Cocinando la seguridad/inseguridad en las empresas: ¿Quién es quién?

Introducción

La gastronomía como disciplina interdisciplinar, más allá de “la preparación y operación de productos alimenticios” es una apuesta que mezcla tanto ciencia como arte, para lograr comprender e impactar el entorno donde sus productos y acciones se hacen realidad. En este sentido, la gastronomía es un fenómeno sociocultural, que conecta las expectativas de las personas y sus raíces culturales, para crear experiencias que le otorgan identidad a territorios locales, regionales y globales, de tal forma que una preparación deja de ser un proceso eminentemente técnico y procedimental, para transformarse en un significado e imaginario lleno de conocimiento e historia (Reyes, Guerra & Quintero, 2017).

En este sentido, el gastrónomo en su formación a parte de dominar las técnicas propias de los cortes, el tratamiento de los productos, los métodos y técnicas de presentación y decoración, métodos de cocción, planeación de menús, la cocina fusión o la cocina molecular, deben conectarse con la dinámica del entorno y la cultura que los rodea, para reconocer la identidad de su contexto y poder recrear preparaciones relevantes y renovadas para comensales y solicitudes que den cuenta tanto de la visión del profesional de gastronomía como de las sensaciones que se esperan (y las novedosas) que se pueden concretar en esa realidad (Reyes, Guerra & Quintero, 2017).

De otro lado tenemos al Chef, una palabra de origen francesa, que revela a aquella persona hecha en la acción de la cocina. De acuerdo con la literatura, para ser Chef no se estudia, se gana el título con años de experiencia y liderazgo en ese espacio vital donde los alimentos, ingredientes y bebidas se transforman en experiencias concretas para comensales de diferentes paladares y gustos (Alonso, 2019). Un chef es un aprendiz permanente, que se enfrenta a la incertidumbre de la preparación de cada plato, que si bien conoce como se debe lograr, cada vez que lo hace tendrá un sello particular para resolverlo con ingredientes distintos disponibles en su espacio vital: la cocina.

Así las cosas, un gastrónomo, formado en la esencia misma de la visión general y particular de la preparación de los alimentos, que domina las técnicas y adquiere maestría en la gestión de los diferentes momentos del proceso de transformación de ingredientes en una apuesta de un plato; se encuentra con un chef, que en su realidad específica y particular sabe como funcionan los detalles y secretos a la hora de concretar un plato. Estas dos figuras, más que entrar en el engaño de la confrontación o comparación (Vincent & Hitch, 2019), buscan crear espacios de colaboración y sintonía donde el efecto final requerido se haga realidad en la experiencia de un comensal en términos de técnica, presentación y sabor.

Si llevamos estas dos figuras al escenario de la seguridad de la información y la ciberseguridad, donde tanto adversario como analista, deben cocinar un plato para sus comensales (grupos de interés), tendríamos que desarrollar en detalle los aspectos de técnica, presentación y sabor que cada uno debe imprimirle a su preparación para lograr la experiencia requerida en sus públicos objetivos, pensando claramente en las sensaciones que quieren crear a partir de ingredientes, utensilios y recetas innovadoras en ese espacio vital denominado empresa, nación o mundo.

Gastrónomo/Chef

Técnica (Práctica/Destreza)

Presentación (Venta/Marketing)

Sabor (Experiencia/Sensaciones)

(I)ngredientes (Calidad/Frescura) (R)eceta (Creatividad/Precisión) (U)tensilios (Funcional/Adecuado)

Tabla 1. Marco conceptual de la cocina. Elaboración propia (basado en Reyes, Guerra & Quintero, 2017)

Cocinando las sensaciones de la seguridad/inseguridad

Cuando hablamos de técnica, hacemos relación a la práctica y destreza del cocinero. Si el cocinero lo vemos desde la perspectiva del analista, este deberá alcanzar práctica y conocimiento profundo de los estándares y marco de trabajo en seguridad y control, como base de la preparación de la sensación de seguridad que quiere lograr. Si el cocinero es ahora el adversario, este buscará aprender, reconocer y replicar los efectos de los ataques conocidos, establecer algunos patrones que se pueden reutilizar, y como un chef, recabar detalles y secretos a la hora de concretar la elaboración de un plato especial que busca crear inestabilidad e incierto.

El estudio de la técnica, tanto para el analista como para el adversario, es un momento que contrasta la formalidad con la experiencia. Dos situaciones que se nutren de conocimiento concreto y del desarrollo de competencias; unos buscando certezas para dar respuestas concretas y otros, abrazando el incierto y la sorpresa de los pasos de otros, para desarrollar una ventana de aprendizaje donde el error no es ocasión de señalamientos o sanciones, sino de posibilidad y reto consigo mismo. Cuando alguno de los dos personajes cae en la tentación de la comparación, entran en el engaño de sí mismos, olvidando la esencia de sus propios servicios y platos.

El tema de la presentación está asociado con la venta y el marketing de sus productos finales. De acuerdo con la literatura tanto la venta como el marketing responden a emociones y sensaciones que se producen en el comprador, para se más exactos en la mente de las personas. Se comenta en la sabiduría popular que la “comida entra por los ojos”, en este caso por la experiencia que se tiene frente a las prioridades organizacionales y sus efectos en las apuestas estratégicas de las empresas (Kaplan, Bailey, O’Halloran, Marcus & Rezek, 2015).

Desde la perspectiva del analista, la presentación de sus preparaciones está asociada con sus indicadores de desempeño y su lectura de las expectativas de sus comensales ejecutivos, quienes muchas veces están atrapados en el imaginario de la seguridad/ciberseguridad “del 100%” o del “cero riesgo”. La presentación o venta de las preparaciones de este cocinero por lo general son estándares, con baja creatividad y mucha técnica. Generalmente los comensales terminan degustando un plato que sabe bien (por lo general) pero que no los transporta o conecta con sensaciones distintas que los enganchen y los motiven.

De otro lado, cuando el cocinero es un adversario, la presentación de sus platos responde a un impacto y visibilidad esperado. Esto es, conocer muy bien el paladar de sus comensales y crear con su propuesta, una experiencia que lo conecte con una realidad distinta, inédita e inestable, que le permita captar su atención y asegurar, que de ahora en adelante tiene un cliente más, conectado con su sazón y los sabores que quiere posicionar en su imaginario. Ya no es un plato más, sino una narrativa de amenazas (Parenty & Domet, 2020) que se encuentra en el paladar de sus clientes.

