lunes, 7 de noviembre de 2022

Pronósticos de seguridad/ciberseguridad 2023. Hacia una seguridad híbrida y asimétrica

Introducción

Tres fantasmas se asoman en la dinámica de las inestabilidades globales para los próximos meses: la recesión económica, la inflación y las tensiones cibernéticas. Tres temáticas que generan incertidumbre y cambios en la manera como las organizaciones y las naciones se preparan para avanzar y lograr sus objetivos de mediano y largo plazo. Estos desafíos implican el desarrollo de capacidades de adaptación, de aprendizaje/desaprendizaje ágil, de absorción y rebote frente a eventos adversos, así como un ejercicio de colaboración, cooperación, comunicación, confianza y coordinación con los diferentes aliados estratégicos.

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información sugiere una apuesta sobre “blancos en movimiento” sobre los reportes, los documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará (o fortalecerá) con el pasar de los días. Por tanto, lanzarse a efectuar visualización de escenarios y retos para los modelos de seguridad y control en el 2023, demandará la transformación de paradigma de seguridad basado en la postura víctima (de preparación y respuesta a un incidente) a otra basada en el adversario (proactiva y basada en la defensa y anticipación), con el fin de explorar algunas temáticas que han venido surgiendo en diferentes informes a nivel internacional y en realidades emergentes o señales débiles del entorno.

Motivar una transformación hacia un paradigma de seguridad híbrida y asimétrica en 2023, exige crear una postura de protección basada en el “feedforward”. Esto es, establecer un mapa imperfecto del momento presente y decidir qué hacer ahora en función de lo que se percibe y en circunstancias radicalmente distintas. Lo anterior, implica plantear un camino potencial de cambios e inestabilidades que se configuran en la actualidad creando una prospectiva de evolución basada en distinciones conocidas o novedosas (Hodgson, 2020).

Así las cosas, varias son las temáticas que se advierten para visualizar el reto de una seguridad híbrida y asimétrica propuestas en esta reflexión:

  • Estrategia multinube: cadena de suministro en la nube
  • Soberanía de datos: un reto emergente
  • Ciberpoder: nuevo ejercicio de control del ciberespacio
  • Apetito de riesgo empresarial: tomar más riesgos e incluir más capacidades
  • Ciberdominio: desinformación y pérdida de integridad cognitiva 

Estas cinco temáticas son el resultado de un ejercicio de desconexión de las realidades actuales, revelar algunas de las dinámicas emergentes del momento y nuevamente conectar lo actual y lo emergente para visualizar “ganancias teóricas” y “aproximaciones prácticas” que motivan transformaciones aceleradas que se advierten para los próximos meses. 

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la tecnologías emergentes y disruptivas, la amenaza interna, el aumento de las regulaciones y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de la sociedad ahora frágil, ansiosa, no-lineal e incomprensible.

Temáticas y los retos de una seguridad híbrida y asimétrica

Entender la nueva realidad del mundo actual implica sacar a la ciberseguridad del dominio técnico y situarla en la realidad de las amenazas híbridas que abren un espectro de análisis mayor y retan a los ejecutivos de ciberseguridad para comprender un escenario con múltiples variables y efectos inesperados que requieren un cambio de mentalidad y reflexión que cruza el negocio y lo traslada al escenario internacional con sus implicaciones geopolíticas.

Moreno (2021) define las amenazas híbridas como:

“fenómenos que usan ataques convencionales y no convencionales para desestabilizar un país. Las amenazas convencionales son de carácter militar, mientras que las no convencionales incluyen ciberataques, terrorismo, campañas de desinformación o propaganda y presión política o guerra económica. Todo ello va encaminado a dañar los pilares del Estado rival, atentando contra la confianza en sus instituciones, la estabilidad económica y la cohesión social” (parr.2). 

En este contexto, es ahora donde los encargados de la ciberseguridad deben actuar, lo que implica abrir sus espectros de reflexión y análisis para ir en profundidad de sus estrategias y acompañar a la organización en un entorno donde escasean las certezas y las inestabilidades son la norma en la toma de decisiones. 

En consecuencia, se detallan a continuación los retos que implica reconocer este nuevo escenario para construir una distinción de seguridad híbrida y asimétrica que lleve a un nuevo nivel las expectativas, experiencias y saberes de los ejecutivos de ciberseguridad/seguridad de la información de las organizaciones. 

Estrategia multinube: cadena de suministro en la nube

La transformación digital acelerada por cuenta de la emergencia sanitaria internacional, la necesidad de cuidar los costos (ahora con el fantasma de la recesión) y concretar la promesa de valor en los clientes, hace que las organizaciones y naciones se abran rápidamente a contar con aliados estratégicos particularmente en la nube, con lo que saben que van a incorporar rápidamente nuevas capacidades claves de forma competitiva para armonizar su ecosistema externo, y al mismo tiempo, quieran o no perderán control de su datos.

En este sentido, la estrategia de contar con al menos dos proveedores de servicios en la nube, uno público donde pueden escalar cada vez que lo necesiten y uno privado, donde desplieguen sus iniciativas, se convierte en el nuevo estándar para las organizaciones modernas. Esto supone un ejercicio de coordinación, cooperación, colaboración, confianza y comunicación para desarrollar una relación de negocios de largo plazo, donde la integración de las prácticas de seguridad y control de la empresa con las del proveedor deberán ser la base de la manera como se construya la respuesta cuando las cosas no salen como estaban previstas.

Así las cosas, se configura una cadena de suministro en la nube (Akinrolabu et al., 2018) como un sistema complejo de dos o más partes que trabajan juntas para proporcionar, desarrollar, alojar, gestionar, supervisar o utilizar servicios en la nube; cada una de ellas se enfrenta a factores de riesgo internos y externos y a influencias que hacen que sea incierto si lograrán sus  objetivos de los servicios en la nube. En este sentido, se aumenta la ecuación del incierto para las organizaciones, lo cual crea un escenario de oportunidad clave para los planes del adversario.

Frente a este nuevo escenario, las organizaciones deberán invertir en el reconocimiento y aseguramiento de la resiliencia de esta cadena de suministro basada en terceros en la nube para advertir, monitorizar y asegurar:

  • Efectos cascada: Resultado sistémico que termina con una afectación en toda la cadena. 
  • Efectos aislados: Un evento adverso en un componente específico que compromete parte de la operación.
  • Efectos focalizados: Una falla en un componente en particular que inhabilita funcionalidades específicas de su hacer.

Soberanía de datos: un reto emergente

El concepto de soberanía por lo general la literatura lo asocia al reconocimiento de fronteras y límites físicos, los cuales determinan y establecen prerrogativas y derechos de los Estados en el ejercicio del control de sus intereses nacionales y estratégicos. Este concepto enmarca la manera concreta y real de las relaciones internacionales lo que establece un perfil de relacionamiento que busca proteger y respetar las condiciones y dinámicas de cada país en su libre ejercicio de autodeterminación y desarrollo de acuerdo con sus planes estratégicos y políticos.

En un escenario como el actual donde tanto las organizaciones como los Estados mantienen un flujo de datos con proveedores en la nube, la pregunta sobre la propiedad, uso y explotación de los datos emerge como una nueva realidad que deben ser abordada como elemento fundamental para efectos del cumplimiento y aseguramiento de la información de sus ciudadanos y empleados. Este escenario inédito, crea aparentemente un mundo sin fronteras y sin límites que es manejado y administrado por privados, quienes en últimas son los que imponen las reglas y el control sobre los datos.

Así las cosas, inicia el debate y reflexión sobre el mantenimiento de una soberanía de los datos, un concepto emergente donde las diferentes partes interesadas (Estados, empresas y ciudadanos) deberán acordar nuevas formas y reglas para el tratamiento de la información, que posiblemente demandará contar con centros de datos localizados por países, control transfronterizo de datos (bien sean personales, estatales o empresariales) y niveles de protección y aseguramiento concretos que sugieran una adecuada custodia y control de la información.

Si bien a la fecha no se tienen definiciones claras al respecto, se habla de dos conceptos básicos que establecen el marco de revisión. La residencia de los datos, que se refiere a la ubicación geográfica de los mismos, mientras que la soberanía de los datos se refiere a las leyes y estructuras de gobierno a las que están sujetos los datos, debido a la ubicación geográfica del lugar donde se procesan (Tuck, 2022). Así las cosas, cuando una brecha de seguridad ocurre habrá no sólo que reconocer y analizar la residencia de los datos y las implicaciones que tiene para el custodio de esa información, sino los impactos para la soberanía de los mismos y las tensiones que se deriven de la transgresión producto del ataque a los datos de las naciones y sus implicaciones para sus ciudadanos.

Ciberpoder: nuevo ejercicio de control del ciberespacio

En lectura de seguridad y defensa nacional, el poder de una nación implica el uso de sus capacidades estratégicas y tácticas para mostrar su capacidad de dominio y control sobre un territorio particular, creando una lectura de influencia y despliegue que sus vecinos reconocen y respetan por alcance y efectos que se tienen sobre los diferentes participantes que habitan ese territorio. Mucho de este ejercicio de poder e influencia se hace evidente desde diferentes perspectivas en los países desarrollados y con capacidad militar como son los miembros permanentes del Consejo de Seguridad de la Naciones Unidas: China, Francia, Federación de Rusia, el Reino Unido de Gran Bretaña e Irlanda del Norte y los Estados Unidos de América.

En el contexto de una sociedad cada vez más digital y tecnológicamente modificada, el ciberespacio establece un nuevo reto para todas las naciones comoquiera que es un contexto diferente y un territorio que técnicamente no se puede conquistar, sino explotar e influir, pues si bien un adversario puede comprometer un servidor o servicio, el afectado termina por apagarlos o desconectarlos y nuevamente reiniciarlos de forma distinta y con nuevas condiciones de seguridad y control (Fischerkeller et al, 2022). Por tanto, el ejercicio de poder cambia y exige la actualización de definiciones para entender la dinámica del ciberdominio (espacio social y de interacción humana) en el ciberespacio.

De acuerdo con Kukkola (2020) el ciberpoder es una capacidad que permite a un actor influir en otros en el ciberespacio o a través de él, para controlar y moldear el ciberespacio en su beneficio según sus preferencias. Los recursos de poder consisten en el conocimiento humano, la tecnología, las regulaciones y las organizaciones. Esta nueva realidad del poder, que va más allá de la información y el uso de la misma, supone la explotación de este nuevo escenario para:

  • Concretar engaños y fallas en los sistemas de los adversarios para influir en los tomadores de decisiones claves.
  • Usar programas y códigos para penetrar las defensas de los adversarios de forma ágil y sin ser notados.
  • Comprometer múltiples equipos y despliegue de códigos maliciosos. Motivación para unirse a la causa para escalar en masa, tiempo y concentración.
  • Motivar la contraposición de defensores y habilitar rápidos ataques concentrados, apoyados por las vulnerabilidades de seguridad propias del ciberespacio.
  • Despliegue de ataques no letales (o letales) de acción directa sobre un adversario a través del ciberespacio sin ser notados y de forma anónima.

