viernes, 18 de octubre de 2024

Pronósticos de seguridad/ciberseguridad 2025. Tres horizontes para revisar y analizar en el ecosistema digital de negocios

Introducción

El mundo se ha convertido en un lugar altamente interconectado, acoplado e inestable motivado por la dinámica de diferentes factores que crean zonas de incertidumbre permanente que se alzan contra los planes y pronósticos de las organizaciones. De acuerdo con el reporte “Global Strategic Trends 2055” realizado por el departamento de defensa del Reino Unido (UKMoD, 2024) seis (6) son los impulsores o habilitadores de cambios a nivel global:

  • Competencia por el poder global: El ascenso de China y la competencia entre Estados Unidos y China por la hegemonía global continuarán.
  • Presión demográfica: El envejecimiento de la población en los países desarrollados y el crecimiento demográfico en los países en desarrollo plantearán desafíos económicos y sociales.
  • Cambio climático y presión sobre el medio ambiente: El cambio climático tendrá un impacto significativo en la seguridad mundial, provocando migraciones, escasez de recursos y conflictos.
  • Avances tecnológicos: Las tecnologías emergentes, como la inteligencia artificial y la biotecnología, tendrán un impacto transformador en la sociedad y la seguridad.
  • Conectividad creciente: La creciente interconexión global amplificará los riesgos y las oportunidades, facilitando la propagación de enfermedades, información y tecnología.
  • Desigualdad y presión sobre la gobernanza: La desigualdad económica y social, junto con la erosión de la confianza en las instituciones, plantearán desafíos a la gobernanza global.

Estas seis realidades, manifiestan la naturaleza inherente de los riesgos sistémicos donde abundan muchas cosas que se saben y no se entienden, así como aquellas que se saben y no se conocen, sin mencionar esas que ni se saben ni se entienden. En pocas palabras, se demanda de las organizaciones superar la vista muchas veces “irreal” de que se conocen los riesgos y que se cuentan con las medidas necesarias para atender los posibles efectos de su materialización.

Lo que es “real” (sin perjuicio de incurrir en imprecisiones) es que tanto las organizaciones como las naciones aun abrazan la ilusión del control, esa perspectiva (poco creíble en la actualidad) de que al asegurar las mejores prácticas de seguridad y control es posible darle tranquilidad a los ejecutivos frente a los posibles eventos adversos, generando mayor claridad y espacio para una toma de decisiones tranquila y acertada (Cano, 2023).

Así las cosas, la seguridad global, según el reporte “Global Strategic Trends 2055” (UKMoD, 2024) estará amenazada en el mediano plazo por tendencias como:

  • La competencia por el poder global, el auge de nuevos actores y la erosión de las instituciones multilaterales.
  • Aumento de actores estatales y no estatales, líneas borrosas entre la paz, la competencia y el conflicto, y nuevos dominios de confrontación como el ciberespacio y el espacio.
  • Escasez de recursos, cambio climático, migración, crimen transnacional y terrorismo.
  • Competencia por recursos, rivalidades geopolíticas, proliferación de armas y tecnologías disruptivas.

las cuales terminan generando un escenario multidimensional, interdisciplinar y ecosistémico que demanda la comprensión del riesgo cibernético y sus efectos, como una nueva zona de análisis y proyección empresarial que va más allá de las limitadas lecturas técnicas, que abre la posibilidad a un pensamiento estratégico situado, y habilita a la organización para sobrevivir y permanecer en el ecosistema digital de negocios del cual ahora hace parte.

Estrategia metodológica

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información implica tratar de acertar sobre “blancos en movimiento” basados en reportes, documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará (o fortalecerá) con el pasar de los días. 

Por tanto, lanzarse a efectuar visualización de escenarios y retos para los modelos de seguridad y control en el 2025, demandará una postura vigilante basada en el dilema del volcán (McCaffrey, Henisz & Jones, 2024), en el cual sus vecinos están preparados y entrenados para cuando inevitablemente se concrete la erupción. No es, “si lo eventos adversos van a ocurrir”, sino “cuándo y cómo”, y por lo tanto, establecer un plan sobre un terreno cambiante, deberá seguir un discurso metodológico semejante con el fin de explorar una vista más holística que supere la vista de silos y con énfasis técnico, por una de tres horizontes (Curry & Hodgson, 2008) que nos permitan visualizar:

  • Horizonte 1 (H1) – El Ahora – el que representa el momento actual y las prácticas mayoritarias vigentes. Es en el que la sociedad confía y se apoya, con patrones estables que conocemos y sabemos cómo gestionar. La mayoría del cambio que ocurre en este horizonte es incremental, e incluso muchas veces está orientado a reproducir y reforzar estos patrones que nos resultan familiares (Strategic Foresight, s.f.).
  • Horizonte 3 (H2) – El largo plazo – el que aparece y crece al margen del sistema actual, que propone nuevas formas para responder a los retos y posibilidades emergentes. Hoy es aun incipiente pero con el tiempo se impondrá como paradigma relevante en el futuro a largo plazo. El cambio que ocurre en este horizonte puede ser disruptivo e innovador lo que desacomoda las prácticas vigentes y establece nuevas formas de comprender el mundo (Strategic Foresight, s.f.).
  • Horizonte 2 (H3) – Futuro cercano – el que aparece como un lugar de transición entre el horizonte 1 y el horizonte 3. Es una zona de turbulencia con múltiples actividades e innovaciones transitorias, algunas serán importantes y otras serán absorbidas por los patrones de funcionamiento del ahora. Las que sobresalgan retarán los paradigmas actuales y motivarán transformaciones para darle vida y sentido al horizonte 3. En el horizonte 2 los cambios se dan por experimentaciones permanentes y apuestas sobre tecnologías disruptivas, esperando que los resultados bien sean pivotes hacia el H3 o sólo ejercicios que no pasan de ser buenos intentos de innovaciones sobre los paradigmas actuales (Strategic Foresight, s.f.).

Así las cosas, para avanzar en este ejercicio de los horizontes, es importante desarrollar una serie de pasos previos que permiten preparar el marco de trabajo para darle sentido y orientación al análisis con los horizontes. Los pasos preliminares son:

1. Establecer las incertidumbres claves - Una incertidumbre clave se podría definir como un patrón o tendencia identificada en el ambiente, que aplicado a un tema relevante o de interés corporativo, genera radicalmente asimetrías en las posiciones de los participantes, afectando la estabilidad de las políticas, doctrinas y distribuciones de los actores (adaptado de: Brimley, FitzGerald & Sayler, 2013). Esto es, concretar nuevos avances científicos, métodos de manufactura, tecnologías disruptivas, servicios novedosos, ataques cibernéticos emergentes, entre otros, que alteran la dinámica conocida de una industria o contexto. Que para este ejercicio serán los habilitadores.

2. Identificar las temáticas relevantes – Este es el proceso de identificación de aquellos temas de mayor impacto y repercusión en el entorno global alrededor de los habilitadores identificados. Esto es, selección de temas de importancia sistémica para las organizaciones y que la afectan de manera transversal. La aplicación de las incertidumbres claves sobre ellos, crean tensiones que comprometen la viabilidad de la empresa en el largo plazo o plantean nuevas formas de ventaja competitiva que habiliten su permanencia en el futuro.

3. Plantear los tres horizontes – Establecer un ejercicio de construcción donde convergen tanto las incertidumbre claves como las temáticas relevantes para establecer:

  • H1 - ¿Qué es lo que pasa hoy? y ¿qué debilidades tiene el paradigma actual?
  • H2 - ¿Qué experimentos e iniciativas se presentan en la actualidad que debilitan el paradigma actual?
  • H3 - ¿Qué transformaciones se van a materializar y cambiar el statu quo? ¿Qué elementos van a permanecer del H1?

4. Establecer las líneas rojas – puntos críticos de inversión en el que la materialización de un riesgo superaría el apetito de riesgo cibernético que la empresa estaba dispuesta a aceptar (Teixeira et al., 2023), Esto implica identificar con claridad las señales de alerta tempranas y los indicadores relevantes del entorno que anuncian que alguno de los horizontes avanza y materializa sus efectos en la realidad de la organización.

5. Priorizar estrategias de acción – Detallar y valorar las acciones necesarias que preparen a la organización para enfrentar cualquiera de los tres horizontes planteados, dando prioridad a aquellas que sean pertinente y efectivas para cualquiera de los tres horizontes elaborados (reduzcan la amenaza), las que más impacto puedan tener en el posicionamiento estratégico de la empresa (disminuyan las vulnerabilidades) y aquellas que permitan consolidar capacidades resilientes (Shandilya et al., 2024) frente a eventos adversos o inesperados (limiten los impactos).

Considerando estas etapas metodológicas, se adelanta el ejercicio prospectivo, que no sólo establece los nuevos retos que se advierten en el horizonte, sino que da algunas pautas para que la organización tenga señales de alerta concretas sobre la evolución de los horizontes y un conjunto de estrategias de acción que permitan reducir la amenaza, disminuir las vulnerabilidades y limitar los impactos de eventos cibernéticos adversos.

Es importante anotar, que este ejercicio prospectivo no busca predecir o adivinar el futuro sobre cómo evolucionará el riesgo cibernético para una organización, sólo busca que los ejecutivos puedan comprender qué puede ocurrir, los cambios que se pueden presentar y los potenciales impactos que se pueden manifestar en los negocios de la compañía, para que se adelanten acciones proactivas que anticipen las acciones necesarias y así, navegar en medio de un territorio inestable, sistémico y cambiante que plantean los ciberriesgos (McCaffrey, Henisz & Jones, 2024).

A continuación se detalla la aplicación de los pasos planteados para el desarrollo del ejercicio de prospectiva del riesgo cibernético para el año 2025.