El estudio de la presentación para estos dos roles contrasta dos mundos. Uno el del seguimiento de pautas reconocidas y esperadas, con el de propuestas alternas, muchas desconocidas y arriesgadas, que pueden ser leídas de forma diversas por los comensales. Mientras el analista reconoce la dinámica y expectativas de los ejecutivos, para lo cual configura estrategias de comunicación conocidas y probadas, con las cuales puede crear un canal de comunicación con este cuerpo directivo; el adversario se concentra en crear situaciones desconocidas, desde patrones conocidos, creando combinaciones que no se han probado, sabiendo que las cosas pueden salir bien o tener efectos inesperados favorables o desfavorables.

El tema del sabor esta relacionado con la experiencia y las sensaciones que se producen en el cliente del plato que se sirve. Cuando se analiza esta variable desde la condición de analista, se habla del programa de seguridad/ciberseguridad que se tiene en la organización. Es decir, de cómo los diferentes comensales perciben y se sienten con el servicio, la sazón y el sello del gastrónomo que lo ha desarrollado. Es una lectura que se construye desde la experiencia práctica de la seguridad en la dinámica de la organización, que sabe a objetivos estratégicos, que tiene ingredientes autóctonos de la cultura empresarial y que usa el lenguaje y realidad cotidiana como utensilios básicos en sus preparaciones.

Desde la postura del adversario, el sabor se concreta en las experiencias de sus platos novedosos, llenos de la emocionalidad del vértigo para concretar una acción, y sus efectos en las empresas, en las naciones o en globo. El sabor del adversario siempre lleva un toque de ingredientes inciertos e inéditos (y algunas veces secretos) que hace de sus apuestas en los comensales, experiencias que pueden sorprender o dejar dudas, de acuerdo con la calidad de sus productos, que en este caso son las vulnerabilidades, fallas o errores, donde hace especial énfasis para lograr la sazón que desea imprimir en su preparación.

El estudio del sabor, tanto en el analista como el adversario, tensiona dos realidades: la lectura de la realidad empresarial y la novedad del reto ante lo inesperado. Cuando el analista le imprime un sello y sabor a la ciberseguridad/seguridad de la información desde la confianza, busca concretar espacios para construir con ingredientes conocidos e reconocidos en la cultura de la organización, no para sorprender ni protagonizar, sino para degustar y posicionar un sabor especial en sus comensales, y desde ahí crear preparaciones distintas y novedosas para sus clientes.

De otro lado, el adversario apuesta por sabores distintos, llenos de magia y sorpresa que exigen romper el status quo de la dinámica empresarial y revelar experiencias y texturas que no se habían visto. Esta postura, puede crear una demanda insaciable de novedad que termina cansando a sus comensales, o una práctica necesaria para salir de lo tradicional y mantener siempre la sorpresa del cliente por nuevos sabores.

A manera de resumen se detalla la siguiente gráfica que condensa las vistas tanto del analista como del adversario, frente a la técnica, la presentación y el sabor.

Tabla No.2 Cocinando la seguridad/inseguridad en las empresas. Elaboración propia

Reflexiones finales

Sea un gastrónomo o un chef, un analista de seguridad/ciberseguridad deberá no sólo atender en detalle las técnicas, la presentación y el sabor de sus preparaciones, sino reconocer el fenómeno sociocultural que representa la experiencia de su labor, para que, en la elaboración de sus platos, se advierta la identidad de cada uno, y de esta manera se reconozcan las expectativas de las personas y sus raíces culturales.

Estas dos figuras, para lograr capturar las expectativas de sus clientes y concretar experiencias memorables, deben nutrirse de ingredientes de primera calidad que permitan aplicar las técnicas necesarias de cocción, las propuestas claves para su presentación y el sazón necesario, enraizado en sus costumbres y lecturas particulares de su entorno, para crear sensaciones que conecten a sus comensales con sus propuestas y productos específicos.

La seguridad/ciberseguridad, al igual que la cocina, es un mundo tanto de técnica como de arte. De técnica asociada con la formalidad de los estándares y el uso de tecnologías particulares de protección, y de arte, por la forma como se presenta y se concreta el sabor en la experiencia de sus comensales.

De esta manera, tanto analista como adversario, que hacen parte de una misma lectura del reto de proteger y anticipar, deberán conectar sus propósitos y objetivos sobre una base cultural equivalente, donde cada cliente tendrá expectativas y condiciones previas, que no podrán ser ignoradas, para resolver todo el tiempo el reto natural de una organización o un estado: ¿cómo generar confianza digital a pesar de que un ciberataque es inevitable?

Referencias

Alonso, E. (2019). ¿Chef o Gastrónomo? Universidad del Claustro de Sor Juana. Recuperado de: https://www.elclaustro.edu.mx/claustronomia/index.php/mundo-foodie/item/307-chef-o-gastronomo

Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. & Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.

Parenty, T. & Domet, J. (2020) A leader’s guide to cybersecurity. Why boards need to lead and how to do it. Boston, MA. USA: Harvard Business Review Press.

Reyes, A., Guerra, E. & Quintero, J. (2017). Educación en gastronomía: su vínculo con la identidad cultural y el turismo. El periplo sustentable, (32), 00009. Recuperado de http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S1870-90362017000100009&lng=es&tlng=es

Vincent, J. & Hitch, J. (2019). Winning not fighting. Great Britain, UK. Penguin Random House.

El CEO Moderno y el CISO Vigilante: del deber ser al poder ser

Introducción

En un contexto de inestabilidad e incertidumbre permanente, las organizaciones tratan de establecer patrones acción que les permitan encontrar nuevas oportunidades para posicionarse y tomar un lugar privilegiado en su segmento de negocio. Para hacerlo, deben estar atentas a los cambios y tratar de “establecer relaciones en un contexto caótico” (Calvo, 2017). Por tanto, reconocer las amenazas emergentes y posibles eventos inciertos, es un reto constante de las empresas que aspiran generar nuevas experiencias y ventajas competitivas basadas en su apetito de riesgo.

El incremento de la densidad digital revela y define los nuevos patrones de acción de las corporaciones modernas (Sieber & Zamora, 2018). Esto es, configura una serie de condiciones de arquitectura tecnológica que habilitan posibilidades digitales, para luego hacer distinciones novedosas desde las expectativas de los clientes, como un experimento permanente, donde este hace parte de la construcción de aquello que espera tener y utilizar. No es una apuesta segura de condiciones estables, sino una propuesta que explora aspectos antes ignorados por la realidad, donde es claro que no siempre se tendrán los resultados esperados.

Con esta lectura de la realidad, tanto las corporaciones y sus promesas de valor, como los adversarios, plantean los nuevos escenarios que buscan sorprender a sus contrapartes, con el fin de configurar un imaginario que desestabilice su ecuación de riesgos, y de esta forma ganar terreno frente a las expectativas inicialmente planteadas para invertir la carga de prueba hacia el receptor y no en el iniciador (Saydjari, 2018).

