios, también abre espacios donde se cultiva de manera acelerada la inevitabilidad de la falla, dada la opacidad de los flujos de información que se generan, la forma como se concretan las interacciones y los caminos (entre las infraestructuras, las aplicaciones y los individuos) que se habilitan para lograr el efecto deseado en el cliente.

Si lo anterior representa un reto de diseño, implementación y anticipación relevante para los psiyc, la cultura de confiabilidad, representada en la responsabilidad digital compartida entre el cliente y la organización por un uso adecuado de la información, la protección de la privacidad y el cumplimiento normativo, no es menos importante, para asegurar una vista complementaria de los desafíos de estos profesionales. La cultura de confiabilidad (o de seguridad o ciberseguridad) configura una serie de comportamientos que confirman un imaginario de confianza, que debe anclarse en cada uno de los participantes de los ecosistemas de negocios actuales: desde el desarrollador hasta el usuario final (Reed & Carleton, 2018).

Nuevas habilidades para asumir el reto de la confianza digital
Asumir reto de proteger un mundo mediado por flujos conocidos, latentes y emergentes, demanda un cambio en la manera como los psiyc, comprenden la forma como se alcanza la protección y la confianza en un entorno digital. Para ello, estos profesionales deben pasar de actuar de forma mecanicista basado exclusivamente en prácticas conocidas, a pensar de forma sistémica, es decir, observar el panorama general y sus relaciones visibles, así como las emergentes, de tal manera que pueda construir un mapa del ecosistema digital que la organización ha construido, con el fin de anticipar posible eventos y amenazas que generen tensiones negativas sobre la promesa de valor de la empresa.

Lo anterior supone, desarrollar distracciones productivas (Lund, 2018), que permitan observar y analizar diferentes perspectivas del entorno donde se encuentran, identificando detalles en las interacciones, sin perder la dinámica general del movimiento general del ecosistema donde opera la organización. Esto supone un ejercicio de curiosidad y concentración, que combine la capacidad de asombro (Calvo, 2016) de los profesionales y ejecutivos de la seguridad, con la práctica deliberada de focalizar la atención, sobre situaciones que puedan ser contradictorias, raras o inciertas.

Para lograr lo anterior, los psiyc deben estar atentos para no dejarse llevar por los “cantos de sirenas digitales” (Lund, 2018) que distraen la atención desde la “falsa sensación de seguridad”, la comodidad de sucesos que se enmarcan en la normalidad de la operación y sobremanera, en la zona cómoda de los estándares y buenas prácticas de seguridad y control donde la inercia y la decisiones conocidas no dejan espacio para pensar diferente.

Así las cosas, los psiyc deben combinar su experiencia previa, con su capacidad de asombro sobre tendencias y situaciones emergentes, que le permita ir en profundidad en su campo de conocimiento, mientras interactúa de forma colaborativa con sus pares y terceros de confianza, así como con profesionales de otras disciplinas, para liberarse de las cegueras cognitivas (Richards, 2018), crear una zona de tensiones sobre los controles actuales y abrirse a nuevas formas de caracterizar los comportamientos del ecosistema que ahora custodia, no sólo desde la realidad de la empresas, sino con las implicaciones para los clientes.

En este nuevo escenario volátil, incierto, complejo y ambiguo, los psiyc deben ajustarse rápidamente a las demandas del entorno, aumentar su capacidad de análisis, desaprender/aprender de forma ágil frente a la asimetría de las vulnerabilidades y amenazas, de tal manera que, comprendiendo la convergencia tecnológica acelerada, pueda construir un modelo de ciber-resiliencia (Boyes, 2015), que haga resistente a las fallas, no sólo la infraestructura, las aplicaciones y los objetos digitalmente densos, sino la conexiones y relaciones entre los diferentes actores de los nuevos ecosistemas digitales de negocios.

Creando profesionales de seguridad y control valiosos para el contexto digital
Para concretar esta nueva raza de psiyc, requeridos en una sociedad digital y tecnológicamente modificada, es necesario comprender donde se encuentran las ventajas competitivas que les permitan avanzar tan rápido como los desarrollos tecnológicos e iniciativas de negocio. En razón con lo anterior, se presenta a continuación una lectura de nuevas fuentes de ventaja competitiva para dichos profesionales, basado en las reflexiones desarrolladas por Weil & Woerner (2018), asociadas con la manera como las organizaciones de nueva generación crean valor para sus clientes.

Para fundar este análisis, se consideran dos elementos fundamentales para configurar la nueva generación de psiyc, que son el conocimiento del entorno y la confianza digital. El primero habla de la capacidad de los profesionales para ampliar su entendimiento de las tendencias emergentes que pueden potencialmente afectar negativamente la dinámica de los negocios con impactos contrarios y efectos no deseados; mientras el segundo es la propiedad emergente que debe surgir en los ecosistemas digitales al articular las distinciones de ciberseguridad, seguridad de la información, privacidad y cumplimiento, que tiene como centro el cliente y su experiencia.