Incertidumbres claves

Luego de revisar y analizar diferentes fuentes y reportes globales en perspectiva de futuro (PwC, 2024; UKMoD, 2024; Microsoft, 2024; CompTIA, 2024; GRI, 2023), se advierten al menos cinco habilitadores clave que serán relevantes para los próximos 12 meses:

  • La geopolítica – seguirá aumentando las tensiones internacionales no sólo por poder global, sino supremacía en temas tecnológicos y consolidación de un nuevo orden mundial donde la inteligencia artificial y la computación cuántica hacen parte fundamental de estas confrontaciones.
  • El ransomware – la extorsión datos en todas sus diferentes modalidades no sólo se consolida como una amenaza global, sino que evoluciona y se transforma en medio de las nuevas apuesta de las tecnologías emergentes.
  • La desinformación/malinformación – la manipulación de las fuentes de información, el deterioro de las fuentes confiables y la generación de información con propósitos adversos, gana territorio por las tensiones geopolíticas y la mayor exposición de la población al uso de redes sociales. La convergencia entre las vulnerabilidad tecnológicas, sociales y cognitivas son elementos que crean un caldo de cultivo que se traduce en afectaciones conscientes de los imaginarios colectivos de las sociedades.
  • Los terceros de confianza – las terceras, cuartas y hasta quintas parte involucradas definen una red de conexiones y dependencias relevantes para que las empresas puedan operar en medio de los ecosistemas digitales disponibles. Entender la dinámica y los múltiples puntos de fallas que pueden tener, implica reconocer la necesidad de una cadena de suministro resiliente y proactiva para ser flexible y resistente a los eventos adversos que se puedan concretar.
  • La innovación tecnológica – los cambios, las transformaciones y la evolución acelerada de la tecnología crea y creará disrupciones en el mediano y largo plazo, planteando un nuevo escenario de amenazas cibernéticas, donde las organizaciones deberán medir bien su apetito de riesgo para concretar nuevas fuentes de ganancias y posicionamiento estratégico.

Temáticas relevantes

Los documentos de los centros de pensamiento y los reportes de análisis prospectivo consultados (PwC, 2024; UKMoD, 2024; Microsoft, 2024; CompTIA, 2024; GRI, 2023) confirman al menos cinco temáticas relevantes para el riesgo cibernético a nivel empresas, comoquiera que son tópicos que afectan las compañías en sí mismas, sino que crean inestabilidades (positivas o negativas) en su entorno de negocio. Las temáticas son:

  • Lo cognitivo – el tema asociado con la comprensión de los imaginarios colectivos tanto de organizaciones como naciones. El centro ahora de las reflexiones y debates internacionales que están expuestos a manejos y afectaciones relevantes que pueden comprometer su permanencia en el largo plazo. El reto en esta temática es alcanzar lo que la literatura describe como superioridad cognitiva. Esto es, “poseer una comprensión más rápida, profunda y amplia del entorno operativo, de tu adversario y de ti mismo, para una mejor toma de decisiones y más eficaz que la que aplican los adversarios” (Paulauskas, 2024).
  • El fraude – un tema que si bien no es nuevo, establece una tendencia en aumento donde las tecnologías de información disruptivas, la ciberdelincuencia y los actores no-estatales convergen para crear un espacio de colaboración para generar extorsiones y grandes amenazas sobre los datos y activos digitales de las empresas, con el fin de formalizar agendas de carácter político, económico, social o ideológico, que terminan con afectaciones relevantes sobre países o la financiación de actividades ilícitas o terroristas, o programas para el desarrollo de armas no convencionales.
  • La inteligencia artificial – es el actor más nombrado en los documentos consultados. Los pronósticos positivos y los negativos establecen un marco de revisión que implica múltiples aristas de análisis para concretar nuevas oportunidades o potenciar nuevas amenazas. La inteligencia artificial generativa ha puesto en el escenario las posibilidades que tiene tanto para el bien como para el mal. El mal uso de esta tecnología por los adversarios, sugiere un panorama incierto e inexplorado que puede sorprender a la humanidad en el mediano y largo plazo.
  • La cadena de suministro – es un elemento determinante para las organizaciones y las naciones. Durante el COVID-19 se hizo evidente que estábamos más interconectados y el debilitamiento de la cadena de suministro hizo real la amenaza de no poder concretar y finalizar las operaciones. Los impactos a nivel global, luego de la pandemia, se concretaron en un mundo fragmentado que terminó con una cadena de suministro fragmentada y geopolíticamente afectada, donde el riesgo cibernético se consolida como una fuente de inestabilidad que atraviesa a todos los proveedores de servicios en la nube y aquellos que conforman la cadena de suministro digital de las empresas y naciones.
  • La computación cuántica – el nuevo chico en el barrio, que llega y poco a poco se posiciona como un nuevo referente de la evolución tecnológica del mundo. Es una apuesta que cambia el statu quo de la computación del mundo. Es el nuevo foco de la inversión global por alcanzar al menos dos retos: velocidad y confiabilidad. Velocidad para acelerar y avanzar más rápido en el procesamiento y ejecución de los algoritmos particularmente de inteligencia artificial, y la confiabilidad, medida alrededor de la corrección de errores que se da por cuenta de los estados de superposición de los qbits, donde la carrera avanza de forma acelerada en occidente.

Tres horizontes para analizar

A continuación se detallan los tres horizontes claves basados en las incertidumbres claves y los temas relevantes, que sugieren espacios de reflexión y análisis para ver tendencias que se pueden concretar en los siguientes meses, sin perjuicio de eventos inesperados que cambien el rumbo de manera inesperada y determinante que pueden aparecer sin previo aviso.

Figura 1. Tres horizontes para el riesgo cibernético en 2025 (Elaboración propia)

Horizonte 1 – Se mantienen las tendencias actuales

  • ¿Qué es lo que pasa hoy?
    • Se mantienen las tendencias como son:
      • Tensiones internacionales crecientes
      • Aumento de la extorsión con datos
      • El entrenamiento de la inteligencia artificial maligna especializada
      • Se advierten nuevas amenazas en los ecosistemas digitales de negocios como la desinformación y manipulación de audiencias.
      • Los avances tecnológicos retan a las empresas para crear nuevas experiencias en sus clientes: IoT, Blockchain, Metaverso, Criptomonedas, Agentes de inteligencia artificial.
  • ¿Qué debilidades tiene el paradigma actual?
    • Los retos de la cadena de suministro digital pueden aumentar y comprometer nuevas apuestas en los negocios.
    • Las regulaciones sobre la inteligencia artificial disminuyen sus alcances y el monitoreo de sus actividades puede limitar su avance.
    • El fraude puede superar las estrategias de control actuales y transformarse en un aliado estratégico de las tensiones geopolíticas.

Horizonte 2 – Tensiones e inestabilidades a mediano plazo

  • ¿Qué turbulencias e inestabilidades que se presentan?
    • Manipulación y expansión del riesgo cognitivo acelerado por el uso adverso de la inteligencia artificial para crear inestabilidad, incierto y caos en las naciones.
    • Potencialización de la extorsión con datos con datos a través de las nuevas innovaciones tecnológicas que permitan:
      • Ataques de ransomware coordinados - Materializar al mismo tiempo dos o más tipos de extorsiones con datos, que generen mayor incertidumbre e inestabilidad en las organizaciones.
      • Reporte reverso de ransomware - Atacante denuncia brecha ante el supervisor para “exponer” a la empresa por su “no reporte” a tiempo de los eventos que han ocurrido y que comprometen los datos de sus clientes.
      • Ataques de ransomware funcional - Toma control de la funcionalidad de los dispositivos y su exigencia de pago posterior.
    • Desestabilización de la cadena de suministro digital global, que cree zonas de inestabilidad e incierto, que disminuya la confianza digital de las nuevas iniciativas digitales empresariales, deteriorando el ambiente general de los negocios y la dinámica global de una economía digital.
    • Aumento de operaciones cibernéticas (sabotaje, extorsión, espionaje y manipulación) coordinadas y articuladas con terceros (o proxies) que aumentan la incapacidad de atribución, la implementación de banderas falsas y la afectación de infraestructuras críticas sensibles poco convencionales como los cables submarinos, los satélites, los mercados financieros (guerra económica) y las centrales nucleares.
  • ¿Qué experimentos e iniciativas se presentan en la actualidad que debilitan el paradigma actual?
    • La materialización de tres riesgos sistémicos claves:
      • Cibernético – aumento exponencial de la densidad digital a nivel personal, empresarial, nacional y global. La interconexión y flujo de datos personales afecta la dinámica del mundo y revela la sensibilidad y vulnerabilidad de la sociedad actual.
      • Político – El mundo fragmentado luego de la experiencia de la pandemia crea un nuevo orden mundial multipolar y fragmentado donde las alianzas son la norma y los entes multilaterales dejan de ser relevantes para mantener el balance en el escenario global.
      • Climático – Los cambios en la dinámica del tiempo, el aumento de los desastres naturales y los efectos en clima por cuenta de la alta huella de carbono de la humanidad, hace que las organizaciones cambien sus prioridades rápidamente hacia energías alternativas que terminan igualmente siendo blanco de los adversarios digitales.