Así las cosas, los encargados de la seguridad de la información y sus ejecutivos deberán desarrollar la visión de un líder vigilante (Day & Schoemaker, 2019), que le permita no sólo poder identificar amenazas y riesgos emergentes, sino anticipar los movimientos de sus adversarios, comoquiera que es desde la inestabilidad y las señales débiles del entorno, es desde donde se construyen las tendencias y se identifican las incertidumbres propias de las prácticas de seguridad y control.

En este contexto, los ejecutivos de seguridad y/o ciberseguridad deben desarrollar características claves, que les permitan posicionarse como asesores estratégicos de los presidentes de las empresas (CEO – Chief Executive Officer) (Cano, 2011), de tal forma que las capacidades de defensa y anticipación, se conviertan en los referentes naturales de la estrategia corporativa, que traducida en el lenguaje de los negocios, se presente bajo la distinción de confianza digital.

Retos de los CEO Modernos

La confianza digital como distinción emergente en las relaciones de negocios ahora en ecosistemas tecnológicos, requiere comprender tanto la dinámica de los participantes en las plataformas tecnológicas disponibles, así como las necesidades de los consumidores respecto del uso y tratamiento de sus datos. De esta manera, articular las nuevas experiencias de los clientes, resulta en una apuesta de riesgos compartidos, donde la empresa sabe cómo puede ser afectado sus grupos de interés y cómo la organización debe responder ante posibles eventos que surjan de relaciones emergentes o inciertas que se pueden presentar.

Frente a este nuevo ambiente de cambios acelerados, los CEO enfrentan el desarrollo de un gobierno y gestión corporativo más complejo, donde en la práctica, no es claro como navegar en este mar de inciertos para lograr capitalizar ventajas competitivas y posicionarse en un lugar estratégico, desde donde poder advertir las nuevas disrupciones en los negocios. Por tanto, se hace necesario alejarse de la orilla de las estrategias conocidas, para romper con las certezas y habilitar la organización para aprender ágilmente.

En este sentido, los CEO modernos enfrentan cuatro (4) retos fundamentales, los cuales ponen a prueba las habilidades y capacidades de los ejecutivos para estimular el debate, descubrir señales débiles en el entorno y pensar de manera abierta e inclusiva. Los retos son: (De Yonge, 2019; Bryant, 2019)

• Transformación digital: crear y anticipar nuevas experiencias en los clientes.
• Plataformas digitales
• Ecosistemas digitales
• Confianza digital: construir una relación basada en sinceridad, simetría y reciprocidad.
• Ciberseguridad
• Privacidad
• Aprendizaje ágil: Habilitar cualidades y atributos en las personas para ganara flexibilidad, crecer a partir de los errores y así enfrentar una amplia gama de desafíos (Flaum & Winkler, 2015).
• Quebrar silos
• Experimentación
• Apetito al riesgo: Comprender que riesgos está dispuesto a tomar y cuáles no.
• Cumplimiento
• Resiliencia

Estos cuatro retos revelan una necesidad de contar con una visión clara y pensamiento flexible para no apegarse a lo que funciona, ni desechar aquello que ha resultado valioso para la organización. Encontrar este punto medio, con un blanco en movimiento, implica danzar con la inestabilidad y sentirse cómodo con los inciertos, para descubrir caminos inéditos que configuren las experiencias novedosas para sus clientes.

El CISO Vigilante

Si a lo anterior, le sumamos que los adversarios digitales reconocen el mismo escenario, con retos semejantes para concretar sus acciones para retar (o desacreditar) el ordenamiento legal vigente, estamos en una dimensión de conocimiento y reto complementaria que las organizaciones por lo general tratarán de atender, siguiendo las recetas conocidas y proporcionadas por los estándares y buenas prácticas.

Mientras las empresas están escolarizadas, esto es, parafraseando al profesor Calvo (2017), se mueven en el ámbito del deber ser; los atacantes, más abiertos a los inciertos, navegan en el escenario del poder ser. “El deber ser impera obligando a hacer lo que dice la norma”, en cambio en el “poder ser, todo el proceso queda abierto a lo emergente, a lo que podría ocurrir si pasara tal o cual situación o tal vez no ocurre de ningún modo o de uno inesperado” (Calvo, 2017, p.51).

Lo anterior, conlleva la reflexión que moviliza tanto a las empresas como a los adversarios: el riesgo. Mientras más certezas, aparentemente menos riesgos, y a mayor incertidumbre necesariamente más riesgo. Establecer el lado de la distinción que se quiere llevar, funda la postura que se requiere para dar cuenta de la situación a la que se enfrenta y las implicaciones a futuro de las decisiones que se tomen al respecto.

Si bien no existen fórmulas establecidas para saber qué tanto arriesgar y cuanta prudencia se debe tener, si se disponen de estrategias que permiten abordar la realidad para aprender y desaprender, no con la velocidad que se quisiera, pero si con el espacio requerido para concretarlo. Dos conceptos pueden ser de utilidad en este sentido: los errores deliberados (Schoemaker, 2011) y el análisis de escenarios (Chermack, 2011), técnicas claves que habilitan para fallar anticipadamente y por ende, aprender y tratar de sorprenderse antes que las cosas ocurran.

Llegados a este punto, la pregunta es ¿qué tipo de CISO (Chief Information Security Officer) requieren los CEO modernos para navegar y sobrevivir en un contexto digital donde la única constante es la inevitabilidad de la falla?

Para tratar de dar respuesta a este interrogante, es importante comprender que no es lo mismo digitalización, que ser digital. Mientras la digitalización habla de las herramientas tecnológicas utilizadas para mejorar la eficiencia de la operación y habilitar la flexibilidad para responder a los retos e inestabilidades; “ser digital” es habilitar un diseño holístico de personas, procesos y tecnología para definir una propuesta de valor posibilitada por las capacidades de las tecnologías digitales disponibles (Ross, Beath, & Mocker, 2019).

Si lo anterior es correcto, el CISO debe mantener una postura vigilante y de anticipación, que recomiende y asesore la estrategia corporativa desde la custodia de la promesa de valor, dado que la organización hará apuestas de productos y servicios novedosos, donde su apetito al riesgo será probado, y las implicaciones de sus resultados (positivos o negativos) debe atender, de cara a la confianza digital que demandan sus diferentes grupos de interés.

En este sentido, el ejecutivo de seguridad/ciberseguridad tendrá que hacerse preguntas estratégicas en dos sentidos: de afuera hacia dentro de la organización, así como de dentro hacia fuera de la empresa, para mantener una vista, que no solamente advierta algunas señales débiles del entorno, sino una comprensión de qué significan (lo que demanda conectar los puntos identificados) y cómo actuar de manera prudente en un contexto amplio y concreto para la organización (Day & Schoemaker, 2019).