El cruce de estos dos elementos crea cuatro cuadrantes (Ver figura 2), donde los psiyc se pueden mover, para generar apuestas de valor distintivas que conecten su habilidad para reconocer y anticipar riesgos y amenazas en el entorno de negocios de la empresa y así, custodiar la promesa de valor de la empresa, considerando al cliente como vértice de sus acciones y fundamento de la confianza digital empresarial.


Figura 2. Fuentes de ventaja competitiva para los psiyc. Elaboración propia (basado en Weil & Woerner, 2018).

El primer cuadrante, donde el conocimiento del entorno y confianza digital es baja, los psiyc se mantienen fieles a las prácticas y estándares conocidos de la industria, como una manera de preservar la confiabilidad de las operaciones, requerida en entornos conocidos y de tareas repetitivas. Si bien, la maestría alcanzada para implementar y evaluar estos estándares revela un importante reto  y logro profesional para los especialistas en seguridad y control, no genera apuestas distintivas que puedan ser percibidas como valiosas tanto por los clientes como por los ejecutivos de la empresa.

El segundo cuadrante, donde el conocimiento del entorno es bajo y la confianza digital es alta, los especialistas en seguridad y ciberseguridad, deben rápidamente contratar plataformas especializadas con terceros para aumentar el conocimiento de su entorno de operaciones, y establecer patrones de tendencias de los comportamientos de sus clientes, de tal manera que pueda brindarles espacios confiables para concretar experiencias nuevas de los clientes. El reto es acoplar el modelo de seguridad vigente y su infraestructura, con las capacidades de los terceros, creando un visión extendida de seguridad y control, que aumente la visibilidad y acción efectiva frente a eventos y situaciones inéditas de los productos o clientes.

El cuadrante tres, que surge de la necesidad de un alto conocimiento del entorno y bajo desarrollo de la confianza digital, demanda de los psiyc, crear capacidades analíticas para identificar y anticipar tendencias, lo que significa habilitar una vista multicanal de las amenazas y vulnerabilidades presentes en el ecosistema digital de la empresa, con el fin de crear escenarios de interacción ágiles y confiables para los clientes, donde a pesar de lo agreste del entorno, tanto la organización como sus compradores, encuentren razones para interactuar con sus productos y servicios digitalmente modificados.

El cuadrante cuatro donde tanto el conocimiento del entorno y la confianza digital es alta, es un estadio donde los psiyc, deben integrar tanto las prácticas y estándares conocidos, el uso de plataformas especializadas, y el desarrollo de las capacidades analíticas, para motivar el despliegue de ecosistemas digitales de seguridad y ciberseguridad, que asistidos por avances tecnológicos como la inteligencia artificial y el uso de algoritmos de aprendizaje, establezcan propuestas sobre una “protección a la medida” o “como servicio” que no solo conoce del entorno, sino del contexto del cliente y su perfil de riesgo.

Los cuatro cuadrantes establecen las posturas que los psiyc pueden asumir con el fin de avanzar o no en este nuevo entorno digital. En consecuencia, los especialistas en seguridad y control deberán articular su capacidad para anticipar inestabilidades en el entorno, de comunicarse y vincularse con la junta directiva, y crear una cultura de seguridad y de ciberseguridad, donde la responsabilidad digital empresarial se convierta en el mantra que conecta la promesa de valor de la empresa, con las expectativas y experiencias tanto de clientes como de los supervisores de los diferentes sectores de negocio.  

Reflexiones finales
La práctica de los psiyc debe reinventarse de cara al reto de los riesgos en un escenario digitalmente modificado. Mientras en el siglo XX un especialista de seguridad y control, tenía un marco de actuación cierto y medianamente verificable, en un contexto asimétrico y variable de vulnerabilidades y amenazas, se hace necesario cuestionar los saberes previos y, salir a buscar y descubrir las opacidades de los modelos de seguridad y ciberseguridad diseñados e implementados en las empresas.

En esta nueva renovación se requiere desarrollar una vista sistémica que reconozca la confianza digital como fundamento de las actuaciones de los psiyc, donde se incluyan fabricantes, clientes y organizaciones, como núcleo central de operaciones y análisis de los retos asociados con los nuevos activos digitales que se crean, sin descuidar las interacciones propias de los ecosistemas digitales donde estos tres actores participan.

Bajo este entendido, y considerando las relaciones que se pueden concretar entre cada uno de los participantes mencionados, los retos de los psiyc asociados con los flujos conocidos, latentes y emergentes, definen la densidad digital que se configura en este entorno de trabajo, de tal forma que, las afectaciones originadas por la explotación vulnerabilidades generen resultados contrarios tanto a nivel lógico como físico, creando un efecto adverso sobre los clientes, que incide en la confianza digital necesaria para seguir explorando las inéditas propuestas que surgen de la convergencia tecnológica.