Horizonte 3 – El futuro que emerge

  • ¿Qué transformaciones se van a materializar y cambiar el statu quo? 
    • La computación cuántica operativa cambiará la manera como el mundo evoluciona. Las posibilidades prácticamente infinitas que ofrece permitirán darán un salto en la evolución de la humanidad en temas que posiblemente requerían un impulso en el procesamiento y análisis de los datos, ahora potenciados con inteligencia artificial.
    • El acceso de la computación cuántica del “lado oscuro de la fuerza” si bien no será inmediato, si creará nuevas condiciones para su análisis y evolución. Las posibilidades y estrategias que se pueden plantear no sólo responderán a las amenazas tradicionales, sino a eventos que aún no es posible imaginar como avatars como servicio, inteligencia artificial maligna como servicio, falsificación de criptomonedas, creación de realidades como servicio, entre otras.
    • El trinomio entre computación cuántica, inteligencia artificial y geopolítica crearán una espiral de inestabilidad global por cuenta de la supremacía de una ideología que no sólo busca consolidar una perspectiva hegemónica global, sino cambiar la lectura del desarrollo de humanidad y deteriorar los principios democráticos tradicionales de los países.
  • ¿Qué elementos van a permanecer del H1?
    • Las tensiones geopolíticas igualmente fragmentadas y polarizadas.
    • La desinformación/malinformación como fundamento de la dinámica de los actores estatales y no-estatales.
    • La afectación permanente de las infraestructuras críticas nacionales tradicionales y no tradicionales como fuente de inestabilidad e incierto para los países.

Líneas rojas

El análisis de las líneas rojas asociadas con alertas tempranas y los indicadores relevantes que sugieran o superen el apetito de riesgo cibernético de la compañía, implica la identificación de algunos escenarios que se deben analizar en función de tres elementos claves: aquellos que anuncian evolución, experimentación o transformación (Ver figura 1).

  • Evolución
    • Eventos donde la inteligencia artificial afecta y compromete la cadena de suministro, los terceros de confianza y exacerba la desinformación deben ser tomados como referentes para revisar los efectos sistémicos que pueden traer a las organizaciones y los países.

  • Experimentación
    • Noticias sobre avances y nuevas posibilidades de usos adversos de las tecnologías emergentes como son la inteligencia artificial, la computación cuántica o manipulación del hardware con afectación en la cadena de suministro digital se consideran alertas tempranas que concretan zonas de experimentación de los adversarios.

  • Transformación
    • Situaciones o revelaciones de avances tecnológicos significativos que cambian la manera de hacer las cosas y generan nuevas posibilidades de usos adversos por parte de los atacantes, son distinciones que deben llamar la atención de los analistas de riesgo cibernético para concretar y actualizar su panorama de riesgos actuales.

Cada uno de estos elementos deben plantear escenarios posibles y probables que la organización deberá priorizar según la relevancia para empresa, si nivel de incertidumbre y complejidad, bien para aprender y anticipar las acciones que se requieren para enfrentar su posible materialización, o para responder de manera concreta frente a los efectos o impactos que se pueden generar en el sector de negocio donde actualmente opera.

Priorizar las estrategias de acción

Esta última parte busca, basada en la comprensión de los posibles horizontes y de las líneas rojas delineadas, establecer cómo aprovechar el pasado (entender y analizar), cómo construir el presente (aprovechar y actuar) y cómo planear el futuro (explorar y anticipar). Para ello la reflexión deberá estar situada en las temáticas claves previamente identificadas y ahora analizadas en perspectiva con los habilitadores claves.

Una lectura de este ejercicio se plantea a continuación:

Tabla 1. Priorizar estrategia de acción

Nota: Elaboración propia.

Conclusiones

Desarrollar pronósticos de seguridad/ciberseguridad cada año se torna en un reto cada vez más desafiante, más enriquecedor y más esquivo, comoquiera que los cambios acelerados y transformaciones inesperadas, crean escenarios que muchas veces desafían hasta los más experimentados analistas en estos temas. En esta ocasión, si bien muchas temáticas pueden quedarse por fuera de esta reflexión, es importante advertir que los retos y horizontes planteados establecen una mirada multidimensional, asimétrica, híbrida e interconectada de la dinámica actual, que trata de recoger algunos movimientos y sus impactos en la práctica vigente de las organizaciones ahora en un ecosistema digital de negocios.

Si bien resultado de un análisis de diferentes fuentes identificadas se advierten los siguientes riesgos cibernéticos emergentes a 2030: (PwC, 2024; UKMoD, 2024)

  • Explotación de la IA por parte de actores maliciosos
  • Vulnerabilidades de seguridad en tecnologías emergentes
  • Aumento de la sofisticación de los ciberataques
  • Brecha de habilidades en ciberseguridad
  • Fragmentación del ciberespacio 

la condición natural de tomar riesgos propia de las empresas, se contrasta con los retos que impone la materialización de los riesgos cibernéticos en sus negocios. En este sentido, no es la protección y prevención (orientado por los riesgos conocidos) lo que hace la diferencia en la gestión de este riesgo, sino las estrategias de defensa con el fin de advertir los movimientos del adversario y actuar hasta antes de que tenga éxito, o en el mejor de los casos ganar tiempo de maniobra para ajustar las medidas de seguridad y control disponibles en la organización. 

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la tecnologías emergentes y disruptivas (IA – Inteligencia Artificial, IoT, Tecnología de libro mayor digital (DLT-Digital Ledger Technology), Metaverso, Computación cuántica), la amenaza interna, el aumento de las regulaciones, la sensibilidad de las terceras y cuartas partes (los proveedores del proveedor) y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de una sociedad ahora frágil, ansiosa, no-lineal e incomprensible (Deloitte, 2024).

Así las cosas, el reto que deben asumir las organizaciones es anticipar el mayor número de amenazas cibernéticas y advertir la materialización de los posibles horizontes, con el fin de mantener un inventario de análisis permanente, que la mantenga fuera de la zona cómoda y retada en sus saberes previos, con el fin de: (Brill, 2021)

  • Establecer lo conocido y lo que se puede conocer.
  • Definir los retos concretos a enfrentar.
  • Enmarcar los límites de la búsqueda.
  • Efectuar las inferencias que se pueden hacer de aquello conocido y por conocer.

De esta forma, la organización dejará de entender el incierto como un enemigo a vencer, para transformarlo en el insumo base de la toma de decisiones para navegar y avanzar en medio de los retos de los adversarios, y entender su apetito de riesgo cibernético, como el fundamento de las inversiones, las estrategias y los objetivos corporativos, esto es, centrar la discusión en torno a la misión empresarial y la promesa de valor para el cliente.

En resumen adoptar un enfoque holístico e integral que aborde la ciberseguridad como una prioridad estratégica, fomente una cultura organizacional de seguridad de la información situada en las consecuencias, evalúe los riesgos tradicionales y sistémicos rompiendo los silos organizacionales, se adapte al panorama de amenazas cibernéticas en su ecosistema digital, priorice la resiliencia cibernética como valor corporativo estratégico, promueva la colaboración entre organizaciones del mismo sector (y del orden nacional) y establezca una lectura dinámica de su entorno que la mantenga incómoda para asegurar una espiral ascendente de conocimiento basada en el ciclo de aprender, desaprender y reaprender.

Referencias

Brill, J. (2021). Rogue Waves. Future-proof your business to survive & profit from radical change. New York, USA:Mcgraw Hill

Brimley, S., FitzGerald, B. & Sayler, K. (2013). Game Changers. Disruptive Technology and U.S. Defense Strategy. Disruptive Defense Papers. Center for New American Security. https://www.files.ethz.ch/isn/170630/CNAS_Gamechangers_BrimleyFitzGeraldSayler_0.pdf 

Cano, J. (2023). The Illusion of Control and the Challenge of an Adaptable Digital Enterprise. ISACA Journal. 3. https://www.isaca.org/resources/isaca-journal/issues/2023/volume-3/the-illusion-of-control-and-the-challenge-of-an-adaptable-digital-enterprise 

CompTIA. (2024). 2025 State of cybersecurity. CompTIA. https://www.comptia.org/content/research/cybersecurity-trends-research 

Curry, A. & Hodgson, A. (2008). Seeing in Multiple Horizons: Connecting Futures to Strategy. Journal of Futures Studies. 13(1). 1-20. https://jfsdigital.org/articles-and-essays/2008-2/vol-13-no-1-august/articles/seeing-in-multiple-horizons-connecting-futures-to-strategy/ 

Deloitte (2024).  Tech trend 2024. Deloitte Insights. https://www2.deloitte.com/co/es/pages/technology/articles/tech-trends-2024.html 

Global Risk Institute-GRI. (2023). 2023 quantum threat timeline report. Global Risk Institute. https://globalriskinstitute.org/publication/2023-quantum-threat-timeline-report/ 

McCaffrey, C. R., Henisz, W. & Jones, O. (2024). Geostrategy by design. How to manage geopolitical risk in the new era of globalization. New York, NY. USA: Disruption Books

Microsoft. (2024). Microsoft Digital Defense Report 2024. https://www.microsoft.com/en-us/security/security-insider/intelligence-reports/microsoft-digital-defense-report-2024 

Paulauskas, K. (2024). Why cognitive superiority is an imperative. NATO Review. https://t.ly/pvIsV

PwC. (2024). A C-Suite Playbook - Bridging the gaps to cyber resilience. PwC. https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/library/global-digital-trust-insights.html 

Shandilya, S. K., Datta, A., Kartik, Y., & Nagar, A. (2024). Digital resilience: Navigating disruption and safeguarding data privacy. Springer Nature Switzerland.