Este nuevo escenario híbrido y asimétrico confronta las prácticas actuales de seguridad y control de las organizaciones y las naciones, habida cuenta que éstas están fundadas en los riesgos conocidos y el reconocimiento de las certezas, las cuales escasean ahora en un escenario de alta interconectividad, alta interacción y convergencia entre lo físico, lo lógico y lo biológico. No es viable atender una realidad sistémica y compleja con prácticas fundadas en modelos lineales que implican conocer una causa para reconocer y atender un efecto.

Apetito de riesgo empresarial: tomar más riesgos e incluir más capacidades

Con una realidad cada vez más dependiente de terceros, con mayores exigencias de eficiencia y efectividad de procesos, y un cliente ávido de nuevas experiencias para lograr y capitalizar sus expectativas, las organizaciones deberán aumentar su apetito de riesgo para proponer iniciativas digitales que logren cautivar y conquistar nuevos nichos de negocio, más allá de saber de “por qué un cliente le compra” y comprender más bien “por qué un cliente regresa”.

En este ejercicio implica un cambio de mentalidad estratégica de la empresa que motive una transformación basada en el reconocimiento de ecosistemas digitales internos y externos que busquen eficiencia y efectividad en los procesos de negocio, y creen nuevos escenarios para construir valor con sus terceros y competidores, para beneficio de los clientes, creando espacios de colaboración y cooperación claves que terminen con mayores oportunidades para todos los participantes del ecosistema, respectivamente. 

Una vista resumida de este cambio se puede observar en el siguiente cuadro:

Tabla 1. Cambio en la mentalidad estratégica (Traducido de: Subramaniam, 2022, p.19)

Si estas tendencias son correctas, las organizaciones sabrán que estarán más expuestas por cuenta de una mayor conectividad e interacción digital, lo que necesariamente implica la incorporación de capacidades claves en ciberseguridad empresarial que cubran al menos cuatro modos de operación: modo defensa, modo radar, modo crisis y modo monitorización, los cuales deberán responder al reto de una cadena de valor ahora en la nube, un despliegue masivo de analítica de datos con algoritmos de máquinas de aprendizaje y la protección de los datos personales, como fundamento del valor que se genera a los clientes.

El éxito de un ciberataque en este nuevo escenario se verá no sólo por el impacto en la infraestructura y afectación de la reputación de la empresa, sino en la capacidad del adversario de comprometer la dinámica del ecosistema y establecer una estrategia de permanencia para lograr su deterioro desde dentro, y así mantener la inestabilidad e incierto que son las condiciones básicas de su operación y despliegue de actividades no autorizadas.

Ciberdominio: desinformación y pérdida de integridad cognitiva 

De acuerdo con Kello (2017) el ciberdominio es el plano social y político sujeto a diferentes tipos de intervenciones y reglas de comportamiento, que se gestan dentro de la dinámica de las personas en el ciberespacio. Es una construcción social y humana donde la integridad cognitiva se concibe como las tendencias y discusiones que se dan alrededor de temáticas motivadas y contextualizadas por la esencia de las conversaciones naturales y propias de los ciudadanos.

Cuando en el ciberdominio se advierte la propagación situaciones como: (Valverde-Berrocoso et al., 2022)

  • Pseudocontenidos - Preferir los recursos de fácil acceso, independientemente de su valor intelectual o relevancia.
  • Falacias lógicas - Repetición de argumentos manipulados sobre noticias engañosas o inventadas.
  • Propaganda - Presentación parcial de los hechos, distorsionar las relaciones con la realidad y extraer conclusiones sesgadas e inexactas.
  • Parodia y sátira - Broma, caricatura o ironía, sin contexto, que puede ser interpretada como una información válida e, incluso, aun siendo identificada como tal, puede ser utilizada como excusa partidista para atacar al adversario ideológico.
  • Rumores - Distorsiones derivadas de la ignorancia y la repetición de información errónea de manera involuntaria.

se inicia el deterioro de la integridad cognitiva de una comunidad, lo que la hace susceptible a la manipulación y control, creando una zona de inestabilidad e incierto donde las personas son influenciadas y manejadas desde una agenda concreta de un adversario que puede ser un Estado o un tercero con agenda particular o asistido por alguna nación. 

Este nuevo fenómeno social en el ciberdominio, generalmente motivado desde las vulnerabilidades cognitivas (bajo juicio crítico), vulnerabilidad tecnológicas (sesgos en los algoritmos) y las vulnerabilidades de la sociedad (polarización, populismo y postverdad) (Barojan, 2021) establece ahora la frontera de las armas preferidas por los atacantes, comoquiera que sólo es necesario invertir en la generación de desinformación, mala información o información falsa con aliados estratégicos para degradar la integridad cognitiva de una sociedad y así influenciar y persuadir a sus participantes para lograr comportamientos, formas de pensar y actuar ajustadas con una agenda oculta que pasa desapercibida en medio de la dinámica social que se crea por cuenta de estas acciones. 

Por tanto, en palabras de Rubin (2019) es viable comprender la desinformación y sus efectos como parte de una “epidemia socio-tecnológica” propiciada por las noticias digitales y propaganda a través de medios sociales, cuya dinámica se puede concretar de la siguiente manera:

“El patógeno (virus) son las noticias falsas, que pueden ser bloqueadas, parcialmente, a través de herramientas tecnológicas de auto-detección. Las vías de transmisión son las plataformas tóxicas que generan las noticias falsas (redes sociales, blogs, sitios de noticias, etc.), sobre las que se deben establecer regulaciones de tipo legal. Y los potenciales receptores de la infección son los usuarios, crédulos o infosaturados, que deben ser tratados con «vacunas» educativas para superar la «enfermedad»”.

Si lo anterior es correcto, se hace necesario diseñar estrategias en diferentes niveles para mantener un entorno sano de conversación y sentido crítico que permita reflexiones y debates desde los hechos y los datos, con comunicaciones estratégicas de los gobiernos, narrativas alternativas que promuevan valores sociales, tolerancia, apertura, libertad de expresión y sentido democrático, para desde allí proteger la integridad y el imaginario de la sociedad y sus ciudadanos (Santabarbara, 2021).

Fundamentos de la seguridad híbrida y asimétrica

Para enfrentar los retos mencionados en este documento es necesario superar la vista de la seguridad y control tradicional para situarlo fuera de las fronteras de lo estático y conocido para entrar en la zona de lo dinámico y desconocido, en donde cada uno de los participantes de la sociedad serán parte fundamental de la construcción de la lectura de una seguridad y protección que se enfrenta a los riesgos y amenazas híbridas y asimétricas, siguiendo la misma dinámica de estas amenazas.

Una seguridad híbrida y asimétrica es un ejercicio de construcción de una percepción de confianza, confiabilidad e integridad multidominio (social, tecnológico, económico, político, ambiental y legal) basada en la capacidad de percibir, adaptar, disuadir, demorar, amortiguar y avanzar en medio de la incertidumbre, la inestabilidad y el caos que un evento adverso puede producir en el modelo de seguridad y control de una organización o nación. Esto es, encontrar en el incierto, una forma de movilizar a la sociedad y sus diferentes actores a través de acciones coordinadas y situadas, y umbrales de operación definidos y acordados para responder a la inevitabilidad de la falla y sus efectos inesperados.

En este contexto se introduce el modelo PA(DA)2, que busca ofrecer una estrategia concreta para sortear estos nuevos escenarios híbridos y asimétricos que estarán presentes en la dinámica del ciberespacio y las sociedades en general. Es importante aclarar que el modelo propuesto no es una receta a seguir, sino una respuesta preliminar y parcial para atender la realidad actual que proponen los agentes agrestes (bien sean estatales o no estatales) para desestabilizar naciones o comprometer organizaciones.

El modelo PA(DA)2 se describe a continuación:

  • PERCIBIR - Observación de tendencias, definición y seguimiento de las incertidumbres críticas, y definición de escenarios para evaluar.
  • ADAPTAR - Configuración y reconfiguración de defensas en función de tendencias y analítica de comportamientos.
  • DISUADIR - Incorporación de tecnologías de engaño y de blanco móvil para deteriorar la inteligencia del adversario.
  • DEMORAR - Estrategias de contención y redirección de ataques en los diferentes dominios de operación.
  • AMORTIGUAR - Declaración de umbrales de operación, apetito, tolerancia y capacidad de riesgo frente a un ataque exitoso.
  • AVANZAR - Aprovechamiento de nuevas estrategias y tecnologías de defensa y anticipación para proteger la promesa de valor.

Aplicar este modelo implica contar una visual multidimensional de la realidad y la capacidad de observar de forma sistémica la realidad para poder reconocer la dinámica de las relaciones y advertir las tensiones y tendencias que se revelan a nivel global, para desde allí construir y atender los retos que esto implica tanto para las organizaciones como para las naciones.

Reflexiones finales

Desarrollar pronósticos de seguridad/ciberseguridad cada año se torna en un reto cada vez más desafiante, más enriquecedor y más esquivo, comoquiera que los cambios acelerados y transformaciones inesperadas, crean escenarios que muchas veces desafían hasta los más experimentados analistas en estos temas. En esta ocasión, si bien muchas temáticas pueden quedarse por fuera de esta reflexión, es importante advertir que los retos de una seguridad híbrida y asimétrica establecen una mirada multidimensional de la dinámica actual, que trata de recoger algunos movimientos y sus impactos en la práctica vigente de los ejecutivos de ciberseguridad y los miembros de las juntas directivas.

Si bien amenazas y riesgos claves como el phishing de voz, el stego-malware, el hyperjacking, el snoopy attack, el man in the browser, el cloud squatting, la ciberpandemia, los ataques enjambre el cloud jacking estarán en la agenda de los adversarios como estrategias que se deberán articular para crear los escenarios de inestabilidad global, deberán mantenerse en monitoreo y seguimiento como fuente de incomodidad permanente de los saberes previos de los analistas de seguridad/ciberseguridad para mantener una postura vigilante en medio de la abundancia de información y reportes de proveedores y analistas.

Así las cosas, desarrollar una seguridad híbrida y asimétrica implica reconocer y desarrollar una resiliencia híbrida que enseñe un nuevo camino y doctrina de protección, defensa y anticipación que cubra al menos los siguientes elementos: (Kurnyshova & Makarychev, 2022)

  • Usar la vulnerabilidad como fuente autonomía y capacidad de reconstrucción.
  • Motivar la descentralización y discrecionalidad en la toma de decisiones con apoyo de aliados estratégicos.
  • Utilizar las redes sociales para construir capital social y desarrollo de acciones colectivas.
  • Empoderar a la sociedad civil para resistir los embates de las amenazas híbridas.
  • Contrarrestar con educación e higiene de la información las acciones de desinformación dirigidas para desestabilizar la sociedad en su conjunto.
  • Reconocer los intereses nacionales y estratégicos sobre los cuales se fundan las estrategias de defensa.

Las reflexiones planteadas en este documento son un mapa incompleto de los desafíos que se advierten en los próximos meses y por tanto, es necesario mantener una vista exploratoria y crítica de los eventos que constantemente ocurren, para entender las relaciones emergentes en perspectiva multidimensional y contrastarlas con las tendencias que se han consolidado a la fecha. Pensar por complemento, de forma híbrida y asimétrica, deberá ser el reto permanente de los profesionales de seguridad/ciberseguridad, como una manera de abrazar la ambigüedad permanentemente y apostar por actuar de forma anticipada y resiliente en el presente.