Las reflexiones desde el exterior al interior son:

• ¿Cómo han venido evolucionando las técnicas y tácticas de los adversarios?
• ¿Qué adversarios están anticipando y usando estás nuevas técnicas y tácticas?
• ¿Qué nuevos ataques pueden afectar a la organización?

Las reflexiones desde el interior hacia el exterior son:

• ¿Cómo podemos mejorar y aumentar la identificación de nuevos patrones de amenazas?
• ¿Qué más podemos hacer con nuestras capacidades actuales?
• ¿En qué somos buenos actualmente?

Las respuestas a las primeras tres preguntas, establecen las nuevas capacidades requeridas para dar cuenta con los riesgos que la organización debe tomar para hacer realidad su estrategia digital y crear los escenarios necesarios para movilizar nuevas apuestas de valor en un escenario digitalmente modificado. 

Las respuestas a los siguientes tres interrogantes, definen el nivel de madurez de la organización para enfrentar los inciertos de la inseguridad de la información, y cómo las tecnologías emergentes pueden potenciar aquellas capacidades existentes para defender y anticipar los movimientos de los posibles adversarios.

Reflexiones finales

Los temores naturales para darle vida a una estrategia digital, las nuevas apuestas disruptivas que puedan generarse en su sector de negocio y las amenazas emergentes que pueden surgir de un mayor acoplamiento de las plataformas digitales y las necesidades de los clientes, deben ser los insumos básicos del ejecutivo de seguridad/ciberseguridad para tomar riesgos inteligentes con su CEO. Esto es, definir un umbral reforzado de tolerancia a la falla, que visto desde los impactos estratégicos, las afectaciones tácticas, las lecciones aprendidas y los grupos de interés que se pueden ver afectados, refine el camino incierto que la organización ha decidido tomar.

La incertidumbre no es un juego de azar que aparece y desaparece sin razón aparente, es una tendencia propia del entorno que se manifiesta, en palabras de Charan (2015), como rarezas, inconsistencias y contradicciones, las cuales deben ser identificadas y leídas, como insumo para avanzar y proponer alternativas que hagan del “incierto”, una oportunidad para crear incentivos y motivaciones, que quiebren el status quo y revelen aquello que no era posible ver previamente.

Así las cosas, el CISO que requieren los CEO modernos necesita entender la turbulencia digital y cómo se movilizan los adversarios allí, para anticipar y defender la organización. Por lo tanto, deberán aprender del pasado, interrogar el presente y anticipar futuro como las premisas bases de sus aportes y recomendaciones para explorar y conocer mejor las prácticas y normas de los adversarios, cambiando su ecuación de riesgos, es decir, “vulnerar la distancia que exista entre el funcionamiento del sistema y sus usos no intencionados” (Snowden, 2019, p.79) para aprovechar sus posibles errores, y así crear consecuencias inesperadas para ellos.

Referencias

Bryant, A. (2019). How to think like a CEO. Strategy+Business. Recuperado de: https://www.strategy-business.com/blog/How-to-think-like-a-CEO

Calvo, C. (2017). ingenuos, ignorantes, inocentes. De la educación informal a la escuela autoorganizada. La Serena, Chile: Editorial Universidad de la Serena

Cano, J. (2011). La Gerencia de la Seguridad de la Información: Evolución y Retos Emergentes. ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx

Charan, R. (2015). The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.

Chermack, T. (2011). Scenario planning in organizations. San Francisco, USA: Berrett Koehler.

Day, G. & Schoemaker, P. (2019). See sooner act faster. How vigilant leaders thrive in an era of digital turbulence. Cambridge, MA. USA: MIT Press.

De Yonge, J. (2019) Has your C-suite changed to reflect the changing times? EYQ. Recuperado de: https://www.ey.com/en_gl/growth/has-your-c-suite-changed-to-reflect-the-changing-times

Flaum, J. P. & Winkler, B. (2015). Improve Your Ability to Learn. Harvard Business Review. Recuperado de: https://hbr.org/2015/06/improve-your-ability-to-learn

Ross, J., Beath, C. & Mocker, M. (2019). Designed for digital. How to architect your business for sustained success. Cambridge, MA. USA: MIT Press.

Saydjari, O. (2018). Engineering trustworthy systems: get cybersecurity design right the first time. New York, USA.: McGraw Hill

Schoemaker, P. (2011). Brilliant mistakes. Philadelphia, USA: Whartonn Digital Press.

Sieber, S. & Zamora, J. (2018). The Cybersecurity Challenge in a High Digital Density World. European Business Review. November. Recuperado de: https://www.europeanbusinessreview.com/the-cybersecurity-challenge-in-a-high-digital-density-world/

Snowden, E. (2019). Vigilancia permanente. Bogotá, Colombia: Editorial Planeta.

Pronósticos de seguridad/ciberseguridad 2020

Introducción

En un contexto digital asistido por la desintermediación, la distribución, la desinformación, la deslocalización y la desinstalación, los flujos de información y las plataformas tecnológicas operadas por terceros adquieren un mayor relevancia y atención, no sólo por los ejecutivos de las empresas, sino por los adversarios. Este nuevo escenario de negocios, que no es responsabilidad exclusiva del área de TI, establece nuevas relaciones y retos para crear experiencias novedosas en los clientes y abrir posibilidades inexistentes para las empresas.

Lo anterior exige crear un “retorno de la experiencia”, es decir, un nuevo ROI (Retorno de la inversión) que consiste en mapear el viaje de compra de los clientes, aislar los puntos de contacto y los factores que impulsan la experiencia (Maxwell, 2019), de tal manera que se puedan crear patrones y condiciones particulares para todos los participantes, con lo cual la experiencia de compra sea conveniente, ágil y de valor para el comprador.

Este entorno donde se ha superado el uso de los navegadores, por el uso de aplicaciones móviles (de ahora en adelante apps), establece un escenario digitalmente denso donde la conectividad, los flujos de información, los datos personales y las personalizaciones hacen ahora parte de la cotidianidad del mundo actual. Sin perjuicio de que algunos estén o no de acuerdo con esa nueva realidad, es claro que habrá una mayor exposición de las características de las personas y sus gustos, así como el uso de algoritmos especializados para mantener la atención y potencial de compra activado en cada uno de los ciudadanos de internet.

Esta dependencia en aumento de los terceros de confianza, la necesidad de agilidad en el despliegue de soluciones, el uso de la inteligencia artificial para afinar las decisiones, la confiabilidad de la información y el ingreso de la tecnología 5G como habilitador de la futuras ciudades digitales, configura un entorno rico en propuestas de negocios y nuevos vectores de ataques que serán diseñados, para lograr sus objetivos, basados en la economía del adversario, donde se hacen los mínimos esfuerzos para obtener el máximo beneficio.