Strategic Foresight (s.f.). Los Tres Horizontes. Una metodología de Foresight para la transformación. https://www.strategicforesight.es/blog/los-tres-horizontes/ 

Teixeira, T., Beard, M., Watson, S., Hansen, B. & Thompson, D. (2023). Do you know your risk appetite? Arthur D’Little View Point. https://www.adlittle.com/en/insights/viewpoints/do-you-know-your-risk-appetite

UK Ministry of Defence - UKMoD. (2024). Global strategic trends: Out to 2055. Gov.uk. https://www.gov.uk/government/publications/global-strategic-trends-out-to-2055 

lunes, 23 de octubre de 2023

Pronósticos de seguridad/ciberseguridad 2024. Una visión holística y situada

 Introducción

A pesar de que los fantasmas de la inflación, la recesión económica y las tensiones cibernéticas permanecen en el escenario actual, los cambios inesperados en el escenario internacional le dan forma a una nueva realidad que tanto las organizaciones como las naciones deben ahora mantener en su radar. El mundo se ha convertido en un lugar altamente interconectado, acoplado e inestable motivado por la dinámica de cinco realidades:

  • Populismo - Forma de gobierno con un fuerte liderazgo de un sujeto carismático, con propuestas de igualdad social y movilización popular.
  • Polarización - Inexistencia de un punto medio o un lugar de encuentro entre las diversas opiniones, que parecen irreconciliables.
  • Posverdad - Distorsión deliberada de una realidad, que manipula creencias y emociones con el fin de influir en la opinión pública y en actitudes sociales.
  • Policrisis - Interrelación de diferentes crisis que coinciden, cuyo resultado es aún más abrumador que la suma de sus partes.
  • Permacrisis - Periodo prolongado de inestabilidad e inseguridad, especialmente como consecuencia de una serie de acontecimientos catastróficos.

Estas cinco realidades, manifiestan la naturaleza inherente de los riesgos sistémicos donde abundan muchas cosas que se saben y no se entienden, así como aquellas que se saben y no se conocen, sin mencionar esas que ni se saben ni se entienden. En pocas palabras, se demanda de las organizaciones superar la vista muchas veces “irreal” de que se conocen los riesgos y que se cuentan con las medidas necesarias para atender los posibles efectos de su materialización.

Lo que es “real” (sin perjuicio de incurrir en imprecisiones) es que tanto las organizaciones como las naciones aun abrazan la ilusión del control, esa perspectiva (poco creíble en la actualidad) de que al asegurar las mejores prácticas de seguridad y control es posible darle tranquilidad a los ejecutivos frente a los posibles eventos adversos, generando mayor claridad y espacio para una toma de decisiones tranquila y acertada (Cano, 2023). 

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información implica tratar de acertar sobre “blancos en movimiento” basados en reportes, documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará (o fortalecerá) con el pasar de los días. Por tanto, lanzarse a efectuar visualización de escenarios y retos para los modelos de seguridad y control en el 2024, demandará la transformación de paradigma de seguridad basado en la postura víctima (de preparación y respuesta a un incidente) a otra basada en el adversario (proactiva y basada en la defensa y anticipación), con el fin de explorar una vista más holística que supere aquella eminentemente técnica, por una desde la perspectiva PESTEL (Político, Económico, Social, Tecnológico, Ecológico y Legal).

Así las cosas, varios son los retos que se advierten para la ciberseguridad nacional y empresarial en el marco del modelo PESTEL para el 2024:

  • Político: Uso del ciberpoder por parte de las potencias globales.
  • Económico: Ciberataques, impuestos al crecimiento y desarrollo de las naciones.
  • Social: La realidad no es lo que parece.
  • Tecnológico: Mayor conectividad, mayor densidad y vulnerabilidad digital.
  • Ecológico: Convergencia entre sostenibilidad y ciberseguridad.
  • Legal: Ciberriesgo, mayor responsabilidad y exigencia ejecutiva. 

Estas seis temáticas son el resultado de un ejercicio de desconexión de las realidades actuales, revelar algunas de las dinámicas emergentes del momento y nuevamente conectar lo actual y lo emergente para visualizar “ganancias teóricas” y “aproximaciones prácticas” que motivan transformaciones aceleradas que se advierten para los próximos meses. 

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la tecnologías emergentes y disruptivas (IA – Inteligencia Artificial, IoT, Tecnología de libro mayor digital (DLT-Digital Ledger Technology), Metaverso, Computación cuántica), la amenaza interna, el aumento de las regulaciones, la sensibilidad de las terceras y cuartas partes (los proveedores del proveedor) y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de una sociedad ahora frágil, ansiosa, no-lineal e incomprensible (Deloitte, 2023).

Político: Uso del ciberpoder por parte de las potencias globales

La inestabilidad geopolítica global seguirá aumentando con el paso de los años. Al final de la década no sólo habrá conflictos en medio oriente, europa oriental y la franja de Gaza, sino que la fragmentación global y la generación de nuevos bloques económicos creará zonas de alta incertidumbre y volatilidad motivada no sólo por temas ideológicos, sino económicos basados en la tecnología, como son las materias primas y las instalaciones especializadas para el ensamble de chips para el desarrollo de mejores y mayores avances en la IA, así como acelerar las investigaciones y prototipos más sencillos que habiliten la computación cuántica y así concretar la amenaza sobre la seguridad digital global actual y los algoritmos de cifrado tradicionales (Semana, 2023).

El ciberpoder es una capacidad que permite a un actor influir en otros en el ciberespacio o a través de él y controlar y moldear el ciberespacio en su beneficio según sus preferencias (Kukkola, 2020), lo que implica el despliegue de estrategias, técnicas y tácticas que permitan crear inestabilidad, incierto y caos en los diferentes grupos de interés de Estados y organizaciones, por debajo del nivel de la fuerza, esto es, en la zona gris donde se busca desgastar al oponente, sin temor a ser identificado, mimetizado en la dinámica social y con efectos dominó que degraden desde adentro al enemigo sin que la sociedad afectada lo note. 

Lo anterior implica avanzar rápidamente en la gestión del riesgo político, es decir, la probabilidad de que una acción política pueda afectar a una empresa de manera significativa en su promesa de valor (Rice & Zegart, 2020) lo que supone identificar, anticipar y analizar las tensiones geopolíticas actuales y emergentes que generarán un aumento de operaciones cibernéticas globales dirigidas y financiadas, donde los Estados tratarán de tomar ventaja e influir para su beneficio, más allá de las estrategia ciberdiplomáticas que se adelanten con el fin de desescalar un ciberconflicto emergente, muchas veces invisible para las organizaciones y Estados.

Económico: Ciberataques, impuestos al crecimiento y desarrollo de las naciones

La gran mayoría de reportes internacionales coinciden en el aumento de los ciberataques a nivel global y cómo los adversarios toman ventajas de sus blancos exitosos para concretar acciones relacionadas con la extorsión con datos, robo de credenciales y propiedad intelectual, afectación de infraestructuras críticas, lavado de criptoactivos y todo tipo de fraudes basados en engaños y distracción como el phishing (PwC, 2023).

Este tipo de acciones adversas exitosas configuran un impuesto progresivo que grava la confianza digital de los consumidores y crea zonas inciertas que afectan la dinámica empresarial y la prosperidad económica de las naciones (Cano, 2020). Esto es, desarrollan un detrimento de la inversión en la transformación digital de las naciones y empresas,  que terminan creando inestabilidad e incierto en los diferentes grupos de interés, que disuaden tanto a inversionistas como a las personas, a tomar los riesgos propios de un entorno digital, desconfiando en la capacidad de las empresas y naciones para lograr y mostrar su promesa de valor y fortaleza de sus instituciones respectivamente.

La dinámica de un ciberataque es crear incierto e inestabilidad para que la organización o nación y sus personas se mantengan distraídas, actúen de forma errática y abran más espacios de acción para el agente agresor de forma invisible y mimetizada. En consecuencia, es necesario crear acciones de preparación y acción colectiva que permitan a las empresas conectarse y diseñar estrategias de defensa, colaboración y cooperación conjuntas (con aliados estratégicos) que aumenten la resistencia y resiliencia de las organizaciones y naciones participantes, creando una postura de ciberseguridad creíble y verificable que disuada al tercero de las acciones agrestes que pueda tener planeadas.

Social: La realidad no es lo que parece

La constante exposición social de las personas a los medios sociales digitales, hace que las interacciones revelen vulnerabilidades cognitivas de los ciudadanos que de manera muchas veces ingenua termina siguiendo el juego de los agresores: difundir información falsa, información abiertamente inexacta o desinformar. Cuando este tipo de comportamientos se nutre de las vulnerabilidades sociales y las vulnerabilidades tecnológicas se configura un entorno de información tóxica que desdibuja la dinámica de una sociedad y la condena al deterioro de su propia integridad cognitiva, haciéndola vulnerable a operaciones psicológicas y cognitivas que terminen creando un entorno de pérdida de gobernabilidad que cualquier nación enemiga o agresor quisiera concretar y aprovechar (Barojan, 2021). 

Este tipo de actividad se ha venido materializando de forma cada vez más visible en medio de los conflictos globales actuales, creando narrativas de odio, a favor a en contra de acciones particulares o a través de uso de robots o bot que ejecutan algoritmos con mensajes dirigidos para crear tendencias que favorecen o afectan a grupos particulares (Cano, 2021). Las recientes acciones entre Rusia y Ucrania, entre Israel y Hamas, muestran que el entorno cibernético puede crear confusión y crear una capa de opacidad sobre los hechos, que confundan hasta el mejor analista de este tipo de conflictos, y de igual forma, motivar tendencias que lleven a cambios en las intenciones de voto dentro de un país.

Recuperar lo que se denomina la realidad, implica tener una postura crítica frente a los mensajes recibidos por este tipo de medios sociales digitales, fortalecer la higiene con la información, desarrollar la competencia de la curaduría digital, que permita explorar, analizar y seleccionar aquellas fuentes confiables y contrastar los mensajes, con el fin de abrir espacios de debate que superen los sentimientos propios de la posverdad, y se reemplace por el debate del reto de las ideas y posturas, más allá de los juicios de valor (muchas veces mal fundados), así como reconocer en otro como verdadero otro, con posturas y sugerencias que hacen parte de una realidad que se comparte y se construye en conjunto.