Referencias

Akinrolabu, O., New, S. & Martin, A. (2018). Cyber Supply Chain Risks in Cloud Computing - Bridging the Risk Assessment Gap. Open Journal of Cloud Computing (OJCC). 5. 1-19. https://www.researchgate.net/publication/321881757_Cyber_Supply_Chain_Risks_in_Cloud_Computing_-_Bridging_the_Risk_Assessment_Gap 

Barojan D. (2021). Building Digital Resilience Ahead of Elections and Beyond. En: Jayakumar S., Ang B., Anwar N.D. (eds) Disinformation and Fake News. Palgrave Macmillan, Singapore. https://doi.org/10.1007/978-981-15-5876-4_5

Fischerkeller, M., Goldman, E. & Harknett, R. (2022). Cyber persistence theory. Redefining national security in cyberspace. New York, USA.: Oxford University Press.

Hodgson, A. (2020). Systems thinking for a turbulent world. A search for new perspectives. Oxon, UK: Routledge.

Kello, L. (2017). The virtual weapon and international order. New Heaven, CT. Yale University Press

Kukkola, J. (2020). Digital Soviet Union. The Russian national segment of the internet as a closed national network shaped by strategic cultural ideas. National Defence University Series 1: Research Publications No. 40. Doctoral Thesis. Helsinki, National Defence. www.doria.fi/bitstream/handle/10024/177157/Kukkola_Digital%20Soviet%20Union_finalnet.pdf 

Kurnyshova, Y. & Makarychev, A. (2022). Resiliencia híbrida en épocas inciertas: la guerra de Rusia y la sociedad ucraniana. CIDOB Report. https://www.cidob.org/articulos/cidob_report/n_8/resiliencia_hibrida_en_epocas_inciertas_la_guerra_de_rusia_y_la_sociedad_ucraniana  

Moreno, P. (2021). ¿Qué son las amenazas híbridas. EOM. https://elordenmundial.com/que-son-amenazas-hibridas/ 

Rubin, V L . (2019). Disinformation and misinformation triangle: A conceptual model for “fake news” epidemic, causal factors and interventions. Journal of Documentation. 75(5). 1013–1034. https://doi.org/10.1108/JD-12-2018-0209

Santabarbara, L. (2021). Civil Society and CounterNarrative Strategies. Counter-Radicalization Online. International Counter-Terrorism Review. 2(3). 1-21. https://www.nextgen50.org/post/civil-society-and-counter-narrative-strategies

Subramaniam, M. (2022). The future of competitive strategy. Unleashing the power of data and digital ecosystem. Cambridge, MA. MIT Press.

Tuck, A. (2022). Data residency and data sovereignty: what's the difference? DataCentre. https://datacentremagazine.com/articles/why-its-important-to-know-where-your-data-is-stored 

Valverde-Berrocoso, J., González-Fernández, A., & Acevedo-Borrega, J. (2022). Desinformación y multialfabetización: Una revisión sistemática de la literatura. Comunicar. 70. 97-110. https://doi.org/10.3916/C70-2022-08


martes, 21 de septiembre de 2021

Pronósticos de seguridad/ciberseguridad 2022. Una lectura de umbrales de transformación

Introducción

La rápida evolución de las tendencias y las disrupciones tecnológicas, junto con el aumento de la ansiedad individual y la inestabilidad del contexto, establece una ruta inesperada y reto exigente para las organizaciones del siglo XXI (Cascio, 2020). Este desafío implica el desarrollo de una capacidad de adaptación ágil, que demanda transformar inicialmente los imaginarios de las personas sobre lo que es la realidad y cómo entenderla, para luego articular una nueva cultura que le permita moverse mejor, fallar rápido, desaprender pronto y experimentar mucho (Cano, 2021).

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información resulta un “salto de fe” sobre los reportes, los documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará con el pasar de los días. Por tanto, lanzarse a efectuar visualización de oportunidades y retos para los modelos de seguridad y control en el 2022, demandará una lectura de umbrales los cuales estarán enmarcados en algunas temáticas que han venido referenciándose en diferentes informes a nivel internacional y en realidades emergentes o señales débiles del entorno.

Hacer una lectura de umbrales para explorar las tendencias de la ciberseguridad/seguridad en el 2022, exige crear una vista de transformación basada en un ejercicio de “feedforward”. Esto es, establecer un mapa imperfecto del momento presente y decidir qué hacer ahora en función de lo que se percibe y en circunstancias radicalmente distintas. Lo anterior, implica plantear un camino potencial de cambios que se configuran en la actualidad creando una perspectiva de evolución basado en distinciones conocidas o novedosas (Hodgson, 2020).

Así las cosas, varias son las temáticas que se advierten para crear los umbrales de transformación propuestos en esta reflexión:

  • Robo de la realidad: cibercriminales científicos de datos.
  • Cybersafety: transformación del comportamiento en el entorno cibernético.
  • Cripto pasivos: ¿Los nuevos chicos “malos” del barrio?
  • Técnicas de blanco móvil: Cambiando la ecuación del adversario.
  • Nubes híbridas: inseguridad “en cascada”. 

Estas cinco temáticas son el resultado de un ejercicio de desconexión de las realidades actuales, revelar algunas de las dinámicas emergentes del momento y nuevamente conectar lo actual y lo emergente para visualizar “ganancias teóricas” y “aproximaciones prácticas” que motivan transformaciones aceleradas que se advierten para los próximos meses. 

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la amenaza interna, el aumento de las regulaciones y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de la sociedad ahora frágil, ansiosa, no-lineal e incomprensible (Sieber & Zamora, 2018).

Temáticas y sus umbrales de transformación

Robo de la realidad: cibercriminales científicos de datos

El avance y disponibilidad de las herramientas de analítica de datos permite a casi a cualquier persona con curiosidad y ganas de aprender, aprovecharse de los datos disponibles en internet. Saber ubicar un sensor y recolector de datos en un entorno público es ahora una de las tareas de los adversarios, para concretar y desarrollar una serie de patrones que luego serán utilizados para adelantar la inteligencia necesaria para darles sentido y fundamentación a las acciones adversas que se quieren concretar (Altshuler et al., 2017).

De esta forma, los cibercriminales conforman equipos de trabajo bien diseñados para analizar y cruzar información disponible en redes sociales asociada no sólo con tendencias y temáticas de interés, sino basada en el comportamiento de los individuos, con el fin de establecer y motivar acciones que puedan afectar a un grupo de personas en particular, cambiar las intenciones de otros, o crear imaginarios en los usuarios movilizando mensajes que saben son pertinentes para ellos.

Con este ejercicio de captura, análisis y transformación de los datos en internet, los adversarios son capaces de motivar cambios según la agenda o intencionalidad contratada o requerida de forma silenciosa y persistente, lo que configura un “robo de la realidad” la cual ahora estará bajo el “control” de un grupo o equipos de trabajo de agentes, creando las tendencias y comportamientos (algunos esperados y otros no) que terminen por darle forma a una realidad que posiblemente no sea la que se manifiesta para otros públicos.

Frente a este tipo de amenazas las organizaciones deberán activar protocolos de monitorización y seguimiento en internet de su imagen digital, mantener y verificar la integridad de los datos e información, así como establecer una red de socios estratégicos con el fin de crear un ecosistema de defensa coordinado y colaborativo donde la afectación de la imagen y reputación de un miembro, activa las acciones de defensa colectivas para deteriorar y diezmar los esfuerzos de “robo de la realidad” que quieran concretar los adversarios. Es decir, un ejercicio semejante al diseño de organismos multilaterales como la OTAN.

Cybersafety: transformación del comportamiento en el entorno cibernético

El ejercicio de confiabilidad de los comportamientos humanos en el entorno digital adquiere una dimensión más visible ahora toda vez que los resultados de sus acciones pueden y podrán tener efectos concretos en el mundo físico, en el lógico, biológico o psicológico, dada la interconexión y acoplamiento de la dinámica social asistida por una mayor densidad digital (Refsdal et al., 2015)

El entorno cibernético es un entorno donde las personas tienen mayor interacción, mayor convivencia y mayor comunicación. Es un entorno, donde los objetos físicos ahora tienen mayor nivel de conectividad y los flujos de información se manifiestan en todas partes. Es el momento en donde la ropa que se usa transmite información sobre la talla, la sudoración, entre otras cosas, los relojes, más allá de dar la hora, generan mayor información de lo que comemos o dormimos, los televisores se conectan a internet y generan una experiencia distinta a los canales tradicionales, y se avanza a pasos a agigantados en la impresión de huesos, órganos humanos y comida sintética (semejante a la natural) como alternativas que transforman la dinámica de la vida tradicional.

En este contexto, se introduce el concepto de cybersafety, como la disciplina que se centra en la vida y la salud humanas en el entorno digital, que inicia desde la conectividad y sus impactos en la cotidianidad, hasta el reconocimiento y gestión de riesgos por parte de las personas en este escenario cibernético, donde los individuos materializan acciones y dinámicas particulares que pueden terminar comprometiendo su integridad física, psicológica, digital y todos aquello que sea convergente con vista de conectividad aumentada que utilice y la exposición a dispositivos con mayor densidad digital (Refsdal et al., 2015).

Este nuevo entorno cibernético, es decir de mayor comunicación y control entre sistemas vivos y artificiales, sitúa a las personas como un elemento interconectado que en algunos momentos estará completamente fusionado con los componentes tecnológicos, y otras sólo vinculados para su operación. En este sentido, los adversarios serán adaptativos en línea y fuera de línea, con el fin encontrar la mejor forma de concretar sus acciones adversas. Cuando se adapta en línea es capaz de adelantar acciones contextualmente relevantes imitando movimientos en cuanto a patrón y tiempo que terminen cautivando al objetivo para materializar la actividad maliciosa; cuando lo hace fuera de línea, tiene la habilidad de recabar información relevante, construir ataques sofisticados y crear un escenario de despliegue que termine con efectos físicos, lógicos o psicológicos.

Frente a este tipo eventos adversos en el entorno cibernético se hace necesario desconectar el imaginario actual vigente de la seguridad de la información, que se concentra en la protección de la información y crear una conciencia situacional cibernética que se materializa en un proceso cognitivo que implica la recopilación de información, la percepción y la comprensión del estado actual del mundo y la anticipación de otros momentos posteriores, particularmente en la comprensión y proyección de los riesgos y amenazas en el entorno cibernético y su evolución futura (Renaud & Ophoff, 2021). 

Cripto pasivos: ¿Los nuevos chicos “malos” del barrio?

Comienza la era del “endeudamiento” en criptoactivos. El reto de comprender y desarrollar préstamos, estafas y desbordamiento de obligaciones en moneda digital, donde los acreedores, sin reglas básicas, pueden manejar o manipular las condiciones y garantías de los deudores, advierte una nueva controversia, no sólo por el uso abusivo de esta nueva forma de financiación, sino por los diferentes y novedosos servicios y acciones que se pueden derivar de esta condición (Arkhypchenko, 2020).