De esta manera, se presenta a continuación este documento con algunos pronósticos de seguridad/ciberseguridad para el año 2020, como una excusa académica y reflexión práctica, posiblemente incompleta y limitada, que trata de explorar y conectar ciertos puntos inconexos en el espacio actual de posibilidades, con el fin de motivar reflexiones tanto en los profesionales de seguridad/ciberseguridad, así como en los ejecutivos de las empresas para visualizar escenarios adversos donde un agresor puede tomar ventaja y así estar preparados para cambiar su ecuación de riesgos.

A continuación se presentan las cinco (5) tendencias o pronósticos identificados para un contexto digital e hiperconectado donde más que probabilidades, se debe pensar en posibilidades.

1. Criptominería en IoT

La criptominería es una actividad que se ha venido consolidando desde hace algunos años como una forma de construir base monetaria, algunas veces de manera no autorizada o por debajo de los radares de los reguladores financieros. Para ello la capacidad de cómputo es un elemento fundamental, dado que la generación de criptomoneda demanda dicha capacidad para resolver los retos matemáticos que implica su producción.

“Los mineros suelen crearse equipos de minería consistentes en múltiples tarjetas gráficas unidas a una misma placa base mediante extensores PCIe, y los fabricantes de placas base han estado aprovechando el boom de Ethereum para sacar modelos específicos para equipos de minería” (Baños, s.f.). Sin perjuicio de lo anterior, los mineros cada vez más diversifican su capacidades de procesamiento, con el fin de contar con mayores recursos en su reto por alcanzar nuevos registros de criptomonedas.

En este contexto, con una alta densidad digital cada vez más evidente y mayor conectividad de objetivos físicos con características inteligentes, se advierte una acción proclive de los mineros sobre dispositivos de internet de las cosas, que si bien son pequeños y con limitadas capacidades, es viable construir un grid de computación amplio y denso de tal forma que se puedan tener “granjas de minería” en segundo plano trabajando en la generación de criptomonedas nuevas o más maduras, como apoyo a otras estrategias ya consolidadas con servidores y equipos de computación caseros capturados mediante engaños a muchas personas.

Este nueva propuesta criptominera tiene la ventaja de poder utilizar capacidad de procesamiento posiblemente imperceptible para los dueños de los dispositivos, habida cuenta que no se cuenta con una práctica regular de medición y seguimiento de las capacidades de estos dispositivos de internet de la cosas, creando un escenario propicio para “robar” procesamiento de bajo perfil de forma no autorizada.

2. Engaños basados en terceros de confianza (Cadena de suministro y actualizaciones de firmware)

Con la transformación digital como fundamento de la propuesta de valor de muchas organizaciones a nivel global, los terceros de confianza se convierten en los aliados estratégicos de muchas de ellas, como base de la configuración y despliegue de soluciones y propuestas innovadoras para sorprender a sus clientes. En este ejercicio, tanto las empresas como los terceros despliegan productos y servicios digitalmente modificados, que por lo general se basan en los fundamentos de las metodologías ágiles, para lograr el efecto deseado de forma efectiva y en tiempos de mercado.

En este contexto, las empresas delegan y confían en sus terceros muchos de los aspectos de seguridad y control, dejando una brecha de monitorización y verificación en el proceso, comoquiera que éstos pueden o no estar certificados y/o cuenten con reportes internacionales que validan sus buenas prácticas al interior de sus procesos y productos. No obstante lo anterior, los adversarios sabiendo que la aplicación de los estándares y buenas prácticas pueden generar cegueras cognitivas y crear una zona de confort para estos actores, configuran nuevos vectores de ataque que cambian la ecuación de riesgos de la empresa y sus aliados estratégicos aumentando la probabilidad de un incidentes no identificado.

Dichos incidentes, generalmente basados en la confianza y reconocimiento mutuo de los implicados, crea engaños que pueden pasar por actualizaciones de microcódigo en sistemas de control industrial, descarga de aplicaciones actualizadas o ajustes en configuraciones en puntos críticos de conexión entre la infraestructura del tercero y la empresa, de tal forma, que bajo la apariencia de comunicaciones y conexiones confiables (Darkreading, 2019), es posibles crear un evento no deseado que surge por la falta de ejercicios de novedad o inestabilidad, que permita mantener atenta a las partes sobre nuevas tensiones que se crean los posibles adversarios.

Si bien esta tendencia no es nueva, si es consistente con los eventos que se han venido presentando a lo largo del año y que si no se cambian las prácticas vigentes, continuará desarrollándose y avanzando en los procesos cada vez más automatizados y menos monitoreados, particularmente en sectores como el industrial y manufactura, el de la salud y posiblemente el de tecnología dado el incremento de empresas emergentes que buscan desarrollar ecosistemas digitales con aplicaciones y productos de apropiación rápida y expansión viral.

3. Uso adversarial de la inteligencia artificial

La inteligencia artificial como fenómeno tecnológico que ha salido de los laboratorios para convertirse en un producto comercial, da cuenta de una realidad de transformación acelerada de cambios y actividades que antes tomaban tiempo para realizarse. Este ejercicio de automatización e inteligencia basada en el poder de los algoritmos que aprenden tanto de manera supervisada como no supervisada, establece una nueva frontera para crear apuestas particulares en diferentes campos y dominios de la ciencia.

El uso positivo de los capacidades de la inteligencia artificial pasa por diagnósticos médicos, sistemas de detección de intrusos avanzadas, propuestas de pronósticos de eventos en sistemas financieros, entre otras aplicaciones. No se escapan los teléfonos inteligentes, ahora con asistentes basados en este tipo de inteligencia, que atienden las dinámicas de las personas, programan citas y recuerdan aspectos propios de la vida personal y profesional. Los algoritmos de inteligencia artificial están en medio de la dinámica de la sociedad actual, los cuales bien utilizados, se convierten en poderosas herramientas para avanzar y correlacionar eventos de formas novedosas.

Cuando el atacante hace uso de esta misma tecnología y la usa para adelantar sus acciones contrarias, estamos en un campo donde el incierto, el engaño y la premeditación se hacen presentes. Es un ejercicio donde el atacante puede crear contexto de distracción y acciones evasivas que pueden engañar las prácticas actuales de los sistemas más avanzados de detección y análisis. Esto supone aspectos como malware construido para autogenerarse y reconfigurarse, código inteligente que se reescribe a sí mismo en entornos controlados, engaños a otros algoritmos de detección, guerras de información asimétrica, manipulación de tendencias y mercados, entre otras acciones que revelan un campo inestable donde no tenemos reglas concretas para jugar o desafiar (Li, Zhao, Cai, Yu & Leung, 2018).