Tecnológico: Mayor conectividad, mayor densidad y vulnerabilidad digital

En lo tecnológico es donde más abundan las noticias y los reportes internacionales sobre las tendencias para 2024. Estos datos recaban en tecnologías que emergerán en los siguientes meses y las nuevas capacidades que las organizaciones deberán incluir para mantener o desarrollar lo algunos analistas denominan el sistema inmunológico digital (Scheibmeir, 2023). Lo que ocurre en la actualidad y no será la excepción el año entrante, es el aumento de mayor conectividad y flujo de datos sobre objetos físicos, la incorporación del internet de las cosas y la carrera acelerada de la digitalización empresarial y las ciudades inteligentes.

Este nuevo espacio digitalmente denso revela un entorno altamente conectado, acoplado e interactivo que crea un espeso tejido digital donde todos los participantes pueden y van a sentir cualquier falla o efecto de un ciberataque, que muchas veces estará mimetizado y motivado por contextos políticos, que se traducen en amenazas híbridas que tratan de concretar los resultados requeridos bajo el manto de la duda o poca o nula atribución. Esto tendrá consecuencias económicas, sociales y políticas que afectarán no sólo a las organizaciones en las variables tradicionales y en su reputación, sino a las naciones que tratan de aumentar las posibilidades y oportunidades para sus ciudadanos (Sieber & Zamora, 2018).

Frente a este escenario lo más importante es mantener una postura vigilante frente a la inevitabilidad de la falla y sobremanera prepararse para disminuir los impactos de un ciberataque exitoso. Esto es, abandonar la falsa sensación de seguridad que genera la aplicación de estándares y buenas prácticas, y repensar la gestión del riesgo cibernético desde la resiliencia, la antifragilidad, la flexibilidad y la anticipación, para sensar y responder a su entorno, de forma que, reconociendo el contexto en el que opera, los retos de su escenario de negocio y las capacidades de sus adversarios, es capaz de aprender rápidamente de aquellos momentos en los que las cosas no salen según lo previsto, para responder a las expectativas de sus clientes y ciudadanos en tiempos de crisis sin sobrepasar los umbrales de capacidad de riesgo establecidos y definidos por el equipo directivo de la empresa o el gobierno nacional.

Ecológico: Convergencia entre sostenibilidad y ciberseguridad

En lo ecológico o ambiental, se advierte una serie de recomendaciones que se vienen haciendo respecto de una temática denominada por siglas en inglés ESG (Environmental, Social and Governance) las cuales llaman la atención de los equipos ejecutivos en diversos temas particularmente los asociados con el cambio climático, la economía circular, los temas sociales y la protección de los datos, orientados por el desarrollo de la confianza digital. Esta nueva realidad, sitúa a la ciberseguridad en un escenario convergente no sólo en el tema tecnológico, sino sus impactos en lo ambiental, lo social y la gobernanza (Groopman, 2022).

Como se ha anotado en secciones anteriores los atacantes cada vez más aceleran sus acciones adversas, para concretar eventos sorpresivos y disruptivos que terminan por afectar no sólo a las organizaciones y naciones, sino a la dinámica de los ciudadanos. Es así, que en una economía digital en auge, la ciberseguridad ya no es sólo una preocupación de la industria del software. Se ha transformado en un tema relevante para la dirección de las empresas, los inversores globales y los actores de todas las industrias expuestas a una mayor densidad digital y a la información privada de los clientes. Un grupo demográfico mucho más amplio está cada vez más preocupado por el impacto social de la ciberseguridad, así como por sus implicaciones tecnológicas (J.P.Morgan, 2021).

Lo anterior implica que, el riesgo cibernético puede afectar significativamente a la sociedad, en particular a medida que los ciberataques globales se hacen más frecuentes e impactantes. Las aplicaciones y sistemas digitales están ahora integrados en todos los aspectos de la vida humana, desde los dispositivos personales que se usan a diario y las interacciones en las redes sociales hasta las sofisticadas plataformas y sistemas automatizados que sustentan la dinámica de los lugares de trabajo y los estilos de vida digitales. En consecuencia, la extorsión con datos, la protección de los personales sensibles (asociados con robo de identidad, fraude financiero, acceso a información genética), la desinformación, el uso abusivo de la IA y la apropiación del riesgo cibernético por parte de la ciudadanía, deberán ser parte de la agenda ejecutiva para promover un sociedad más resistente al fraude, fomentar la confianza digital y reducir la exposición a los ataques a la cadena de suministro.

Legal: Ciberriesgo, mayor responsabilidad y exigencia ejecutiva

Con las nuevas reglas sobre el tema de ciberseguridad recientemente emitidas por la Comisión de Valores de los Estados Unidos de América (Security Exchange Commission (SEC)) sobre el reporte de incidentes de seguridad y con ocasión de la actualización del fallo de Caremark International Inc. Derivative Litigation de 1996, realizado por el tribunal de Delaware en USA en 2019, donde indaga si la junta directiva ha establecido procedimientos para obtener informes periódicos de la dirección sobre los aspectos críticos de la empresa (Bhagat, 2022), la ciberseguridad toma especial relevancia comoquiera que es un aspecto clave y transversal a la dinámica empresarial, donde eventos adversos exitosos en el dominio cibernético terminan afectando no sólo la promesa de valor de la empresa, sino sus diferentes grupos de interés.

La acelerada trasformación digital y la exigencias de una mayor competitividad en cada uno los sectores de la dinámica social, demandan una mayor exposición y aumento del apetito de riesgo cibernético. En este sentido, el desarrollo de capacidades cibernéticas asociadas con la defensa, la prevención, la respuesta, el monitoreo y automatización cobran más relevancia para atender un mayor tejido digital de opciones que se plantean, donde no sólo participan los clientes y ciudadanos, sino los diferentes actores de un ecosistemas digital que se hace tan resistente o vulnerable como la capacidad de colaboración y cooperación de cada uno de sus participantes (Teixeira et al., 2023).

En consecuencia de lo anterior, las organizaciones y sus equipos ejecutivos deberán madurar en la gestión y gobierno del riesgo cibernético para dar cuenta de su responsabilidad frente a este riesgo. En esta línea, deberán entre otras cosas: (Bhagat, 2022)

  • Disponer de procedimientos para detectar amenazas e incidentes de ciberseguridad e informar de ellos a la dirección en tiempo real.
  • Informar puntualmente al consejo de las amenazas e incidentes de ciberseguridad.
  • Debatir sobre ciberseguridad con regularidad en la agenda del consejo, no sólo después de un incidente de ciberseguridad.
  • Priorizar las acciones en los ciberataques potenciales que puedan causar el mayor daño económico.
  • Contar con un comité de ciberseguridad, distinto al comité de auditoría, donde se defina, valide y actualice el apetito de riesgo cibernético de la empresa y sus umbrales de tolerancia a dicho riesgo.

Dada la naturaleza dinámica del riesgo cibernético, el equipo ejecutivo debe ser consciente que la gestión y gobierno de este riesgo se trata de un esfuerzo continuo que se hace más exigente con el tiempo. Por tanto, las brechas y vulnerabilidades aprovechadas por los ataques cibernéticos crean riesgos normativos, penales, legales y de marca, todos los cuales deben ser comprendidos y supervisados por la junta directiva ahora y en el futuro (Brown & Ludwig, 2023).

Conclusiones

Desarrollar pronósticos de seguridad/ciberseguridad cada año se torna en un reto cada vez más desafiante, más enriquecedor y más esquivo, comoquiera que los cambios acelerados y transformaciones inesperadas, crean escenarios que muchas veces desafían hasta los más experimentados analistas en estos temas. En esta ocasión, si bien muchas temáticas pueden quedarse por fuera de esta reflexión, es importante advertir que los retos y análisis planteados establecen una mirada multidimensional, asimétrica, híbrida e interconectada de la dinámica actual, que trata de recoger algunos movimientos y sus impactos en la práctica vigente de los ejecutivos de ciberseguridad y los miembros de las juntas directivas.

Un reciente estudio de Mckinsey (2023) establece que las tecnologías relacionadas con identidad y arquitecturas de confianza son las que más crecen respecto del año 2022, dado que la seguridad, la privacidad y la resiliencia se vuelven cada vez más críticas en todos los sectores de negocio. Esta realidad revela la necesidad de las organizaciones de avanzar rápidamente en un escenario cada vez más incierto, donde las ventajas competitivas se alcanzan aumentando el apetito de riesgo cibernético y motivando la transformación digital a través de iniciativas digitales novedosas y disruptivas.

No obstante, esta condición natural de tomar riesgos, se contrasta con los retos que impone la materialización de los riesgos cibernéticos en las organizaciones. En este sentido, no es la protección y prevención (orientado por los riesgos conocidos) lo que hace la diferencia en la gestión de este riesgo, sino las estrategias de defensa con el fin de advertir los movimientos del adversario y actuar hasta antes de que tenga éxito, o en el mejor de los casos ganar tiempo de maniobra para ajustar las medidas de seguridad y control disponibles en la organización. 

Así las cosas, el reto que deben asumir las organizaciones es anticipar el mayor número de amenazas cibernéticas, con el fin de mantener un inventario de análisis permanente, que la mantenga fuera de la zona cómoda y retada en sus saberes previos, con el fin de: (Brill, 2021)

  • Establecer lo conocido y lo que se puede conocer.
  • Definir los retos concretos a enfrentar.
  • Enmarcar los límites de la búsqueda.
  • Efectuar las inferencias que se pueden hacer de aquello conocido y por conocer.

De esta forma, la organización dejará de entender el incierto como un enemigo a vencer, para transformarlo en el insumo base de la toma de decisiones para navegar y avanzar en medio de los retos de los adversarios, y entender su apetito de riesgo cibernético, como el fundamento de las inversiones, las estrategias y los objetivos corporativos, esto es, centrar la discusión en torno a la misión empresarial y la promesa de valor para el cliente.