Por tanto, si se quiere que la nueva raza de psiyc, se convierta en el tan deseado “aliado estratégico” del negocio,  se precisa que sea capaz de elaborar y mantener un mapa del ecosistema digital de la empresa y sus riesgos conocidos, latentes, focales y emergentes (Cano, 2017), así como el fortalecimiento de una cultura de seguridad/ciberseguridad empresarial que reconoce y desarrolla la ciber-resiliencia como una capacidad empresarial necesaria para competir en un entorno asimétrico e inestable.

Lo anterior demanda “salvar la brecha entre los objetivos empresariales (el problema inicial que se desea resolver) y la experiencia de los clientes (preferencias y necesidades profundas del mercado que no están siendo bien atendidas) para reformular el problema y generar nuevas oportunidades” (Vila & Camps, 2018, p.16). Esto leído en clave de seguridad y ciberseguridad, implica crear oportunidades de mayor confiabilidad del ecosistema desde sus vulnerabilidades, para formular un ejercicio de confianza digital imperfecta, donde todos los actores (fabricantes, clientes y empresas) hacen parte de una vista holística de la seguridad que se sustenta en un diseño de protección sensible a la promesa de valor.

Si un psiyc no es capaz de asombrarse con las posibilidades que la inevitabilidad de la falla puede generar en un escenario hiperconectado, instantáneo, móvil y con terceros de confianza, no podrá crear escenarios posibles y plausibles que aumente su capacidad de aprendizaje/desaprendizaje. Es decir, no podrá orientar a las organizaciones para asumir riesgos de forma inteligente y proponer alternativas de seguridad y control ajustadas con la dinámica que los ecosistemas exigen.

Por tanto, comprender que los datos recolectados por los servicios e infraestructuras de seguridad no predicen el futuro y es en la comprensión de la dinámica actual de la inevitabilidad de la falla, donde es posible explorar oportunidades para vislumbrar nuevas formas para asegurar el ejercicio de una confianza digital imperfecta, se hace necesario entender esta confianza como una proposición de valor que resuene en el imaginario de los equipos ejecutivos, como un elemento útil y relevante para construir en conjunto con los fabricantes, los clientes y la organización un marco de responsabilidad digital empresarial donde todos se hagan uno con los productos y/o servicios digitalmente modificados.

Referencias
Bhattarai, S. & Wang, Y. (2018) End-to-End trust and security for internet of things applications. IEEE Computer. April. 20-27
Boyes, H. (2015) Cybersecurity and cyber-resilient supply chains. Technology Innovation Management Review. 5(4). 28-34
Calabro, L., Púrpura, C., Vasa, V. & Perinkolam, A. (2018) El imperativo de API. Desde preocupación de TI hasta mandato de negocios. Deloitte Insights. Recuperado de: https://bit.ly/2HB5I
Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
Cano, J. (2017) The AREM Window: A Strategy to Anticipate Risk and Threats to Enterprise Cyber Security . ISACA Journal. 5.
Cano, J. (2018) El profesional de seguridad de la información. Un análisis de su evolución: 1960-2030+. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. No. 147. Abril-Junio. 65-72. Doi: 10.29236/sistemas.n147a6
De Reuver, M., Sørensen, C. & Basole, R. (2018) The digital platform: a research agenda. Journal of Information Technology. 33(2). 124-135. Doi: 10.1057/s41265-016-0033-3
Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley
Lund, C. (2018) Managing the distraction-focus paradox. Sloan Management Review. Summer. 72-75. Recuperado de: https://sloanreview.mit.edu/article/managing-the-distraction-focus-paradox/  
Reed, J. & Carleton, J. (2018) The Global State of Online Digital Trust. A Frost & Sullivan White paper. Commissioned  by CA technologies. Recuperado de: https://www.ca.com/us/collateral/white-papers/the-global-state-of-online-digital-trust.html
Richards L. D. (2018) Changing the Educational System: The Bigger Picture. Constructivist Foundations. 13(3): 331–333. Recuperado de: http://constructivist.info/13/3/331.richards
Vilà, J. & Camps, X. (2018) De la identificación de necesidades a la generación de oportunidades. IESE Insight. 37. Segundo trimestre. 15-21. Doi: 10.15581/002.ART-3168.
Weil, P. & Woerner, S. (2018) What’s your digital business model? Six questions to help you build the next-generation enterprise. Boston, Massachusetts. USA: Harvard Business Review Press. Cap.3
Zamora, J. (2017) ¿Es posible programar modelos de negocios? IESE Insight. 33. Segundo trimestre. 23-30. Doi: 10.15581/002.ART-3013.

No hay comentarios:

Publicar un comentario