La volatilidad de los mercados de criptomonedas y otros activos semejantes, establecen el nuevo escenario de movimientos financieros que se pueden ver en la actualidad. La incursión de un país al declarar el bitcoin como moneda de uso legal, plantea todo un desafío económico y reto tecnológico para una población (posiblemente no preparada para asumir el desafío), que establece una realidad emergente de la economía nacional más allá de las condiciones y regulaciones vigentes. Un escenario inesperado, que se abre al incierto de la dinámica de las criptomonedas, es un laboratorio donde cualquier evento puede pasar y como tal, podrá ser capitalizado por los adversarios.

El uso de billeteras electrónicas para la gestión de las criptomonedas es el punto de inicio y el fundamento de la movilidad del uso de este elemento tecnológico. Mientras se consideren elementos básicos de seguridad y control para el uso de estas aplicaciones, y las personas cuenten con una conciencia situacional cibernética alta, habrá oportunidad para que este dinero digital, comience a ganar mayor impulso para un lograr un uso más ordenado y confiable al que se tiene en la actualidad.

La satanización de las criptomonedas por cuenta del uso generalizado de los adversarios para concretar sus extorsiones, genera todo tipo de desconfianzas en el entorno social, quedando marcadas como un elemento maligno que sabe y huele sólo a robos y actividad ilícita. Como respuesta a esta dinámica delictiva, los bancos centrales a nivel global vienen trabajando en iniciativas de dinero digital “emitido” desde plataformas centralizadas y monitoreadas por estas entidades, lo que se puede advertir en un futuro cercano la incursión de nuevas “monedas digitales oficiales” que terminen movilizando la nueva dinámica económica del mundo, con las tensiones que implica tener circulando un yuan digital, un euro digital y un dólar digital (BIS, 2018). 

Frente a este tipo de iniciativas de dinero digital, de transformación acelerada del concepto de valor económico en el escenario digital, es necesario preparar tanto a las personas como las organizaciones para dar cuenta del cambio de paradigma que se avecina, donde las reglas conocidas del dinero empiezan a modificarse y reinventarse, y es allí donde los adversarios toman ventaja para efectuar movimientos “permitidos por las plataformas que las soportan” y posiblemente no debidamente documentados, ni transparentes que generan la opacidad de sus acciones y las desventajas para los agentes de la ley y el orden, así como para los supervisores de los mercados de valores.  

Técnicas de blanco móvil: Cambiando la ecuación del adversario

Las técnicas de blanco móvil son las nuevas “jugadas” que las organizaciones comienzan a incorporar como parte de su estrategia para cambiar la ecuación del incierto del adversario. Esto es, degradar o deteriorar su capacidad de inteligencia previa sobre el objetivo seleccionado con el fin de disuadir, demorar o deformar los planes adversos u operaciones cibernéticas previstas contra una organización o un estado (Cho et al., 2019).

Esta nueva estrategia, si bien no es del todo nueva, pues en la década de los noventas se desarrollaba de forma manual y asistida por programas automatizados en sistemas unix (uso de cron), es una práctica que ha venido evolucionando hasta convertirse en plataformas completamente diseñadas para disuadir y engañar a los atacantes. El secreto de su despliegue está en la configuración adecuada para mantener la infraestructura actual de la empresa en medio de un señuelo automatizado y creíble, que le permita ver las acciones de los agresores, e interceptarlos antes de que tengan éxito.

Esta estrategia busca confundir al adversario, crear incertidumbre en su modelo o estrategia de ataque, con el fin de generar acciones erráticas en el atacante, y crear una disuasión creíble y verificable que advierta al agresor que existe una infraestructura que no logra identificar, posiblemente encubierta y atenta a los movimientos que éste pueda adelantar para tratar de estudiar y descifrar su configuración y diseño. Crear un objeto móvil para el atacante es cambiar la lectura estática que tiene la infraestructura tecnológica hasta el momento y afectar la práctica estandarizada de los “chicos malos”.

Con el paso del tiempo en el uso y apropiación de este tipo de estrategias disuasivas y de engaño, la organizaciones deben evolucionar y madurar de un marco de trabajo basado en controles tradicionales (estáticos y poco evolutivos), a uno de controles basados en la dinámica del negocio del atacante, donde la analítica de datos en estas nuevas infraestructuras permite mantener un nivel incierto consistente en el adversario, haciendo más complejo el ejercicio de inteligencia y por tanto, limitando la ejecución de sus planes, o al menos demorarlo, teniendo un margen de acción mayor al que se tiene en la actualidad (Wendt, 2019).

Frente a esta iniciativa de protección, se hace necesario cambiar la práctica de protección actual, donde no sólo se puedan advertir patrones de ataque o movimientos inusuales dentro y fuera de la infraestructura, sino habilitar zonas de enfrentamiento situadas y contenidas (algo como un sandbox de ataques invisibilizado) donde tanto organización como atacante son capaces de verse y confrontarse, de tal forma que el reto permanece: por parte de la organización, estudiar la estrategia del adversario y del lado del adversario, descubrir el engaño y romper la zona definida por la empresa para mantener y engañar al agresor.

Nubes híbridas: inseguridad “en cascada”

La nube híbrida se entiende como un entorno mixto de almacenamiento, computación y servicios compuestos por una infraestructura on-premise, servicios de nube privada y una nube pública, con orquestación entre las diversas plataformas, con el fin de generar mayor agilidad, adaptación y despliegue balanceando la ejecución de cargas críticas de trabajos en nubes públicas con aseguramiento de la confidencialidad en nubes privadas. La interacción y el acoplamiento de esta propuesta crea zonas opacas que son aprovechadas de forma sistémica por la inseguridad de la información (Vaishnnave et al., 2019).

El escenario de la emergencia sanitaria internacional creó de forma acelerada los escenarios híbridos de operación de las empresas de forma inesperada. Lo que inicialmente era un entorno controlado y cerrado para las organizaciones, se convirtió en un práctica de conexión y flujo de información con terceros de confianza, con quienes en la marcha fueron ajustando la manera como se iban a acoplar y acondicionar las nuevas prácticas de conexión y uso de la infraestructura.

El mundo de la nube híbrida tiene múltiples ventajas y limitaciones, las cuales deben ser revisadas y analizadas en detalle, no sólo para capitalizar las mejores oportunidades de esta estrategia, sino tener una vista informada de sus vulnerabilidades y retos, con el fin de efectuar las acciones necesarias que permitan articular mejor los modelos de seguridad y control de las organizaciones, de cara a una realidad cada vez más interconectada y más dependiente de las capacidades estratégicas disponibles en sus socios claves de negocio (AFP, 2021).

A continuación se detallan algunos riesgos de esta estrategia híbrida que se ha venido implementando en las organizaciones: (Finnie, 2017)

  • Los datos ahora están más expuestos: el control de acceso no sólo deberá estar en el centro de datos físico, sino articulado en la nube pública donde se procesan. Esto implica una mayor superficie de ataque y por tanto mayor coordinación y sincronización con el proveedor para mantener un entorno confiable.
  • La descentralización de la información aumenta la complejidad de la detección, el cumplimiento, la aplicación de parches de seguridad y el análisis de datos por la misma razón. Una mayor dispersión de la información crea nuevos puntos de protección que habrá que identificar y asegurar.
  • Con una nube pública en la mitad no es viable mantener un inventario en tiempo real de las máquinas o recursos utilizados, creando una opacidad sobre las cargas de trabajo y las diferentes instancias disponibles con la información de la compañía, creando cegueras que impiden un monitoreo real de los activos de datos de la empresa. No se puede asegurar, lo que no se puede ver.
  • Cuando se entregan los datos a proveedores de nube públicas se pierde el control de los mismos. Las regulaciones y exigencias de los supervisores por lo general demandan un adecuado control de los datos de carácter personal y con mayor razón de los secretos corporativos. La nube pública crea inestabilidad en el modelo híbrido y escenarios de riesgos con baja capacidad de maniobra.
  • Los proveedores de nubes públicas son responsables de la infraestructura global, incluyendo el almacenamiento, las bases de datos y las redes. El cliente empresarial es responsable de todo lo demás. Por tanto, se hace necesario coordinar el aprovisionamiento con el proveedor para sincronizar y alinear las prácticas de seguridad y control, para mantener el perfil de protección definido por la organización.
  • Los errores en la configuración de la nube pública y el acoplamiento con el segmento privado dispuesto por la organización, pueden generar efectos en cascada que afecten no sólo las aplicaciones dispuestas en la estrategia híbrida, sino los datos y la confiabilidad de los mismo por cuenta de los efectos no deseados o desconocidos que se puedan dar.
  • Cuando se configura una nube híbrida, se crea un lugar donde un empleado descontento con acceso a la nube puede causar graves daños. En un entorno de nube híbrida, se multiplica igualmente esa amenaza por el número de empleados del proveedor de nube. En este sentido, el reto de la apropiación de las prácticas de seguridad y control, la validación del perfil de los profesionales que trabajan con el proveedor y los posibles comportamientos ilícitos con efectos adversos para la compañía, se advierten como una realidad que deberá contemplar no solo los oficiales de seguridad, sino los seguros cibernéticos que se contraten.

Mientras mayor sea la integración y el acoplamiento entre organización y proveedor en la nube, deberá haber un mayor análisis sistémico que le permita conocer los puntos de mayor sensibilidad y propagación de eventos inciertos, así como promover una estrategia de simulaciones de actividades no autorizadas, para concretar las acciones y planes de acción que den respuesta ágil a la condición adversa que se presenta, cuidando la confianza de los clientes y la reputación de la compañía.

¿Cómo enfrentar los nuevos umbrales de transformación?

Para enfrentar los retos que sugieren los umbrales de transformación presentados en este documento es necesario complementar el marco de gestión tradicional basado en el planear, hacer, verificar y actuar (PHVA), con otro basado en arriesgar, anticipar, responder y monitorizar (A2RM), donde la lectura del entorno y sus inestabilidades se convierte en la base de la gestión de seguridad y control, desde los inciertos y las inestabilidades (Cano, 2021b).

A continuación se detallan algunas acciones concretas que permiten conectar el ciclo de regulación representado por el PHVA y con el ciclo de adaptación representado por el A2RM. Desarrollar estas actividades implica retar las condiciones de operación actual de la organización y encontrar la ruta de transformación que toda organización recorre entre una amenaza y una oportunidad: el proceso de lograr un cambio, que no es otra cosa que generar nuevos aprendizajes/desaprendizajes.

Arriesgar:

  • Se revelan los riesgos conocidos, latentes, focales y emergentes como parte del reconocimiento del entorno.
  • Se evalúan las potencialidades positivas de los riesgos identificados
  • Se toman riesgos de forma inteligente basados en los impactos estratégicos y tácticos, los grupos de interés y las lecciones aprendidas. 

Anticipar:

  • Se mantiene una revisión permanente de tendencias y asimetrías en el entorno de negocio.
  • Se cuenta con espacios para proponer y motivar ideas que retan los saberes previos.
  • Se desarrollan y aplican simulaciones y prototipos de las ideas propuestas. 

Responder:

  • Se adelantan ejercicios de preparación ante eventos adversos con participación de diferentes niveles de la organización.
  • Se han definido umbrales de operación y tolerancia de riesgos frente a eventos inesperados.
  • Se mantienen alianzas estratégicas con socios y terceros de confianza para crear un ecosistema de defensa.