Referencias

  • Barojan D. (2021) Building Digital Resilience Ahead of Elections and Beyond. En: Jayakumar S., Ang B., Anwar N.D. (eds) Disinformation and Fake News. Palgrave Macmillan, Singapore. https://doi.org/10.1007/978-981-15-5876-4_5
  • Bhagat, S. (2022). How corporate boards can ensure cybersecurity is mission critical. The Hill. https://thehill.com/opinion/cybersecurity/3789660-how-corporate-boards-can-ensure-cybersecurity-is-mission-critical/ 
  • Brill, J. (2021). Rogue Waves. Future-proof your business to survive & profit from radical change. New York, USA:Mcgraw Hill
  • Brown, A. & Ludwig, H. (2023). Cybersecurity: Seven Steps for Boards of Directors. The Guide to Effective Cyber Risk Oversight: From Board Members for Board Members. Zscaler. https://www.zscaler.com/resources/ebooks/zscaler-cybersecurity-seven-steps-for-bod.pdf 
  • Cano, J. (2020). Ciberataques ¿Impuestos inevitables en la dinámica de una economía digital? Revista SISTEMAS. 67-74. https://lnkd.in/eE3WRCdQ
  • Cano, J. (2021). Los conflictos híbridos y el poder de los algoritmos. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. 161. 62-72. https://doi.org/10.29236/sistemas.n161a6 
  • Cano, J. (2023). The Illusion of Control and the Challenge of an Adaptable Digital Enterprise. ISACA Journal. 3. https://www.isaca.org/resources/isaca-journal/issues/2023/volume-3/the-illusion-of-control-and-the-challenge-of-an-adaptable-digital-enterprise 
  • Deloitte (2023).  Tech trend 2023. Deloitte Insights. https://www2.deloitte.com/us/en/insights/focus/tech-trends.html
  • Groopman, J. (2022). 5 reasons to integrate ESG and cybersecurity. Techtarget. https://www.techtarget.com/searchsecurity/tip/Reasons-to-integrate-ESG-and-cybersecurity 
  • J.P.Morgan (2021). Why is cybersecurity important to ESG frameworks? https://www.jpmorgan.com/insights/esg/governance-strategies/why-is-cybersecurity-important-to-esg 
  • KPMG (2023). Cybersecurity in ESG. https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2023/08/cybersecurity-in-esg.pdf 
  • Kukkola, J. (2020). Digital Soviet Union. The Russian national segment of the internet as a closed national network shaped by strategic cultural ideas. National Defence University Series 1: Research Publications No. 40. Helsinki, National Defence
  • Mckinsey (2023). McKinsey Technology Trends Outlook 2023. https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/the-top-trends-in-tech 
  • PwC (2023). 2024 Global Digital Trust Insights. https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/library/global-digital-trust-insights/report-download.html 
  • Rice, C. & Zegart, A. (2020). Managing 21st-Century political risk. En HBR’s 10 Must Read On Managing Risk. Boston, MA. USA: Harvard Business School Publishing Corporation. pp 89-106
  • Scheibmeir, J. (2023). Gartner Top Strategic Technology Trend: Build Digital Immunity to Improve Technology Resilience. Gartner Webinar. https://www.gartner.com/en/webinar/469884/1106412 
  • Semana (2023). Estos son los diez eventos geopolíticos que amenazan al mundo en 2024, según los expertos de The Economist. https://www.semana.com/economia/macroeconomia/articulo/estos-son-los-diez-eventos-geopoliticos-que-amenazan-al-mundo-en-2024-segun-los-expertos-de-the-economist/202333/ 
  • Sieber, S. & Zamora, J. (2018). The Cybersecurity Challenge in a High Digital Density World. European Business Review. November. https://www.europeanbusinessreview.com/the-cybersecurity-challenge-in-a-high-digital-density-world/ 
  • Teixeira, T., Beard, M., Watson, S., Hansen, B. & Thompson, D. (2023). Do you know your risk appetite? Arthur D’Little View Point. https://www.adlittle.com/en/insights/viewpoints/do-you-know-your-risk-appetite


lunes, 7 de noviembre de 2022

Pronósticos de seguridad/ciberseguridad 2023. Hacia una seguridad híbrida y asimétrica

Introducción

Tres fantasmas se asoman en la dinámica de las inestabilidades globales para los próximos meses: la recesión económica, la inflación y las tensiones cibernéticas. Tres temáticas que generan incertidumbre y cambios en la manera como las organizaciones y las naciones se preparan para avanzar y lograr sus objetivos de mediano y largo plazo. Estos desafíos implican el desarrollo de capacidades de adaptación, de aprendizaje/desaprendizaje ágil, de absorción y rebote frente a eventos adversos, así como un ejercicio de colaboración, cooperación, comunicación, confianza y coordinación con los diferentes aliados estratégicos.

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información sugiere una apuesta sobre “blancos en movimiento” sobre los reportes, los documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará (o fortalecerá) con el pasar de los días. Por tanto, lanzarse a efectuar visualización de escenarios y retos para los modelos de seguridad y control en el 2023, demandará la transformación de paradigma de seguridad basado en la postura víctima (de preparación y respuesta a un incidente) a otra basada en el adversario (proactiva y basada en la defensa y anticipación), con el fin de explorar algunas temáticas que han venido surgiendo en diferentes informes a nivel internacional y en realidades emergentes o señales débiles del entorno.

Motivar una transformación hacia un paradigma de seguridad híbrida y asimétrica en 2023, exige crear una postura de protección basada en el “feedforward”. Esto es, establecer un mapa imperfecto del momento presente y decidir qué hacer ahora en función de lo que se percibe y en circunstancias radicalmente distintas. Lo anterior, implica plantear un camino potencial de cambios e inestabilidades que se configuran en la actualidad creando una prospectiva de evolución basada en distinciones conocidas o novedosas (Hodgson, 2020).

Así las cosas, varias son las temáticas que se advierten para visualizar el reto de una seguridad híbrida y asimétrica propuestas en esta reflexión:

  • Estrategia multinube: cadena de suministro en la nube
  • Soberanía de datos: un reto emergente
  • Ciberpoder: nuevo ejercicio de control del ciberespacio
  • Apetito de riesgo empresarial: tomar más riesgos e incluir más capacidades
  • Ciberdominio: desinformación y pérdida de integridad cognitiva 

Estas cinco temáticas son el resultado de un ejercicio de desconexión de las realidades actuales, revelar algunas de las dinámicas emergentes del momento y nuevamente conectar lo actual y lo emergente para visualizar “ganancias teóricas” y “aproximaciones prácticas” que motivan transformaciones aceleradas que se advierten para los próximos meses. 

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la tecnologías emergentes y disruptivas, la amenaza interna, el aumento de las regulaciones y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de la sociedad ahora frágil, ansiosa, no-lineal e incomprensible.

Temáticas y los retos de una seguridad híbrida y asimétrica

Entender la nueva realidad del mundo actual implica sacar a la ciberseguridad del dominio técnico y situarla en la realidad de las amenazas híbridas que abren un espectro de análisis mayor y retan a los ejecutivos de ciberseguridad para comprender un escenario con múltiples variables y efectos inesperados que requieren un cambio de mentalidad y reflexión que cruza el negocio y lo traslada al escenario internacional con sus implicaciones geopolíticas.

Moreno (2021) define las amenazas híbridas como:

“fenómenos que usan ataques convencionales y no convencionales para desestabilizar un país. Las amenazas convencionales son de carácter militar, mientras que las no convencionales incluyen ciberataques, terrorismo, campañas de desinformación o propaganda y presión política o guerra económica. Todo ello va encaminado a dañar los pilares del Estado rival, atentando contra la confianza en sus instituciones, la estabilidad económica y la cohesión social” (parr.2). 

En este contexto, es ahora donde los encargados de la ciberseguridad deben actuar, lo que implica abrir sus espectros de reflexión y análisis para ir en profundidad de sus estrategias y acompañar a la organización en un entorno donde escasean las certezas y las inestabilidades son la norma en la toma de decisiones. 

En consecuencia, se detallan a continuación los retos que implica reconocer este nuevo escenario para construir una distinción de seguridad híbrida y asimétrica que lleve a un nuevo nivel las expectativas, experiencias y saberes de los ejecutivos de ciberseguridad/seguridad de la información de las organizaciones. 

Estrategia multinube: cadena de suministro en la nube

La transformación digital acelerada por cuenta de la emergencia sanitaria internacional, la necesidad de cuidar los costos (ahora con el fantasma de la recesión) y concretar la promesa de valor en los clientes, hace que las organizaciones y naciones se abran rápidamente a contar con aliados estratégicos particularmente en la nube, con lo que saben que van a incorporar rápidamente nuevas capacidades claves de forma competitiva para armonizar su ecosistema externo, y al mismo tiempo, quieran o no perderán control de su datos.

En este sentido, la estrategia de contar con al menos dos proveedores de servicios en la nube, uno público donde pueden escalar cada vez que lo necesiten y uno privado, donde desplieguen sus iniciativas, se convierte en el nuevo estándar para las organizaciones modernas. Esto supone un ejercicio de coordinación, cooperación, colaboración, confianza y comunicación para desarrollar una relación de negocios de largo plazo, donde la integración de las prácticas de seguridad y control de la empresa con las del proveedor deberán ser la base de la manera como se construya la respuesta cuando las cosas no salen como estaban previstas.

Así las cosas, se configura una cadena de suministro en la nube (Akinrolabu et al., 2018) como un sistema complejo de dos o más partes que trabajan juntas para proporcionar, desarrollar, alojar, gestionar, supervisar o utilizar servicios en la nube; cada una de ellas se enfrenta a factores de riesgo internos y externos y a influencias que hacen que sea incierto si lograrán sus  objetivos de los servicios en la nube. En este sentido, se aumenta la ecuación del incierto para las organizaciones, lo cual crea un escenario de oportunidad clave para los planes del adversario.