Avanzar frente a esta nueva amenaza implica desarrollar el concepto de contrainteligencia cognitiva, que adaptando la definición de Jiménez (2019) sobre contrainteligencia, definimos podemos definir como “el conjunto de actividades que tiene como finalidad localizar, identificar y monitorizar, para neutralizar y, en su caso, contrarrestrar y reportar, las actividades no autorizadas de los algoritmos de aprendizaje automático, es decir, aquellas que rompen con las reglas inicialmente establecidas y materializan los riesgos inherentes al desarrollo y puesta en operación de los algoritmos de inteligencia artificial".

4. Compromiso de la integridad de la información

De las características de la información que hoy está más expuesta es la integridad. La confidencialidad y la disponibilidad, si bien igualmente son relevantes, se hace evidente en la actualidad revisar dos atributos más propuestos por Parker (1998) como son la utilidad y la posesión, los cuales son convergentes con la esencia de la integridad. Bajo esta perspectiva, una información es íntegra si en todo su ciclo de vida no ha sido alterada o deteriorada, y si fuese el caso, se tiene registro y trazabilidad de dicha condición.

La utilidad definida como el “uso de la información para un propósito” y la posesión como “la tenencia o titularidad, el control y la capacidad de utilizar la información” (Parker, 1998, p.240) se vuelven relevantes a la hora de comprender las tendencias actuales donde la manipulación de la información se convierte en un arma estratégica para posicionar un producto o servicios,  o un vector de ataque que busca confundir, crear un engaño o facilitar el posicionamiento de intereses de actores con intenciones poco confiables.

Cuando se entiende la degradación o deterioro de la información como estrategia para limitar su utilidad y habilitar usos distintos a los inicialmente establecidos, así como motivar un cambio de titularidad de la misma a un tercero mediante engaños o suplantaciones, con el fin de adelantar acciones no autorizadas a nombre de un intruso, es posible advertir tendencias que afectan la identidad, la veracidad y el control de los imaginarios de las personas en un contexto particular. Cambiar la esencia de la información con fines no conocidos es un realidad que exige más que controles de acceso para poder protegerla y asegurarla.

Parker (1998) de forma visionaria estableció que revelar información sobre un propietario de forma inadvertida, en medios abiertos o sin controles, establece un campo de acción para un adversario donde cualquier uso o utilidad se puede concretar, creando un escenario de negligencia y gestión que se devuelve a su dueño. En consecuencia, perder posesión de la información, no es sólo el acceso a la misma, sino en brindarla a terceros de forma no intencional o inadevertida con la cual se crea conocimiento o se construye nuevas versiones de la misma que están más allá de los propósitos iniciales y legítimos que se tenían.

Enfrentar este desafío, implica pasar del control de acceso al control de uso, donde se hace necesario desarrollos los atributos de posesión y utilidad propuestos hace más de dos décadas, con el fin de fortalecer no solamente la integridad, sino la confidencialidad y la disponibilidad ahora con un propósito y fines superiores y sensibles cuando puede ser utilizada y controlada fuera de un espacio de comprensión y conocimiento autorizado.

5. Redes 5G: hiperconectados y ultravulnerables

El advenimiento de las ciudades inteligentes, la conexión masiva de objetos físicos y la necesidad de pobladores hiperconectados, configura un escenario de alto flujo de información, de infraestructuras basadas en terceros y agilidad en la transmisión de los datos con el fin de concretar la visión de una realidad aumentada, informada y en tiempo real para los moradores de esas ciudades. Por tanto, la aparición de las redes 5G es la respuesta tecnológica que se requiere para cumplir con la promesa de ese entorno hiperconectado, con baja latencia de interacción entre los móviles, la nube y los objetos, y sobremanera, de agilidad y eficiencia en los servicios dispuestos en estas ciudades.

La redes 5G se configuran como la pieza clave del rompecabezas para potenciar servicios y productos en diferentes industrias para potenciar las capacidades y oportunidades de las personas para acceder a espacios de interacción inexistentes con vehículos autónomos, cirugías asistidas por brazos mecánicos a distancia, sistemas industriales robotizados, sistemas de emergencias conectados y masivos, entre otras actividades. De esta forma, estas nuevas redes potenciarán el desarrollo de una economía digital, donde los bienes intangibles y el internet de las cosas serán parte natural de esta nueva dinámica.

A la fecha cinco son las empresas que están a la vanguardia de esta nueva tecnología: Nokia, Ericsson, Samsung, Huawei y ZTE, la dos últimas representan intereses chinos, con lo cual se crean tensiones geopolíticas, donde “la posibilidad de que los fabricantes chinos introduzcan en sus productos dispositivos que permitan el envío de información de forma encubierta o que, sencillamente, puedan escapar al control del operador de esos equipos poniendo en peligro la seguridad, integridad o confidencialidad de los sistemas” (Moret, 2019) de las empresas y las naciones.

Considerando que la infraestructura de las redes 5G configura un ecosistema de ecosistemas, dado que se virtualizan las infraestructuras de redes y se transforman en software de gestión y transmisión, que disminuyen la latencia, reducen un 90% el consumo de energía de la red, ofrecen un tasa de datos de hasta 10Gbs (Gemalto, 2019), entre otras características, se funda un escenario emergente de amenazas dado las limitadas opciones de seguridad y control consideradas en el diseño y desarrollo de esta tecnología.

Un reciente estudio del Instituto Brookings (Wheeler & Simpson, 2019) establece cinco razones por las cuales las redes 5G serán más vulnerables a ciberataques que sus predecesoras. Las razones son:

• La red se ha alejado de la conmutación centralizada basada en hardware y ha pasado a un enrutamiento digital distribuido y definido por software.
• Virtualización en software de funciones de red de alto nivel que anteriormente realizaban los dispositivos físicos.
• Gestión de la red basada en software.
• Expansión del ancho banda de forma dinámica.
• Conexión de miles de millones de dispositivos IoT.

Dado este entorno de software sobre una red distribuida, proclive a los ataques, las organizaciones y naciones deben tomar sus precauciones y acciones concretas para avanzar en una estrategia de protección proactiva en el despliegue de los sistemas socio-técnicos sobre este nuevo ecosistema: infraestructura, aplicaciones y servicios. Surge un deber cibernético de cuidado de todos lo participantes para compartir y asegurar la dinámica de este entorno que aún está por conocerse y descubrirse.

Reflexiones finales

Entender estas cinco tendencias revisadas previamente es reconocer que es necesario superar el enfoque de control y cumplimiento vigente en las empresas, para movilizar a las organizaciones y naciones hacia estrategias accionables que las configuren como corporaciones y naciones resilientes, donde se privilegian las relaciones con el entorno y la generación de valor para sus clientes y ciudadanos (Deloitte, 2018).