Monitorizar:

  • Se cuenta con la capacidad de ajustar las infraestructuras tecnológicas basadas en el reconocimiento de amenazas novedosas y emergentes
  • Se cuenta con tecnologías de decepción como estrategia para mantener seguimiento y vigilancia de nuevos patrones de ataque.
  • Se adelanta correlación de eventos, patrones y tendencias para diseñar escenarios posibles y emergentes que puedan afectar la dinámica de la empresa.

En resumen las áreas y funciones de seguridad/ciberseguridad deberán articular al menos tres ciclos claves en el desarrollo de sus actividades. Los tres ciclos son: el ciclo de regulación (para los riesgos conocidos, basado en la aplicación de estándares), el ciclo de adaptación (para los riesgos latentes y emergentes, basado en análisis de escenarios y prospectiva) (Beer, 1985) y el ciclo de memoria y aprendizaje (para desarrollar capacidades de respuesta y aprendizaje colaborativo) (Reyes & Zarama, 1998).

Articular estos tres ciclos permite a la función de seguridad y ciberseguridad entrar en el reto de los atacantes, no sólo con las herramientas básicas conocidas (los estándares y buenas prácticas), sino con una capacidad de maniobra para plantear alternativas y propuestas que le permitan jugar (con una realidad aumentada) y capacidades defensivas, que exijan al atacante pensar mejor sus movimientos y mejorar su propuesta inicial de acción, o quizá disuadirlo que lo haga.

Reflexiones finales

Desarrollar pronósticos de seguridad/ciberseguridad cada año se torna en un reto cada vez más desafiante, más enriquecedor y más esquivo, comoquiera que los cambios acelerados y transformaciones inesperadas, crean escenarios que muchas veces desafían hasta los más experimentados analistas en estos temas. En esta ocasión, si bien muchas temáticas pueden quedarse por fuera de esta reflexión, es importante advertir que los umbrales de transformación planteados establecen una mirada interconectada de la dinámica actual, que trata de recoger algunos movimientos y sus impactos en la práctica vigente de los oficiales de seguridad/ciberseguridad.

Los temas como el internet de las cosas, la analítica de datos, los gemelos digitales, la realidad aumentada, los procesos robóticos automatizados, la analítica de sentimientos, los algoritmos de máquinas de aprendizaje, la impresión 3D, la cadena de bloques (blockchain), la computación cuántica, y aquellas que puedan revelarse en los próximos años serán tendencias puntuales que se irán incorporando en las organizaciones creando espirales de cambios que deberán incomodar los saberes previos y repensar la dinámica de sus procesos (Briggs et al., 2020).

En este escenario, será importante que la función de seguridad/ciberseguridad tome una postura de acción y despliegue ágil que entienda el apetito de riesgo de la organización y encuentre nuevos retos en los inciertos. Lo anterior demanda entender las decisiones que pueden ser riesgosas de aquellas que son opciones novedosas que desafían y cambian la operación de la empresa (Wucker, 2021). Así las cosas, tanto los profesionales como los ejecutivos de seguridad/ciberseguridad deberán acoger el ciclo de gestión A2RM como una manera para observar las tendencias, reconocer las inestabilidades y enfrentar al adversario en su propio terreno.

Las reflexiones planteadas en este documento son un mapa imperfecto de los desafíos que se advierten en los próximos meses y por tanto, es necesario mantener una vista exploratoria y crítica de los eventos que constantemente ocurren, para actualizar la lectura de las señales débiles identificadas y contrastarlas con las tendencias que se han consolidado a la fecha. Pensar por fuera de la caja, deberá ser el reto permanente de los profesionales de seguridad/ciberseguridad, como una manera de abrazar la ambigüedad permanentemente y apostar por actuar de forma anticipada en el presente.

Referencias

AFP (2021). 2021 AFP Risk survey report. Post Crisis and Preparation for the Future. https://www.afponline.org/publications-data-tools/reports/survey-research-economic-data/Details/risk-2017 

Altshuler, Y., Aharony, N., Elovici, Y., Pentland, A. & Cebrian, M. (2017). Stealing reality: when criminals become data scientist. En Shrobe, H., Shrier, D. & Pentland, A. (Editors) (2017). New solutions for cybersecurity. Cambridge, MA. USA: MIT Press. Chapter 8. 269-290.

Arkhypchenko, I. (2020). Theoretical and legal perspective of civil liability in cryptocurrency relations. Master Thesis. Taras shevchenko National Nniversity of Kyiv. Faculty of law. Civil Law Department. https://doi.org/10.13140/RG.2.2.20658.02247 

Beer, S. (1985). Diagnosing the system for organizations. London, UK: Wiley.

BIS (2018). Monedas digitales emitidas por bancos centrales. Comité de Pagos e Infraestructuras de Mercado. Comité de Mercados. https://www.bis.org/cpmi/publ/d174_es.pdf 

Briggs, B., Buchholz, S. & Sharma, S. K. (2020). Macro technology forces. A second look at the pillars of the past, current, and future innovation. Deloitte Insights. https://www2.deloitte.com/us/en/insights/focus/tech-trends/2020/macro-technology-trends.html   

Cano, J. (2021). Ciberseguridad empresarial. Reflexiones y retos para los ejecutivos del siglo XXI. Bogotá, Colombia: Lemoine Editores. 

Cano, J. (2021b) La “falsa sensación de seguridad”. El reto de incomodar las certezas de los estándares y tratar de “domesticar” los inciertos. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. 159. https://doi.org/10.29236/sistemas.n159a6  

Cascio, J. (2020). Facing the age of caos. Institute for the future. https://medium.com/@cascio/facing-the-age-of-chaos-b00687b1f51d 

Cho, J., Sharma, D., Alavizadeh, H., Yoon, S., Ben-Asher, N., Moore, T., Kim, D. S., Lim, H. & Nelson, F. (2019). Toward Proactive, Adaptive Defense: A Survey on Moving Target Defense. IEEE Communications Surveys & Tutorials. 1-39. Doi 10.1109/COMST.2019.2963791

Finney, G. (2020). Well aware. Master nine cybersecurity habits to protect your future. Austin, TX. USA: Greanleaf book group.

Finnie, S. (2017). The Top 12 Hybrid Cloud Security Threats. Security Boulevard. https://securityboulevard.com/2017/11/top-12-hybrid-cloud-security-threats/ 

Hodgson, A. (2020). Systems thinking for a turbulent world. A search for new perspectives. Oxon, UK: Routledge. 

Refsdal, A., Solhaug, B. & Stølen, K. (2015). Cyber-Risk Management. Switzerland: Springer Verlag.

Renaud, K. & Ophoff, J. (2021). A cyber situational awareness model to predict the implementation of cyber security controls and precautions by SMEs. Organizational Cybersecurity Journal: Practice, Process and People. DOI: 10.1108/OCJ-03-2021-0004  

Reyes, A. & Zarama, R (1998). The process of embodying: a re-construction of the process of learning. Cybernetics & Human Knowing. 5(3). 19-33.

Sieber, S. & Zamora, J. (2018). The Cybersecurity Challenge in a High Digital Density World. European Business Review. November. https://www.europeanbusinessreview.com/the-cybersecurity-challenge-in-a-high-digital-density-world/  

Vaishnnave, M. P., Suganya Devi, K. & Srinivasan, P. (2019). A Survey on Cloud Computing and Hybrid Cloud. International Journal of Applied Engineering Research. 14(2). 429-434. http://www.ripublication.com/ijaer19/ijaerv14n2_13.pdf 

Wendt, D. (2019). Addressing Both Sides of the Cybersecurity Equation. CSIAC Journal. 7(2). 22-30. https://csiac.org/articles/addressing-both-sides-of-the-cybersecurity-equation/ 

Wucker, M. (2021). You are what you risk. The new art and science of navegating and uncertain world. New York, USA: Pegasus Books.

sábado, 16 de enero de 2021

Educar en ciberriesgos. El reto de una sociedad en transformación digital

Introducción
En los primeros días del año los inciertos y las inestabilidades globales abundan. Eventos como la confusión geopolítica generada por las intrigas y eventos recientes en Norteamérica, los avances silenciosos del Partido Comunista Chino (PCC) en la preparación de un “yuan digital” con proyección global (Barría, 2020), la brecha de seguridad materializada a través de un tercero en el Banco Central de Nueva Zelanda (Reuters, 2021) y el caso altamente visible del compromiso uno de los proveedores de software (SolarWinds) de varias agencias del gobierno norteamericano (Schwartz, 2021), muestran como lo confirma el reciente reporte del CIDOB (Soler, 2020) que este año estará marcado por la incertidumbre.

Frente a la incertidumbre se hace necesario salir a explorar diferentes alternativas y escenarios para establecer estrategias que habiliten identificar aquellas claves, con el fin de tomar las iniciativas concretas que permitan dar cuenta con el contexto de volatilidad que se plantea en la actualidad. En este sentido, los eventos que marcan el inicio de este año deben llevar a las organizaciones y ejecutivos de seguridad/ciberseguridad a actualizar sus marcos de trabajo para pasar del “proteger y asegurar” (que hay que mantener para aquello conocido) al “defender y anticipar” (de aquello que no conoce, ni sabe) con el fin de explorar y analizar las inestabilidades y establecer una postura de seguridad y defensa sensible a los cambios y las promesas de valor para sus clientes.

Más allá de ser el custodio del modelo de generación de valor de la empresa, la seguridad de la información se debe convertir en la base de la dinámica y relacionamiento intraempresarial, como fundamento del aseguramiento de los flujos de información que se desarrollan a su interior, lo que supone descubrir, analizar, intervenir y actualizar los imaginarios sociales que se tienen alrededor de la protección de la información (Cano, 2016). Tener la lectura de éstos imaginarios permite establecer el asidero fundamental para avanzar en la construcción de una cultura organizacional de seguridad de la información (COSI) que se convierta en el pilar clave para asumir el incierto como insumo para trazar una ruta de navegación en medio de los vientos y tormentas que puedan generar los adversarios.

La mayoría de las brechas de seguridad que se han revelado a nivel internacional corresponden a engaños exitosos o acciones realizadas por las personas alrededor de la protección de la información, comportamientos frente a las aplicaciones o reacciones de los individuos frente a realidades que confrontan la lógica, la confianza y la desinformación sobre eventos concretos. En este sentido, cuanta mayor distracción se genere en el entorno, menor será la capacidad de atención y alerta frente a situaciones que puedan ser sospechosas y así, habilitar un espacio para concretar un pivote de acceso que termine en una brecha de seguridad en una organización (Campbell, O’Rourke & Bunting, 2015).

En consecuencia, este breve documento introduce la necesidad urgente de educar a la ciudadanía en general sobre los ciberriesgos, como la nueva frontera de retos del entorno digital, donde los adversarios buscan crear contextos de inestabilidad que aprovechan desde los engaños, la desinformación, manipulación de mensajes, el pánico, el incierto y la sensación “fuera de control” para que se actúe de forma errática e inesperada, y así tener mayor margen de acción fuera del marco general de los sensores de control disponibles en las organizaciones.