Frente a este nuevo escenario, las organizaciones deberán invertir en el reconocimiento y aseguramiento de la resiliencia de esta cadena de suministro basada en terceros en la nube para advertir, monitorizar y asegurar:

  • Efectos cascada: Resultado sistémico que termina con una afectación en toda la cadena. 
  • Efectos aislados: Un evento adverso en un componente específico que compromete parte de la operación.
  • Efectos focalizados: Una falla en un componente en particular que inhabilita funcionalidades específicas de su hacer.

Soberanía de datos: un reto emergente

El concepto de soberanía por lo general la literatura lo asocia al reconocimiento de fronteras y límites físicos, los cuales determinan y establecen prerrogativas y derechos de los Estados en el ejercicio del control de sus intereses nacionales y estratégicos. Este concepto enmarca la manera concreta y real de las relaciones internacionales lo que establece un perfil de relacionamiento que busca proteger y respetar las condiciones y dinámicas de cada país en su libre ejercicio de autodeterminación y desarrollo de acuerdo con sus planes estratégicos y políticos.

En un escenario como el actual donde tanto las organizaciones como los Estados mantienen un flujo de datos con proveedores en la nube, la pregunta sobre la propiedad, uso y explotación de los datos emerge como una nueva realidad que deben ser abordada como elemento fundamental para efectos del cumplimiento y aseguramiento de la información de sus ciudadanos y empleados. Este escenario inédito, crea aparentemente un mundo sin fronteras y sin límites que es manejado y administrado por privados, quienes en últimas son los que imponen las reglas y el control sobre los datos.

Así las cosas, inicia el debate y reflexión sobre el mantenimiento de una soberanía de los datos, un concepto emergente donde las diferentes partes interesadas (Estados, empresas y ciudadanos) deberán acordar nuevas formas y reglas para el tratamiento de la información, que posiblemente demandará contar con centros de datos localizados por países, control transfronterizo de datos (bien sean personales, estatales o empresariales) y niveles de protección y aseguramiento concretos que sugieran una adecuada custodia y control de la información.

Si bien a la fecha no se tienen definiciones claras al respecto, se habla de dos conceptos básicos que establecen el marco de revisión. La residencia de los datos, que se refiere a la ubicación geográfica de los mismos, mientras que la soberanía de los datos se refiere a las leyes y estructuras de gobierno a las que están sujetos los datos, debido a la ubicación geográfica del lugar donde se procesan (Tuck, 2022). Así las cosas, cuando una brecha de seguridad ocurre habrá no sólo que reconocer y analizar la residencia de los datos y las implicaciones que tiene para el custodio de esa información, sino los impactos para la soberanía de los mismos y las tensiones que se deriven de la transgresión producto del ataque a los datos de las naciones y sus implicaciones para sus ciudadanos.

Ciberpoder: nuevo ejercicio de control del ciberespacio

En lectura de seguridad y defensa nacional, el poder de una nación implica el uso de sus capacidades estratégicas y tácticas para mostrar su capacidad de dominio y control sobre un territorio particular, creando una lectura de influencia y despliegue que sus vecinos reconocen y respetan por alcance y efectos que se tienen sobre los diferentes participantes que habitan ese territorio. Mucho de este ejercicio de poder e influencia se hace evidente desde diferentes perspectivas en los países desarrollados y con capacidad militar como son los miembros permanentes del Consejo de Seguridad de la Naciones Unidas: China, Francia, Federación de Rusia, el Reino Unido de Gran Bretaña e Irlanda del Norte y los Estados Unidos de América.

En el contexto de una sociedad cada vez más digital y tecnológicamente modificada, el ciberespacio establece un nuevo reto para todas las naciones comoquiera que es un contexto diferente y un territorio que técnicamente no se puede conquistar, sino explotar e influir, pues si bien un adversario puede comprometer un servidor o servicio, el afectado termina por apagarlos o desconectarlos y nuevamente reiniciarlos de forma distinta y con nuevas condiciones de seguridad y control (Fischerkeller et al, 2022). Por tanto, el ejercicio de poder cambia y exige la actualización de definiciones para entender la dinámica del ciberdominio (espacio social y de interacción humana) en el ciberespacio.

De acuerdo con Kukkola (2020) el ciberpoder es una capacidad que permite a un actor influir en otros en el ciberespacio o a través de él, para controlar y moldear el ciberespacio en su beneficio según sus preferencias. Los recursos de poder consisten en el conocimiento humano, la tecnología, las regulaciones y las organizaciones. Esta nueva realidad del poder, que va más allá de la información y el uso de la misma, supone la explotación de este nuevo escenario para:

  • Concretar engaños y fallas en los sistemas de los adversarios para influir en los tomadores de decisiones claves.
  • Usar programas y códigos para penetrar las defensas de los adversarios de forma ágil y sin ser notados.
  • Comprometer múltiples equipos y despliegue de códigos maliciosos. Motivación para unirse a la causa para escalar en masa, tiempo y concentración.
  • Motivar la contraposición de defensores y habilitar rápidos ataques concentrados, apoyados por las vulnerabilidades de seguridad propias del ciberespacio.
  • Despliegue de ataques no letales (o letales) de acción directa sobre un adversario a través del ciberespacio sin ser notados y de forma anónima.

Este nuevo escenario híbrido y asimétrico confronta las prácticas actuales de seguridad y control de las organizaciones y las naciones, habida cuenta que éstas están fundadas en los riesgos conocidos y el reconocimiento de las certezas, las cuales escasean ahora en un escenario de alta interconectividad, alta interacción y convergencia entre lo físico, lo lógico y lo biológico. No es viable atender una realidad sistémica y compleja con prácticas fundadas en modelos lineales que implican conocer una causa para reconocer y atender un efecto.

Apetito de riesgo empresarial: tomar más riesgos e incluir más capacidades

Con una realidad cada vez más dependiente de terceros, con mayores exigencias de eficiencia y efectividad de procesos, y un cliente ávido de nuevas experiencias para lograr y capitalizar sus expectativas, las organizaciones deberán aumentar su apetito de riesgo para proponer iniciativas digitales que logren cautivar y conquistar nuevos nichos de negocio, más allá de saber de “por qué un cliente le compra” y comprender más bien “por qué un cliente regresa”.

En este ejercicio implica un cambio de mentalidad estratégica de la empresa que motive una transformación basada en el reconocimiento de ecosistemas digitales internos y externos que busquen eficiencia y efectividad en los procesos de negocio, y creen nuevos escenarios para construir valor con sus terceros y competidores, para beneficio de los clientes, creando espacios de colaboración y cooperación claves que terminen con mayores oportunidades para todos los participantes del ecosistema, respectivamente. 

Una vista resumida de este cambio se puede observar en el siguiente cuadro:

Tabla 1. Cambio en la mentalidad estratégica (Traducido de: Subramaniam, 2022, p.19)

Si estas tendencias son correctas, las organizaciones sabrán que estarán más expuestas por cuenta de una mayor conectividad e interacción digital, lo que necesariamente implica la incorporación de capacidades claves en ciberseguridad empresarial que cubran al menos cuatro modos de operación: modo defensa, modo radar, modo crisis y modo monitorización, los cuales deberán responder al reto de una cadena de valor ahora en la nube, un despliegue masivo de analítica de datos con algoritmos de máquinas de aprendizaje y la protección de los datos personales, como fundamento del valor que se genera a los clientes.

El éxito de un ciberataque en este nuevo escenario se verá no sólo por el impacto en la infraestructura y afectación de la reputación de la empresa, sino en la capacidad del adversario de comprometer la dinámica del ecosistema y establecer una estrategia de permanencia para lograr su deterioro desde dentro, y así mantener la inestabilidad e incierto que son las condiciones básicas de su operación y despliegue de actividades no autorizadas.

Ciberdominio: desinformación y pérdida de integridad cognitiva 

De acuerdo con Kello (2017) el ciberdominio es el plano social y político sujeto a diferentes tipos de intervenciones y reglas de comportamiento, que se gestan dentro de la dinámica de las personas en el ciberespacio. Es una construcción social y humana donde la integridad cognitiva se concibe como las tendencias y discusiones que se dan alrededor de temáticas motivadas y contextualizadas por la esencia de las conversaciones naturales y propias de los ciudadanos.

Cuando en el ciberdominio se advierte la propagación situaciones como: (Valverde-Berrocoso et al., 2022)

  • Pseudocontenidos - Preferir los recursos de fácil acceso, independientemente de su valor intelectual o relevancia.
  • Falacias lógicas - Repetición de argumentos manipulados sobre noticias engañosas o inventadas.
  • Propaganda - Presentación parcial de los hechos, distorsionar las relaciones con la realidad y extraer conclusiones sesgadas e inexactas.
  • Parodia y sátira - Broma, caricatura o ironía, sin contexto, que puede ser interpretada como una información válida e, incluso, aun siendo identificada como tal, puede ser utilizada como excusa partidista para atacar al adversario ideológico.
  • Rumores - Distorsiones derivadas de la ignorancia y la repetición de información errónea de manera involuntaria.

se inicia el deterioro de la integridad cognitiva de una comunidad, lo que la hace susceptible a la manipulación y control, creando una zona de inestabilidad e incierto donde las personas son influenciadas y manejadas desde una agenda concreta de un adversario que puede ser un Estado o un tercero con agenda particular o asistido por alguna nación. 

Este nuevo fenómeno social en el ciberdominio, generalmente motivado desde las vulnerabilidades cognitivas (bajo juicio crítico), vulnerabilidad tecnológicas (sesgos en los algoritmos) y las vulnerabilidades de la sociedad (polarización, populismo y postverdad) (Barojan, 2021) establece ahora la frontera de las armas preferidas por los atacantes, comoquiera que sólo es necesario invertir en la generación de desinformación, mala información o información falsa con aliados estratégicos para degradar la integridad cognitiva de una sociedad y así influenciar y persuadir a sus participantes para lograr comportamientos, formas de pensar y actuar ajustadas con una agenda oculta que pasa desapercibida en medio de la dinámica social que se crea por cuenta de estas acciones. 