La nueva generación de disrupciones tecnológicas creará nuevos entornos desafiantes para los cuales no se puede estar preparados. Por tanto, es clave que las naciones y empresas emprendan con frecuencia un viaje al futuro desde las simulaciones y la experimentación, con el fin de exponer las inestabilidades e inciertos que se pueden presentar con el fin de encontrar patrones y tendencias sobre las cuales poder trabajar de forma previa y aprender de ellas.

Los cinco pronósticos detallados en este breve reporte son una reflexión limitada de un entorno cada vez más volátil e inestable, que busca comprender posibles vectores de ataques y contextos en los cuales los adversarios pueden tomar ventaja para incrementar la incertidumbre en las variables de gestión de riesgo de los analistas organizacionales.

En consecuencia, la invitación es a construir y actualizar de forma permanente el mapa de amenazas digitales del entorno actual, sobre un territorio que cambia de forma dinámica y muchas veces rizomática creando zonas grises y ocultas, propias de las cegueras cognitivas, para tensionar y desconectar aquello conocido y así, intentar descubrir los patrones y retos de los adversarios.

Referencias

Baños, D. (s.f.). ¿Qué es la criptominería? Revista Muy Interesante. Recuperado de: https://www.muyinteresante.es/tecnologia/articulo/que-es-la-criptomineria

Darkreading (2019). Firmware Vulnerabilities Show Supply Chain Risks. Darkreading. Recuperado de: https://www.darkreading.com/vulnerabilities---threats/firmware-vulnerabilities-show-supply-chain-risks/d/d-id/1335313

Deloitte (2018) Auditing the risks of disruptive technologies. Internal Audit in the age of digitalization. Report. Recuperado de: https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-rfa-auditing-the-risks-of-disruptive-technologies.pdf

Gemalto (2019). Red 5G – Características y usos de esta tecnología. Recuperado de: https://www.gemalto.com/latam/telecom/inspiracion/5g

Jiménez, F. (2019). Manual de inteligencia y contrainteligencia. Sevilla, España. CISDE

Li, P., Zhao, W., Cai, W., Yu, S. & Leung, V. (2018). A Survey on Security Threats and Defensive Techniques of Machine Learning: A Data Driven View. IEEE Access. 6, 12103-12117. Doi: 10.1109/ACCESS.2018.2805680

Maxwell, J. (2019). ROX is the new ROI: Prioritizing customer experience. Strategy+Business. Recuperado de: https://www.strategy-business.com/blog/ROX-Is-the-New-ROI-Prioritizing-Customer-Experience

Moret, V. (2019). El despliegue de las redes 5G, o la geopolítica digital. Real Instituto Elcano. Recuperado de: http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari31-2019-moret-despliegue-de-redes-5g-geopolitica-digital

Parker, D. (1998). Fighting computer crime: a new framework for protecting information. New York, USA: John Wiley & Sons.

Wheeler, T. & Simpson, D. (2019). Why 5G requires new approaches to cybersecurity. Racing to protect the most important network of the 21st century. Report. Brookings Institute. Recuperado de: https://www.brookings.edu/research/why-5g-requires-new-approaches-to-cybersecurity/

Ciber riesgo. Aprendiendo de un riesgo disruptivo

Introducción

En el contexto de los riesgos informáticos y cibernéticos, los temas de seguridad de la información y ciberseguridad aparecen bien como riesgos operativos o como riesgos no financieros. Por lo general, estas temáticas se relacionan directamente con el área de tecnología o de seguridad informática, quienes finalmente lo asumen desde la perspectiva técnica que tienen a cargo y, no con la vista sistémica y global que se requiere.

Esta realidad, confirma el imaginario técnico que los ejecutivos tienen del tema y hace evidente su desinterés por comprenderlo en profundidad, como esa realidad transversal que afecta la dinámica del negocio y reconoce sus impactos en los diferentes grupos de interés. En este sentido, la gestión del riesgo de ciberseguridad, queda por fuera de la agenda ejecutiva como riesgo estratégico de la empresa, y pasa a ser “algo que resuelven los de tecnología”.

Podríamos decir que los ejecutivos en las organizaciones, sufren de al menos dos sesgos claves que les impide ver las implicaciones del riesgo de ciberseguridad. Por un lado, el sesgo de miopía, que tiende a ver el corto plazo y sus impactos, y el sesgo de optimismo, que lleva a subestimar la probabilidad de la pérdida de la materialización de eventos futuros (Meyer & Kunreuther, 2017). Estos dos sesgos combinados, configuran un marco de comprensión que limita a los directivos romper con el esquema de “creer que conocen los riesgos”, configurando un escenario que cultiva la inevitabilidad de la falla, basado en la realidad que conocen a la fecha.

En este contexto, desarrollar una gestión de los riesgos cibernéticos, como categoría formal dentro del mapa general de riesgos de la compañía, se hace complejo, como quiera que no se comprenden las implicaciones de la conectividad y aumento de la densidad digital en el negocio, y se convive con sesgos cognitivos (muchas veces no reconocidos), que opacan las reflexiones requeridas para visibilizar los escenarios adversos que se pueden presentar en el futuro, por cuenta de una acelerada convergencia tecnológica, para la cual, muchos profesionales, ejecutivos y empresas no están preparados.

En consecuencia, desarrollar un programa de gestión de este riesgo cibernético, o pensar en configurar un modelo de madurez, generalmente responde a la necesidad de certezas de los ejecutivos de primer nivel, con fin de contar con un instrumento que trate de configurar un espacio de “control y gestión” donde puedan sentirse menos incómodos con el incierto que genera la condición del reto cibernético o de ciberseguridad, que ahora se presenta en los cuerpos colegiados de primer nivel de las empresas.

Basado en lo anterior, y sin perjuicio, que contar con referentes claves de prácticas y procesos de ciberseguridad es un avance positivo y necesario para una organización, es imperativo comprender que tratar de cercar la incertidumbre e inestabilidad que ocasiona una mayor conectividad (Saran, 2017), es una tarea que incluye a todos los actores organizacionales, un reto de comprensión sistémica del negocio, que generalmente no tiene un dueño específico, pero si unos grupos de interés que reclaman atención cuando eventos adversos se materializan en el dominio de acción de la empresa.

Retos de la gestión del riesgo cibernético

Un reciente estudio de Deloitte (2018) revela algunos aspectos claves de la gestión del riesgo de ciberseguridad, los cuales advierten la necesidad de una vista holística por parte de las organizaciones, inversiones requeridas para configurar visiones prospectivas de las amenazas y contratación de talento especializado que se reinvente frente a la volatilidad del entorno. A continuación se detallan algunas reflexiones alrededor de tres (3) de los elementos que mayor puntuación tuvieron en el estudio en mención.