¿Qué son los ciberriesgos (riesgos cibernéticos)? Definiendo un escenario con blanco móvil
Los ciberriesgos son riesgos que tienen al menos tres características claves: son sistémicos (tienen efecto en cascada), emergentes (surgen como fruto del nivel de acoplamiento e interacción de diversos componentes) y disruptivos (generan efectos inesperadas la dinámica del sistema), los cuales están presentes en el entorno ciberfísico, lo que se traduce en una convergencia entre lo físico, lo lógico y lo biológico, como fundamento de la dinámica de la cuarta revolución industrial (Cano, 2019).

En este sentido, la materialización de un ciberriesgo, más allá del aprovechamiento de una falla o vulnerabilidad de uno de sus componentes, puede generar afectación a nivel de la persona, la sociedad, las organizaciones y las naciones, dada su condición sistémica. Esto es, que a diferencia de los impactos focalizados que se pueden concretar a nivel de la seguridad de la información al interior de la organización, los ciberriesgos se propagan y evolucionan dependiendo del nivel de convergencia, acoplamiento e interacción que se tenga en un contexto particular (Perrow, 1999).

Mientras los riesgos propios de la seguridad de la información son la base conceptual para comprender los ciberriesgos, éstos últimos se configuran y transforman de formas distintas. Lo anterior implica reconocer las relaciones y conexiones que se tienen entre el mundo físico, lógico y biológico, así como la confiabilidad de los flujos de información y el aseguramiento de los mismo, con el fin de contar con una vista ampliada de las interacciones y posibles efectos que se pueden presentar si algo no sale como estaba planeado o surge una relación que no estaba documentada inicialmente.

Por tanto, la base de la comprensión de los ciberriesgos es el entendimiento de las incertidumbres claves que se pueden presentar como pueden ser: a) no saber qué va a pasar, ni que tan probable son los resultados, b) contar información imprecisa, insuficiente o contradictoria y c) no tener el conocimiento requerido (Menon & Kyung, 2020). Bajo este entendido, se requiere que los individuos entiendan que habrá riesgos que no podrán “ver o anticipar” y desarrollar un apetito de riesgo basado en su capacidad y tolerancia a estos eventos para plantear su respuesta.

Así las cosas, parte de la educación de las personas en el tema de ciberriesgos pasa por una comprensión del riesgo cibernético y la predisposición cultural hacia la reducción de los riesgos de seguridad (Mee, Brandenburg & Lin, 2020), así como por las habilidades necesarias para estar atentos frente a eventos, que aun siendo normales, puedan generar sospecha de algo no está funcionando de acuerdo con lo esperado. En consecuencia, las estrategias que se generen para educar a las personas en estos temas deberán privilegiar una mirada interdisciplinar y un pensamiento sistémico como base de aquellas preguntas que serán el asidero de la “ciberhigiene” necesaria para aumentar la resistencia a los ataque de los adversarios.

¿Cómo educar a las personas frente al riesgo cibernético? Un ejercicio más allá de enseñar un cúmulo de temas
Si aceptamos que educar, como lo afirma John Ruskin, “no significa enseñarle algo a una persona que no sabía, sino transformarlo en una persona que no existía”, el reto en la educación de ciberriesgos se traduce inicialmente en sorprender a las personas sobre las realidades y desafíos del entorno ciberfísico, para desde allí conectar con sus saberes previos y motivar el desarrollo de mejores preguntas, y no ofrecer muchas respuestas.

Es desde esta perspectiva, desde las preguntas propias de las personas alrededor del nuevo entorno ciberfísico donde se inicia el proceso de construcción y conexión de los saberes previos de las personas, para desarrollar nuevos constructos de conocimientos y prácticas, que irán más allá de seguir una receta (propia de las prácticas particulares de seguridad de la información) para configurar criterios de toma de decisiones que privilegiarán sus propias inquietudes, las reflexiones que hagan alrededor del tema, los diferentes puntos de vista de otros participantes y sus certezas básicas.

Esta tipo de estrategia educativa no está fundada en el desarrollo de competencias mecánicas que todos los participantes deben repetir para asegurar que “han sido educados” y “han aprobado” un cuerpo de conocimientos, sino en el reconocimiento del contexto particular de cada persona, sus inquietudes más relevante y frecuentes alrededor de los ciberriesgos, y las relaciones que tiene con su diferentes grupos de interés dentro de una comunidad. Por tanto, el aprender sobre ciberriesgos implica exponerse a distintos escenarios no convencionales y evaluar la respuesta de la persona que considere al menos su apetito al riesgo, las prácticas vigentes de seguridad y control, y el nivel comodidad o incomodidad frente al incierto (Cano, 2016).

De esta forma, no sólo se podrá confrontar todo el tiempo aquello que ha aprendido en ejercicios anterior, sino que irá desarrollando nuevas posturas o enriqueciendo otras, de tal forma que se genere una postura de seguridad y control, que no sólo responda a las prácticas establecidas en los estándares, sino que se ajusta a la realidad y contexto vigente lo que implica reconocer el carácter volátil e incierto de los riesgos cibernéticos en el escenario actual. 

Tratar de formar competencias (conocimiento estandarizado) para tratar los ciberriesgos, es limitar la incertidumbre natural de este tipo de riesgos, creando una opacidad en el análisis y comprensión de los mismos, comoquiera que no existen a la fecha respuestas estándares que den cuenta con la dinámica del riesgo cibernético y los impactos de su materialización. Así las cosas, los esfuerzos de educación deberán iniciar desde el estudio de la mente del atacante y sus recursos, para luego compartir de forma colectiva propuestas con sus pares del entorno, y desde allí, producir las acciones pertinentes a la situación que se tiene en el momento (Cano, 2016).
 
Lo anterior  implica “superar la primacía de las relaciones de causa y efecto como marco explicativo” (Calvo, 2017, p.73) y abrir las fronteras al pensamiento sistémico y complejo, donde las causalidades se multiplican y entrelazan de manera imprevisibles. En consecuencia, se hace evidente la necesidad de una alfabetización sistémica (Booth, s.f.), como fundamento para "disoñar" (diseñar y soñar) (Calvo, 2016) propuestas alternativas y novedosas que no teman a la equivocación ni a la ignorancia.

Reflexiones finales
Los entrenamientos o formación en temas de seguridad de la información, basado en listados de temas a cubrir, aplicación de controles fundados en los estándares, sumando a la técnica del “miedo” (si no haces esto o aquello, podrás ser sancionado), terminan creando una espiral decreciente de aprendizaje que moviliza el imaginario de las personas sobre la seguridad de la información, como una temática que es una responsabilidad de la empresa y por lo tanto, es algo que otros hacen por ella.

En este escenario se deja de construir una red interna de alerta y protección, que configura una vez más a los temas de protección de la información como una temática técnica que está fuera del alcance de las personas del común. Por tanto, educar en los retos de los riesgos cibernéticos, demanda una formación básica en las prácticas de la seguridad de la información, para luego movilizarse al contexto de un entorno digital interconectado y convergente (ISO, 2020), donde el riesgo es parte natural de su dinámica, y las personas toman decisiones frente al incierto que esto genera.

Es así, que la educación en el riesgo cibernético exige una reflexión interdisciplinar que conecte diferentes puntos de vista, impactos y acciones que permitan a las personas movilizarse mejor en medio de la incertidumbre (Huerta, Pérez, Zambrano & Matsui, 2014), para lo cual se hace necesario reconocer las opciones y apuestas de los adversarios, construir de forma colectiva alternativas de acción y tomar la decisiones que correspondan en el momento adecuado. 

Lo anterior supone, “ejercitar la sospecha sobre aquello que se nos muestra como aparentemente lógico, verdadero y coherente” (Medina, 2008, p.164), para sumergirse en un mundo de incertidumbres donde son importantes las preguntas y no las respuestas; una oportunidad para “liberarse del encadenamiento a un concepto lineal, que obliga a repetir afirmaciones dichas por otros” (Calvo, 2016, p.30).

Referencias
  • Barría, C. (2020). La nueva moneda digital que China está probando y que sitúa al país a la cabeza de la carrera mundial de las divisas virtuales. BBC News Mundo. https://www.bbc.com/mundo/noticias-51483218  
  • Booth, L. (s.f.) Food systems, climate systems, laundry systems: the time for systems literacy is now! The systems thinker. Recuperado de: https://thesystemsthinker.com/%ef%bb%bffood-systems-climate-systems-laundry-systems-the-time-for-systems-literacy-is-now/ 
  • Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
  • Calvo, C. (2017) ingenuos, ignorantes, inocentes. De la educación informal a la escuela autoorganizada. La Serena, Chile: Editorial Universidad de la Serena.
  • Campbell, S., O’Rourke, P. & Bunting, M. (2015) Identifying Dimensions of Cyber Aptitude: The Design of the Cyber Aptitude and Talent Assessment. Proceedings of the Human Factors and Ergonomics Society 59th Annual Meeting. 721-725. https://doi.org/10.1177/1541931215591170 
  • Cano, J. (2016) La educación en seguridad de la información. Reflexiones pedagógicas desde el pensamiento de sistemas. Memorias 3er Simposio Internacional en Temas y problemas de Investigación en Educación: Complejidad y Escenarios de Paz. Universidad Santo Tomás. Bogotá, Colombia. Agosto 25 a 27. https://www.researchgate.net/publication/321197873_Riesgo_y_seguridad_Un_continuo_de_confianza_imperfecta 
  • Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 151. 63-73. Doi: https://doi.org/10.29236/sistemas.n151a5
  • Huerta, J., Pérez, I., Zambrano, R., & Matsui, O. (2014). Pensamiento complejo en la enseñanza por competencias profesionales integradas. Guadalajara, Jalisco. México: Universidad de Guadalajara
  • ISO (2020) ISO/IEC Technical Specification 27100:2020 Information technology — Cybersecurity — Overview and concepts
  • Medina, J. (2010) El desaprendizaje: Aproximación conceptual y notas para un método reflexivo de generación de saberes profesionales. En Armengol, C. y Gairín, J. (2010) Estrategias de formación para el cambio organizacional. Madrid, España: Wolters Kluwer.
  • Mee, P., Brandenburg, R. & Lin, W. (2020) Global Cyber Risk Literacy and Education Index. A measurement of population development toward understanding cyber risk. Oliver Wyman Forum. https://www.olverwymanforum.com/cyber-risk/cyber-risk-literacy-education-index.html
  • Menon, G. & Kyung, E. (2020). When More Information Leads to More Uncertainty. Harvard Business Review. De: https://hbr.org/2020/06/when-more-information-leads-to-more-uncertainty
  • Perrow, C. (1999) Normal accidents. Living with High-Risk Technologies. Princeton, NJ. USA:  Princeton University Press.
  • Reuters (2021). New Zealand central bank says its data system was breached. https://www.reuters.com/article/us-newzealand-economy-rbnz/new-zealand-central-bank-says-its-data-system-was-breached-idINKBN29F010 
  • Schwartz, M. (2021). 'SolarLeaks' Site Claims to Offer Attack Victims' Data. InfoRisk Today. https://www.inforisktoday.com/solarleaks-site-claims-to-offer-attack-victims-data-a-15751 
  • Soler, E. (2020). El mundo en 2021: diez temas que marcarán la agenda internacional. CIDOB Notes Internationals. 243. https://www.cidob.org/publicaciones/serie_de_publicacion/notes_internacionals_cidob/243/el_mundo_en_2021_diez_temas_que_marcaran_la_agenda_internacional

lunes, 19 de octubre de 2020

Pronósticos de seguridad/ciberseguridad 2021. Reflexiones en medio de un entorno asimétrico e inestable.