Por tanto, en palabras de Rubin (2019) es viable comprender la desinformación y sus efectos como parte de una “epidemia socio-tecnológica” propiciada por las noticias digitales y propaganda a través de medios sociales, cuya dinámica se puede concretar de la siguiente manera:

“El patógeno (virus) son las noticias falsas, que pueden ser bloqueadas, parcialmente, a través de herramientas tecnológicas de auto-detección. Las vías de transmisión son las plataformas tóxicas que generan las noticias falsas (redes sociales, blogs, sitios de noticias, etc.), sobre las que se deben establecer regulaciones de tipo legal. Y los potenciales receptores de la infección son los usuarios, crédulos o infosaturados, que deben ser tratados con «vacunas» educativas para superar la «enfermedad»”.

Si lo anterior es correcto, se hace necesario diseñar estrategias en diferentes niveles para mantener un entorno sano de conversación y sentido crítico que permita reflexiones y debates desde los hechos y los datos, con comunicaciones estratégicas de los gobiernos, narrativas alternativas que promuevan valores sociales, tolerancia, apertura, libertad de expresión y sentido democrático, para desde allí proteger la integridad y el imaginario de la sociedad y sus ciudadanos (Santabarbara, 2021).

Fundamentos de la seguridad híbrida y asimétrica

Para enfrentar los retos mencionados en este documento es necesario superar la vista de la seguridad y control tradicional para situarlo fuera de las fronteras de lo estático y conocido para entrar en la zona de lo dinámico y desconocido, en donde cada uno de los participantes de la sociedad serán parte fundamental de la construcción de la lectura de una seguridad y protección que se enfrenta a los riesgos y amenazas híbridas y asimétricas, siguiendo la misma dinámica de estas amenazas.

Una seguridad híbrida y asimétrica es un ejercicio de construcción de una percepción de confianza, confiabilidad e integridad multidominio (social, tecnológico, económico, político, ambiental y legal) basada en la capacidad de percibir, adaptar, disuadir, demorar, amortiguar y avanzar en medio de la incertidumbre, la inestabilidad y el caos que un evento adverso puede producir en el modelo de seguridad y control de una organización o nación. Esto es, encontrar en el incierto, una forma de movilizar a la sociedad y sus diferentes actores a través de acciones coordinadas y situadas, y umbrales de operación definidos y acordados para responder a la inevitabilidad de la falla y sus efectos inesperados.

En este contexto se introduce el modelo PA(DA)2, que busca ofrecer una estrategia concreta para sortear estos nuevos escenarios híbridos y asimétricos que estarán presentes en la dinámica del ciberespacio y las sociedades en general. Es importante aclarar que el modelo propuesto no es una receta a seguir, sino una respuesta preliminar y parcial para atender la realidad actual que proponen los agentes agrestes (bien sean estatales o no estatales) para desestabilizar naciones o comprometer organizaciones.

El modelo PA(DA)2 se describe a continuación:

  • PERCIBIR - Observación de tendencias, definición y seguimiento de las incertidumbres críticas, y definición de escenarios para evaluar.
  • ADAPTAR - Configuración y reconfiguración de defensas en función de tendencias y analítica de comportamientos.
  • DISUADIR - Incorporación de tecnologías de engaño y de blanco móvil para deteriorar la inteligencia del adversario.
  • DEMORAR - Estrategias de contención y redirección de ataques en los diferentes dominios de operación.
  • AMORTIGUAR - Declaración de umbrales de operación, apetito, tolerancia y capacidad de riesgo frente a un ataque exitoso.
  • AVANZAR - Aprovechamiento de nuevas estrategias y tecnologías de defensa y anticipación para proteger la promesa de valor.

Aplicar este modelo implica contar una visual multidimensional de la realidad y la capacidad de observar de forma sistémica la realidad para poder reconocer la dinámica de las relaciones y advertir las tensiones y tendencias que se revelan a nivel global, para desde allí construir y atender los retos que esto implica tanto para las organizaciones como para las naciones.

Reflexiones finales

Desarrollar pronósticos de seguridad/ciberseguridad cada año se torna en un reto cada vez más desafiante, más enriquecedor y más esquivo, comoquiera que los cambios acelerados y transformaciones inesperadas, crean escenarios que muchas veces desafían hasta los más experimentados analistas en estos temas. En esta ocasión, si bien muchas temáticas pueden quedarse por fuera de esta reflexión, es importante advertir que los retos de una seguridad híbrida y asimétrica establecen una mirada multidimensional de la dinámica actual, que trata de recoger algunos movimientos y sus impactos en la práctica vigente de los ejecutivos de ciberseguridad y los miembros de las juntas directivas.

Si bien amenazas y riesgos claves como el phishing de voz, el stego-malware, el hyperjacking, el snoopy attack, el man in the browser, el cloud squatting, la ciberpandemia, los ataques enjambre el cloud jacking estarán en la agenda de los adversarios como estrategias que se deberán articular para crear los escenarios de inestabilidad global, deberán mantenerse en monitoreo y seguimiento como fuente de incomodidad permanente de los saberes previos de los analistas de seguridad/ciberseguridad para mantener una postura vigilante en medio de la abundancia de información y reportes de proveedores y analistas.

Así las cosas, desarrollar una seguridad híbrida y asimétrica implica reconocer y desarrollar una resiliencia híbrida que enseñe un nuevo camino y doctrina de protección, defensa y anticipación que cubra al menos los siguientes elementos: (Kurnyshova & Makarychev, 2022)

  • Usar la vulnerabilidad como fuente autonomía y capacidad de reconstrucción.
  • Motivar la descentralización y discrecionalidad en la toma de decisiones con apoyo de aliados estratégicos.
  • Utilizar las redes sociales para construir capital social y desarrollo de acciones colectivas.
  • Empoderar a la sociedad civil para resistir los embates de las amenazas híbridas.
  • Contrarrestar con educación e higiene de la información las acciones de desinformación dirigidas para desestabilizar la sociedad en su conjunto.
  • Reconocer los intereses nacionales y estratégicos sobre los cuales se fundan las estrategias de defensa.

Las reflexiones planteadas en este documento son un mapa incompleto de los desafíos que se advierten en los próximos meses y por tanto, es necesario mantener una vista exploratoria y crítica de los eventos que constantemente ocurren, para entender las relaciones emergentes en perspectiva multidimensional y contrastarlas con las tendencias que se han consolidado a la fecha. Pensar por complemento, de forma híbrida y asimétrica, deberá ser el reto permanente de los profesionales de seguridad/ciberseguridad, como una manera de abrazar la ambigüedad permanentemente y apostar por actuar de forma anticipada y resiliente en el presente.

Referencias

Akinrolabu, O., New, S. & Martin, A. (2018). Cyber Supply Chain Risks in Cloud Computing - Bridging the Risk Assessment Gap. Open Journal of Cloud Computing (OJCC). 5. 1-19. https://www.researchgate.net/publication/321881757_Cyber_Supply_Chain_Risks_in_Cloud_Computing_-_Bridging_the_Risk_Assessment_Gap 

Barojan D. (2021). Building Digital Resilience Ahead of Elections and Beyond. En: Jayakumar S., Ang B., Anwar N.D. (eds) Disinformation and Fake News. Palgrave Macmillan, Singapore. https://doi.org/10.1007/978-981-15-5876-4_5

Fischerkeller, M., Goldman, E. & Harknett, R. (2022). Cyber persistence theory. Redefining national security in cyberspace. New York, USA.: Oxford University Press.

Hodgson, A. (2020). Systems thinking for a turbulent world. A search for new perspectives. Oxon, UK: Routledge.

Kello, L. (2017). The virtual weapon and international order. New Heaven, CT. Yale University Press

Kukkola, J. (2020). Digital Soviet Union. The Russian national segment of the internet as a closed national network shaped by strategic cultural ideas. National Defence University Series 1: Research Publications No. 40. Doctoral Thesis. Helsinki, National Defence. www.doria.fi/bitstream/handle/10024/177157/Kukkola_Digital%20Soviet%20Union_finalnet.pdf 

Kurnyshova, Y. & Makarychev, A. (2022). Resiliencia híbrida en épocas inciertas: la guerra de Rusia y la sociedad ucraniana. CIDOB Report. https://www.cidob.org/articulos/cidob_report/n_8/resiliencia_hibrida_en_epocas_inciertas_la_guerra_de_rusia_y_la_sociedad_ucraniana  

Moreno, P. (2021). ¿Qué son las amenazas híbridas. EOM. https://elordenmundial.com/que-son-amenazas-hibridas/ 

Rubin, V L . (2019). Disinformation and misinformation triangle: A conceptual model for “fake news” epidemic, causal factors and interventions. Journal of Documentation. 75(5). 1013–1034. https://doi.org/10.1108/JD-12-2018-0209

Santabarbara, L. (2021). Civil Society and CounterNarrative Strategies. Counter-Radicalization Online. International Counter-Terrorism Review. 2(3). 1-21. https://www.nextgen50.org/post/civil-society-and-counter-narrative-strategies

Subramaniam, M. (2022). The future of competitive strategy. Unleashing the power of data and digital ecosystem. Cambridge, MA. MIT Press.

Tuck, A. (2022). Data residency and data sovereignty: what's the difference? DataCentre. https://datacentremagazine.com/articles/why-its-important-to-know-where-your-data-is-stored 

Valverde-Berrocoso, J., González-Fernández, A., & Acevedo-Borrega, J. (2022). Desinformación y multialfabetización: Una revisión sistemática de la literatura. Comunicar. 70. 97-110. https://doi.org/10.3916/C70-2022-08