El primer elemento, no hace referencia a aspectos técnicos o tácticos de la organización, sino a consideraciones estratégicas como “estar adelante en los cambios de las necesidades del negocio”, que se pudiese parafrasear como “anticipar escenarios emergentes para la organización”. Este primer punto, establece una declaración clave para la empresas y sus ejecutivos: no se trata de repetir aquello que se conoce o generalmente se lleva para presentar en la junta, sino crear un espacio para retar aquello que se hace a la fecha y tratar de imaginar cómo se puede afectar el modelo de generación de valor de la empresa.

Lo anterior, significa revisar y comprender el riesgo cibernético como una malla de implicaciones técnicas, sociales, económicas y políticas que ubica a la empresa en un ecosistema tecnológico dinámico, donde reconoce actores relevantes de su entorno, incluidos sus aliados y competidores estratégicos, para identificar las interacciones que son de interés, y así crear zonas de ventajas competitivas (OECD, 2015), las cuales debe custodiar y defender de las amenazas digitales naturales, que establecen actores conocidos y desconocidos, los cuales hacen parte del nuevo paisaje digital donde la empresa ahora tiene presencia.

El segundo aspecto clave identificado en el estudios “hacer frente a las amenazas de actores sofisticados”, que pudiésemos configurar como “enfrentar las amenazas de actores desconocidos”. Cuando se entiende que en la actualidad una organización se encuentra ubicada en un espacio donde existe una confrontación de intereses por activos digitales estratégicos, se quiebra el marco general de prácticas asociadas con los riesgos informáticos, dedicado a proteger y asegurar, para inaugurar la incorporación de las capacidades críticas como defender y anticipar.

Mientras en los estándares tradicionales de seguridad, se buscan alcanzar certezas sobre el incierto que puede producir un ataque, en el escenario de la ciberseguridad, no solamente hay que considerar lo anterior, sino reconocer el territorio de acción de los adversarios, sus recursos, sus posibilidades, capacidades e impactos con el fin de modelar acciones en diferentes aspectos: técnico, políticos, económicos y sociales, de tal forma, que enfrentar las amenazas digitales actuales, no responde a un ejercicio de los “técnicos”, sino a una visión estratégica del negocio, que da cuenta de comportamientos y movimientos coordinados para demorar, interrumpir, contener o anticipar los efectos de una ciberoperación deliberada para afectar los intereses claves de la compañía (Donaldson, Siegel, Williams & Aslam, 2015).

Un tercer elemento es “incorporar talento especializado en ciberseguridad”, frase que pudiésemos adaptar como “contratar analistas de ciberseguridad especializados”. Los nuevos profesionales de ciberseguridad, no sólo deben demostrar competencia técnica básica en los aspectos de seguridad de la información, sino exponer capacidades analíticas de inteligencia, análisis y correlación de eventos, reflexiones y formación geopolítica e infopolítica, cooperación interorganizacional y gubernamental, reconocimiento de patrones de amenazas emergentes y suficiencia en el diseño, análisis y simulación de escenarios.

Este profesional, ya no tiene una vista disciplinar de un dominio de conocimiento específico, sino la construcción de saberes interdisciplinares, que configuran marcos de trabajo agregados, que revisan una realidad inestable e incierta, para dar respuesta a las propuesta de los atacantes, que no vacilan en proponer retos complejos a las organizaciones, los cuales van desde el secuestro de datos, pasando por las noticias y videos falsos, la agresiones a las marcas, las afectaciones a la infraestructura tecnológica, hasta la creación de amenazas digitales desconocidas basadas en la inteligencia artificial.

Reflexiones finales

La ciberseguridad o riesgo cibernético, al tener en la base de su fundamentación los saberes de la seguridad de la información, ha heredado una gestión de riesgos que por lo general responde a unos riesgos conocidos. En este sentido, cuando se incorpora una vista sistémica extendida de la organización, para comprender cómo los efectos de la materialización de los ciberataques pueden comprometer la promesa de valor de la empresa, estamos cruzando los límites de los estándares tradiciones de gestión de riesgos, para darle paso a una revisión amplia de las amenazas que pueden ser tanto conocida, latentes y emergentes (Cano, 2017).

Por tanto, en un entorno de “disrupción digital”, entendida ésta como “un efecto que cambia las expectativas fundamentales y comportamientos en una cultura, mercado, industria o proceso que es causada por, o expresada a través de, capacidades digitales, canales o activos” (Yockelson & Smith, 2018), se hace necesario mantener una monitorización del ambiente, identificando aquellas anomalías, rarezas y contradicciones, que adviertan patrones no conocidos, los cuales marcan las nuevas capacidades y habilidades de los adversarios (Charan, 2015), con el fin de anticipar sus movimientos y crear acciones de defensa tanto activas como pasivas, que permitan, no evitar ser atacados exitosamente, sino prevenir, demorar, distraer o interrumpir sus acciones bajo condiciones inciertas.

De esta forma, las organizaciones siguiendo las reflexiones de Schoemaker & Day (2017) deberán desarrollar una mentalidad de experimentación permanente para anticipar los efectos adversos de los atacantes, equipos de trabajo con personal calificado en el riesgo de ciberseguridad, que al experimentar y simular, puedan codificar, compartir y aplicar los nuevos conocimientos y patrones identificados, y finalmente mirar más allá de sus fronteras organizaciones y de mercado buscando puntos de vista distintos, que reten sus saberes previos, no solamente para aprender/desaprender, sino para obtener una ventaja estratégica competitiva en un mundo turbulento que a menudo paraliza a los demás.

Referencias

Cano, J. (2017) La ventana de AREM. Una estrategia para anticipar los riesgos y amenazas en ciberseguridad empresarial. ISACA Journal. vol. 5. Recuperado de: https://www.isaca.org/Journal/archives/2017/Volume-5/Pages/the-arem-window-spanish.aspx

Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.

Deloitte (2018) Global Risk Management Survey, 11 edition. Deloitte Insights. Recuperado de: https://www2.deloitte.com/content/dam/insights/us/articles/4222_Global-risk-management-survey/DI_global-risk-management-survey.pdf

Donaldson, S., Siegel, S., Williams, C. & Aslam, A. (2015) Enterprise cybersecurity. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress.

OECD (2015) Digital Security Risk Management for Economic and Social Prosperity: OECD Recommendation and Companion Document, OECD Publishing, Paris. DOI: http://dx.doi.org/10.1787/9789264245471-en

Saran, S. (2017) Time to face up to cyber threats. Observer research foundation. Recuperado de: https://www.orfonline.org/research/time-to-face-up-to-cyber-threats/

Schoemaker, P. & Day, G. (2018) Strategic actions in the face of uncertainty. Revista Brasileira de Marketing – ReMark. Special Issue. 17(5). 700-712

Yockelson, D. & Smith, D. (2018) Willful Disruption — Scaling, Operating and Changing the Digital Game: A Gartner Trend Insight Report. Gartner Research.