 Introducción

Las tensiones globales que se han generado por cuenta de la emergencia sanitaria internacional y la revelación de nuevos actores en la carrera geopolítica para concretar una vacuna que permita inmunizar a la población mundial, establece los inéditos “normales” emergentes de la dinámica social, económica, tecnológica y política que cambia la aparente calma que se tenía antes del mes de marzo del 2020.

Este escenario asimétrico e inestable plantea desafíos emergentes y novedosos que confunden y retan los mejores pronósticos de los analistas internacionales sobre lo que puede suceder en los próximos años. Mientras el virus continúe sin un mecanismo de contención efectivo, habrá muchos espacios para mantener la desinformación, los inciertos, los miedos y la manipulación de la información en las relaciones sociales, con impactos inesperados y no previstos en los demás sectores de sociedad (Interpol, 2020).

Así las cosas, establecer una marco de trabajo para ilustrar un pronóstico acerca de la seguridad/ciberseguridad para el 2021 resulta una apuesta compleja y ambigua, que más que tratar de acertar en un blanco en movimiento, busca identificar algunos patrones y tendencias que marcan la diferencia en el escenario actual, sin perjuicio de su actualización posterior, dada la volatilidad de las condiciones y los cambios que se van a suscitar en el desarrollo de los próximos 365 días.

La seguridad/ciberseguridad como conceptos complementarios y convergentes en la actualidad, plantean desafíos para los profesionales de seguridad y control tradicionales, comoquiera que rompen con la acostumbrada lectura técnica de los mismos, habida cuenta que el valor de la información se configura cada vez más como ese elemento fundamental que atraviesa la estrategia de las organizaciones, lo cual motiva una transición de habilidades y capacidades basadas en la protección de los datos, ahora centradas en las personas y el tratamiento de la información.

Para realizar este ejercicio se han consultado diversas fuentes de información especializadas, documentos elaborados por centros de pensamiento, artículos científicos, comentarios de expertos en el tema y sobremanera una visualización de líneas de acción que se reiteran al cruzar los datos recolectados hasta la fecha. En este sentido, este documento presenta una propuesta incompleta y limitada de las condiciones y retos que la seguridad/ciberseguridad puede manifestar para el año siguiente.

En consecuencia, las reflexiones que se plantean a continuación representan un mapa incompleto sobre un territorio inestable y cambiante, que trata de ubicar algunos puntos de referencia para construir posturas y tomar decisiones sobre seguridad/ciberseguridad de las organizaciones modernas, ahora más expuestas y abiertas que antes, dada la acelerada digitalización de sus procesos y la transformación digital de su modelos de negocio.


Pronósticos de seguridad/ciberseguridad 2021

A continuación se presentan los cinco (5) pronósticos que se advierten para el 2021 en las temáticas de seguridad/ciberseguridad, así como algunos temas complementarios que apalacan dinámicas particulares que pueden ser de interés para las organizaciones y las naciones en general.

1. El fearwareUn escenario de manipulación social

El uso masivo de redes sociales y mecanismos de acceso a información es una tendencia que confirma el aumento de la conectividad en la sociedad y la democratización de los servicios y productos digitalmente modificados. El uso extensivo a nivel de global de dispositivos “inteligentes” y ecosistemas digitales revela el aumento de flujos de información conocidos y desconocidos que ahora hacen parte de la lectura social del mundo actual (Valdez-de-Leon, 2019).

Con ocasión de la emergencia sanitaria se ha producido un tsunami de información y desinformación que advierte una dinámica de inciertos y contradicciones, la cual termina afectando y reconfigurando los imaginarios de las personas. Dichos cambios generan emociones y sentimientos de miedo, dudas y ansiedad que son capitalizados por agentes nocivos, para crear desestabilización, desconcierto y erosión de la confianza con el fin de marcar una agenda oculta de intereses que pasa desapercibida frente a los titulares de la realidad (Jones, 2019).

El fearware, como estrategia consolidada de la manipulación social, es la base de una guerra social virtual, donde diferentes actores toman posiciones y generan tendencias para movilizar a la población respecto de una temática particular, para desestabilizar naciones, para debilitar o manejar democracias, para concretar operaciones encubiertas que impacten las representaciones sociales y sobremanera, como una nueva amenaza a la integridad de la información, donde el reto y objetivo del adversario, es y será erosionar la confianza y la confiabilidad de una opinión informada (Mazarr, Bauer, Casey, Heintz & Matthews, 2020).

2. La cadena de suministro – Los terceros de des(confianza)

Los adversarios han venido observando y analizando que las empresas cada vez más dependen de terceros para operar. Con el escenario actual, muchas de ellas tuvieron que migrar rápidamente para contar con proveedores de servicios en la nube y algunos otras, ampliar sus contratos con los terceros para manejar, entre otros temas, servicios de monitoreo y control de sus plataformas (Europol, 2020).

Los atacantes han evidenciado que las empresas han fortalecido sus perímetros de seguridad y control, así como sus estrategias de monitorización y analítica, lo cual no les permite concretar parte de su estrategia natural para “pasar desapercibidos” y crear el incierto en los modelos de protección vigentes. En esa lectura, saben que deben continuar buscando aquel sitio que puedan ubicar con el menor nivel de aseguramiento y desde allí, establecer el pivote requerido para apalancar sus acciones contrarias (Ponemon-CyberGRX, 2020).

Casos recientes demuestran que los terceros que apoyan las organizaciones, cuentan con prácticas de seguridad y control que no están armonizadas con las de sus clientes, mantienen una visión de “isla” independiente basada en los términos y condiciones del contrato, y pocas veces se hace seguimiento sobre la realidad misma de sus estándares y posturas de protección de sus infraestructuras. En este sentido, se convierten en los nuevos focos de atención de los atacantes, como estrategia para llegar a organizaciones claves para ingresar sin ser notados y basados, muchas veces, en conexiones autorizadas desde aplicaciones debidamente registradas por sus clientes.

3. El secuestro de datos – Una amenaza vigente y latente

Los datos y la información se han convertido en uno de los activos más importantes de las organizaciones en la actualidad. Reconocer donde se ubican aquellos que resultan más valiosos y saber cómo se están protegiendo, debería ser una prioridad para las organizaciones del siglo XXI. Sin embargo, muchas veces la información de mayor relevancia termina en los lugares menos indicados o más inesperados, comoquiera que su uso resulta de manejo diario o muchas veces compartido entre diferentes personas.

En este contexto, los activos críticos de información terminan expuestos a las prácticas propias de las personas que son sus custodios naturales y por lo tanto, no es la probabilidad de la materialización de un evento adverso, lo que cuenta, sino la posibilidad concreta de una brecha o un secuestro de los mismos con ocasión de un “click” o una “descarga” de un archivo que venía adjunto a un correo electrónico, un enlace a un sitio no conocido o un mensaje en un sistema de mensajería con una url maliciosa (Vuggumudi & Wang, 2020).

El ransomware como ese código malicioso que se descarga e instalada en el sistema informático, sólo tiene que ser paciente para esperar su oportunidad, para concretar el pivote que necesita para desplegar las acciones necesarias que permitan tomar el control del dispositivo, para deshabilitar las medidas de seguridad, establecer posiciones en la infraestructura donde está conectada la máquina y ejecutar sus rutinas de cifrado escalonado que termina con el temible anuncio del pago de una extorsión (Europol, 2020).

4. El modo “radar” y el modo “crisis” – Dos capacidades claves

Considerando las inestabilidades actuales a nivel global y local, los ejecutivos de seguridad poco le ayudan contar con la implementación de prácticas y estándares internacionales para anticipar o pronosticar nuevas formas de ataques o estrategias emergentes para comprometer las medidas de seguridad vigentes en las empresas. En este sentido, debe activar el modo “radar” que le permitan no solamente revisar lo que le indican las alertas de eventos conocidos, sino comenzar a establecer patrones de amenazas en medio de los datos hasta ahora consolidados tanto por el servicio de SOC (Security Operation Center), como por los mecanismos instalados en su perímetro de seguridad (Ponemon-CyberGRX (2020).

El modo “radar” lo que le  permite es establecer un marco de revisión y exploración que lo habilita para monitorizar sus contornos, buscando inconsistencias, rarezas y contradicciones que le indiquen que algo fuera de lo común ocurre y que deberá revisar para establecer el nivel de atención que merece tal “anormalidad”. En consecuencia, las organizaciones deben tener claridad de lo que significa que algo funciona de forma “normal” con lo cual cualquier evento que se revele más allá de los umbrales definidos, sea catalogado como “inusual” y luego de su revisión y validación, pasar a ser “sospechoso” para su exploración en profundidad.

Si bien el modo “radar” es relevante y clave, pueden pasar desapercibidos eventos que terminen comprometiendo el modelo de seguridad y control de la organización, por lo tanto deberá tener listo el modo “crisis”, que lo que conlleva es un tratamiento de riesgos que no solo busca mitigar los impactos del eventos, sino moverse de forma coordinada para evitar caer en el juego del atacante, y responder con un “libro de jugadas” (playbook) claro (Bollinger, Enright & Valites, 2015), que cierre la brecha de inciertos que la situación pueda ocasionar.

5. Aceleración digital – Mayor superficie de ataques

No hay duda que la emergencia sanitaria internacionales aceleró la transformación digital de las empresas, muchas de ellas de forma accidentada y por lo tanto, con muchos vacíos desde la perspectiva de seguridad y control. Se pasó de forma urgente de un modelo centralizado de operaciones y aseguramiento, a uno ampliamente basado en terceros (desconectados del marco de seguridad empresarial), con una cultura organizacional de seguridad de la información basada en personas informadas (algunos más conscientes que otras) y con un marco de trabajo en casa que responde a la práctica individual de higiene informática vigente en el hogar.

Este escenario plantea una superficie de conectividad e interacción digital que privilegia la funcionalidad sobre los mínimos de seguridad y control requeridos para un trabajo remoto. Lo anterior, habilita el escenario para crear un tejido digital con numerosos puntos de acceso y posibilidades, que un adversario puede aprovechar desde la inherente y natural forma de actuar de los individuos, hasta las vulnerabilidades técnicas de las plataformas utilizadas por los terceros o sus protocolos, los cuales pueden no estar actualizados o no parchados, lo que sugiere múltiples puntos candidatos para ser pivotes de un ataque, que generalmente termina siendo silencioso y encubierto por conexiones habilitadas y autorizadas (Culot, Fattori, Podrecca & Sartor, 2019).

Si bien la transformación digital es un proceso que habilita una dinámica ágil y eficiente de las experiencias de las personas, dadas las condiciones y necesidades actuales y futuras (HBR, 2019), es necesario que se incorporen y analicen los retos y capacidades requeridas, para dar cuenta con el apetito de riesgo de la empresa, para incorporar las innovaciones que demandan sus clientes, y así  conectar con los exigentes objetivos estratégicos empresariales, que buscan posicionar a la empresa en un lugar privilegiado de su mercado definido.

 

Propuestas para enfrentar los pronósticos 2021

1. Cultura organizacional de seguridad de la información – COSI

Si hay un año donde las personas tendrán  más relevancia en el contexto de la seguridad y el control será a partir del año entrante dada la alta dependencia de las acciones humanas para el desarrollo de las operaciones de las empresas. Un mayor trabajo remoto, el uso masivo de medios de comunicación, las reuniones bajo la modalidad de videoconferencia, los sitios para compartir información, entre otras actividades, harán evidente el nivel de compromiso, conocimiento, entendimiento y apropiación que los individuos tienen sobre el valor de la información de la empresa.

Tener claridad sobre el nivel de madurez de la COSI deberá ser un indicador clave en la gestión y gobierno de la ciberseguridad/seguridad de la empresas, dado que en la medida que la madurez no avance, la posibilidad que se estanque o retroceda será el riesgo más relevante que se deberá mitigar y anticipar, para continuar incubando los nuevos pivotes que los atacantes van a aprovechar por cuenta del eslabón más fatigado de la cadena: las personas (Cano, 2019).

2. Desarrollo de Playbooks o “libros de jugadas”

Dado que tarde o temprano el atacante tendrá éxito se hace necesario desarrollar estrategias distintas para el tratamiento de los riesgos. Más allá de establecer medidas de mitigación técnicas, es necesario reconocer una vista holística de la dinámica que representa la materialización de un evento adverso, para no actuar de forma errática, que es lo que pretende en últimas el atacante (Bollinger, Enright & Valites, 2015).

Por tanto, diseñar, desarrollar y simular un playbook establece una forma alterna de atender el incierto que generar dicho evento lo que lo define en sí mismo como:

  • una estrategia para actuar de forma coordinada,
  • una estructura para la toma de decisiones,
  • una respuesta a escenarios conocidos y latentes,
  • una forma de gestionar riesgos.

3. Aseguramiento de API – Application Program Interfase

La transformación digital que se adelanta por las organizaciones a nivel global está habilitada técnicamente hablando por terceros de confianza clave y por el uso de API, como fuente de interconexión entre los dispositivos y mecanismos en manos de las personas, y las infraestructuras de los terceros o las organizaciones. En este sentido, el aseguramiento y resistencia a los ataques que deben surtir las API deberán ser parte de la pruebas de mal uso que éstas deben soportar para concretar un nivel de confiabilidad mayor al que se tiene en la actualidad (Ponemon-CyberGRX, 2020).

En consecuencia, se deben tomar las mejores prácticas disponibles a la fecha como pueden ser las guías del OWASP, el SANS o el CISecurity, combinadas con marcos de trabajo para modelar amenazas con el fin de elevar el nivel de confiabilidad de la ejecución de estos mecanismos, y así mejorar la confianza digital necesaria para motivar mejores experiencia en los clientes.

4. Simulaciones y juegos de guerra

Las organizaciones que mejor estén preparadas para asumir el incierto que genera un evento adverso por cuenta de la acelerada transformación digital, son las que mejor van a mantenerse en un escenario altamente conectado. Por tanto, se hace necesario practicar y exponer con frecuencia a la organización a este tipo de contextos a través de simulaciones y juegos de guerra (incluyendo a los terceros claves en su cadena de suministro), como una forma de preparar las respuestas y habilitar a la empresa para enfrentar las inestabilidades que ocasiona estas situaciones (Cano, 2020).

En estos ejercicios se requiere la participación de toda la organización, con el fin de abordar la totalidad de la dinámica empresarial y de esta manera, todos los diferentes perfiles sabrán qué hacer para mantener una actuar y accionar coordinado de la empresa, haciendo más resistente a la organización como un todo, y limitando la configuración zonas grises o puntos ciegos de respuesta, donde un tercero lo suficientemente motivado y entrenado puede exponer la reputación corporativa por un “no sabía que debía hacer”.

5. Habilitar la resiliencia cibernética

Muchos informes ya no hablan de la probabilidad de un ciberataque, sino de cuándo va a ocurrir. Un ciberataque está diseñado para crear incierto e inestabilidad en el modelo de seguridad y control de una organización, con lo cual ninguna organización está exenta de manejar y superar un acción agresiva como esta. Así las cosas, toda empresa requiere ajustar sus modelos de operación basados en mitigación de riesgos, a una lectura de umbrales de operación que le permitan márgenes de actuación y estrategias de resistencia y recuperación eficientes a pesar de haber sido impactadas (Björck, Henkel, Stirna & Zdravkovic, 2015).

De manera que,  se requiere desarrollar y habilitar la resiliencia cibernética (ciber-resiliencia) como una capacidad organizacional requerida para anticipar, resistir, recuperar, aprender y evolucionar frente a la materialización de eventos cibernéticos adversos, y continuar asegurando la promesa de valor empresarial protegiendo la reputación de la compañía. Lo anterior, demanda comprender la dinámica corporativa de forma holística y ecosistémica para configurar una protección dinámica por capas y así proveer estrategias de “falla segura”, como un requisito básico que reconoce el error como parte del proceso y no como resultado (Bodeau, Graubart, Heinbockel & Laderman, 2015; Denyer, 2017).

 

Reflexiones finales

Desarrollar reflexiones alrededor de posibles pronósticos de seguridad/ciberseguridad para los próximos 365 días, es siempre una apuesta incierta comoquiera que muchas veces es posible quedar asombrados por una “sorpresa predecible” como la emergencia sanitaria que tenemos en la actualidad, amenazados por “misiles balísticos nucleares” oxidados y sin mantenimiento en algunas zonas del mundo, por una “guerra híbrida” que se desarrolla por debajo del nivel de la fuerza, por un mal uso de tecnologías emergentes que cambian y afectan la dinámica de las sociedades abiertas y democráticas, o por cambios climáticos inesperados que terminan con desastres que afectan una comunidad local o todo el mundo (Cano, 2020; WEF, 2020).

Por tanto, las apuestas desarrolladas en este documento no buscan marcar un camino o convertirse en referente de toma de decisiones, sino convertirse en una excusa académica y práctica que motive un diálogo estratégico al interior de las organizaciones, para darle forma a los escenarios que se pueden plantear a partir de esta propuesta, y así, definir algunas prioridades de acción particulares y propias, para movilizar de forma prospectiva a las empresas en medio de las volatilidades que se ven delante de la curva.

Los pronósticos de seguridad/ciberseguridad son un ejercicio que buscan detectar algunos patrones de actividad relevante para los modelos de seguridad y control de las empresas. Si bien no son exactos, como son los pronósticos del clima, si buscan configurar un mapa parcial de reconocimiento sobre un territorio de inciertos y cambios permanentes para triangular las posibles posiciones de los adversarios y así, crear inestabilidades en sus modelos de gestión de riesgos (Raban & Hauptman, 2018).

Muchos teóricos y académicos coinciden que no es posible “predecir” el futuro, por lo tanto todos aquellos ejercicios que permitan ver opciones y oportunidades en prospectiva serán de utilidad para mejorar la imaginación, aumentar las posibilidades y así darle mejor forma al futuro, desde el presente. En este sentido, los pronósticos que se plantean en este texto sólo son parte de ese insumo para pensar e imaginar, pues ya cada uno de los lectores tendrá el reto de darle forma concreta en las circunstancia de tiempo, modo y lugar en cada una de sus organizaciones.

Referencias

Björck, F., Henkel, M., Stirna, J. & Zdravkovic, J. (2015). Cyber Resilience – Fundamentals for a Definition.  En Á. Rocha et al. (eds.) New Contributions in Information Systems and Technologies. Advances in Intelligent Systems and Computing 353. 311-316. Doi: 10.1007/978-3-319-16486-1_31

Bodeau, D., Graubart, R., Heinbockel, W. & Laderman, E. (2015). Cyber Resiliency Engineering Aid –The Updated Cyber Resiliency Engineering Framework and Guidance on Applying Cyber Resiliency Techniques. MITRE Corporation.  De: https://www.mitre.org/sites/default/files/publications/pr-15-1334-cyber-resiliency-engineering-aid-framework-update.pdf

Bollinger, J., Enright, B. & Valites, M. (2015). Crafting the InfoSec Playbook. Sebastopol, CA. USA: O’Reilly.

Cano, J. (2019). The Human Factor in Information Security: The Weakest Link or the Most Fatigued? ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2019/Volume-5/Pages/the-human-factor-in-information-security.aspx

Cano, J. (2020). Retos de seguridad/ciberseguridad en el 2030. Reflexión sobre un ejercicio prospectivo incompleto. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. No. 154. 68-79. https://doi.org/10.29236/sistemas.n154a7

Culot, G., Fattori, F., Podrecca, M. & Sartor, M. (2019). Addressing Industry 4.0 Cybersecurity Challenges. IEEE Engineering Management Review. 47(3). 79-86. Doi: 10.1109/EMR.2019.2927559

Denyer, D. (2017). Organizational resilience. A summary of academic evidence, business insights and new thinking. BSI-Crandfield University. De: https://www.cranfield.ac.uk/som/case-studies/organizational-resilience-a-summary-of-academic-evidence-business-insights-and-new-thinking

Europol (2020). Internet organised crime threat assessment. Report. https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2020

HBR (2019). IT Talent strategy: new tactics for a new era. CIOs Share How to Compete in 2020 and Beyond. White Paper. Harvard Business Review. Analytic Services

Interpol (2020). Cybercrimen: Covid-19 Impact. August. Report. De: https://www.interpol.int/es/content/download/15526/file/COVID-19%20Cybercrime%20Analysis%20Report-%20August%202020.pdf

Jones, K. (2019). Online Disinformation and Political Discourse. Applying a Human Rights Framework. Research Paper. Chatham House. London, UK. https://www.chathamhouse.org/publication/online-disinformation-and-political-discourse-applying-human-rights-framework

Mazarr, M., Bauer, R., Casey, A., Heintz, S. & Matthews, L. (2020). The Emerging Risk of Virtual Societal Warfare. Social Manipulation in a Changing Information Environment. Rand Corporation. https://doi.org/10.7249/RR2714  

Ponemon-CyberGRX (2020). Digital transformation & cyber risk. What you need to know to stay safe. Sponsored by CyberGRX. https://get.cybergrx.com/ponemon-report-digital-transformation-2020

Raban, Y. & Hauptman, A. (2018). Foresight of cyber security threat drivers and affecting technologies. Foresight. 20(4). 353-363. https://doi.org/10.1108/FS-02-2018-0020

Valdez-de-Leon, O. (2019). How to Develop a Digital Ecosystem: a Practical Framework. Technology Innovation Management Review. 9(8): 43-54. http://doi.org/10.22215/timreview/1260

Vuggumudi, S. & Wang, Y. (2020). Sophisticated tools alone cannot prevent advanced persistent threats: What’s next? ISSA Journal. June. 33-39 

WEF (2020). The Global risk report 2020. World Economic Forum. Report. https://www.weforum.org/reports/the-global-risks-report-2020