sábado, 16 de enero de 2021

Educar en ciberriesgos. El reto de una sociedad en transformación digital

Introducción
En los primeros días del año los inciertos y las inestabilidades globales abundan. Eventos como la confusión geopolítica generada por las intrigas y eventos recientes en Norteamérica, los avances silenciosos del Partido Comunista Chino (PCC) en la preparación de un “yuan digital” con proyección global (Barría, 2020), la brecha de seguridad materializada a través de un tercero en el Banco Central de Nueva Zelanda (Reuters, 2021) y el caso altamente visible del compromiso uno de los proveedores de software (SolarWinds) de varias agencias del gobierno norteamericano (Schwartz, 2021), muestran como lo confirma el reciente reporte del CIDOB (Soler, 2020) que este año estará marcado por la incertidumbre.

Frente a la incertidumbre se hace necesario salir a explorar diferentes alternativas y escenarios para establecer estrategias que habiliten identificar aquellas claves, con el fin de tomar las iniciativas concretas que permitan dar cuenta con el contexto de volatilidad que se plantea en la actualidad. En este sentido, los eventos que marcan el inicio de este año deben llevar a las organizaciones y ejecutivos de seguridad/ciberseguridad a actualizar sus marcos de trabajo para pasar del “proteger y asegurar” (que hay que mantener para aquello conocido) al “defender y anticipar” (de aquello que no conoce, ni sabe) con el fin de explorar y analizar las inestabilidades y establecer una postura de seguridad y defensa sensible a los cambios y las promesas de valor para sus clientes.

Más allá de ser el custodio del modelo de generación de valor de la empresa, la seguridad de la información se debe convertir en la base de la dinámica y relacionamiento intraempresarial, como fundamento del aseguramiento de los flujos de información que se desarrollan a su interior, lo que supone descubrir, analizar, intervenir y actualizar los imaginarios sociales que se tienen alrededor de la protección de la información (Cano, 2016). Tener la lectura de éstos imaginarios permite establecer el asidero fundamental para avanzar en la construcción de una cultura organizacional de seguridad de la información (COSI) que se convierta en el pilar clave para asumir el incierto como insumo para trazar una ruta de navegación en medio de los vientos y tormentas que puedan generar los adversarios.

La mayoría de las brechas de seguridad que se han revelado a nivel internacional corresponden a engaños exitosos o acciones realizadas por las personas alrededor de la protección de la información, comportamientos frente a las aplicaciones o reacciones de los individuos frente a realidades que confrontan la lógica, la confianza y la desinformación sobre eventos concretos. En este sentido, cuanta mayor distracción se genere en el entorno, menor será la capacidad de atención y alerta frente a situaciones que puedan ser sospechosas y así, habilitar un espacio para concretar un pivote de acceso que termine en una brecha de seguridad en una organización (Campbell, O’Rourke & Bunting, 2015).

En consecuencia, este breve documento introduce la necesidad urgente de educar a la ciudadanía en general sobre los ciberriesgos, como la nueva frontera de retos del entorno digital, donde los adversarios buscan crear contextos de inestabilidad que aprovechan desde los engaños, la desinformación, manipulación de mensajes, el pánico, el incierto y la sensación “fuera de control” para que se actúe de forma errática e inesperada, y así tener mayor margen de acción fuera del marco general de los sensores de control disponibles en las organizaciones.

¿Qué son los ciberriesgos (riesgos cibernéticos)? Definiendo un escenario con blanco móvil
Los ciberriesgos son riesgos que tienen al menos tres características claves: son sistémicos (tienen efecto en cascada), emergentes (surgen como fruto del nivel de acoplamiento e interacción de diversos componentes) y disruptivos (generan efectos inesperadas la dinámica del sistema), los cuales están presentes en el entorno ciberfísico, lo que se traduce en una convergencia entre lo físico, lo lógico y lo biológico, como fundamento de la dinámica de la cuarta revolución industrial (Cano, 2019).

En este sentido, la materialización de un ciberriesgo, más allá del aprovechamiento de una falla o vulnerabilidad de uno de sus componentes, puede generar afectación a nivel de la persona, la sociedad, las organizaciones y las naciones, dada su condición sistémica. Esto es, que a diferencia de los impactos focalizados que se pueden concretar a nivel de la seguridad de la información al interior de la organización, los ciberriesgos se propagan y evolucionan dependiendo del nivel de convergencia, acoplamiento e interacción que se tenga en un contexto particular (Perrow, 1999).

Mientras los riesgos propios de la seguridad de la información son la base conceptual para comprender los ciberriesgos, éstos últimos se configuran y transforman de formas distintas. Lo anterior implica reconocer las relaciones y conexiones que se tienen entre el mundo físico, lógico y biológico, así como la confiabilidad de los flujos de información y el aseguramiento de los mismo, con el fin de contar con una vista ampliada de las interacciones y posibles efectos que se pueden presentar si algo no sale como estaba planeado o surge una relación que no estaba documentada inicialmente.

Por tanto, la base de la comprensión de los ciberriesgos es el entendimiento de las incertidumbres claves que se pueden presentar como pueden ser: a) no saber qué va a pasar, ni que tan probable son los resultados, b) contar información imprecisa, insuficiente o contradictoria y c) no tener el conocimiento requerido (Menon & Kyung, 2020). Bajo este entendido, se requiere que los individuos entiendan que habrá riesgos que no podrán “ver o anticipar” y desarrollar un apetito de riesgo basado en su capacidad y tolerancia a estos eventos para plantear su respuesta.

Así las cosas, parte de la educación de las personas en el tema de ciberriesgos pasa por una comprensión del riesgo cibernético y la predisposición cultural hacia la reducción de los riesgos de seguridad (Mee, Brandenburg & Lin, 2020), así como por las habilidades necesarias para estar atentos frente a eventos, que aun siendo normales, puedan generar sospecha de algo no está funcionando de acuerdo con lo esperado. En consecuencia, las estrategias que se generen para educar a las personas en estos temas deberán privilegiar una mirada interdisciplinar y un pensamiento sistémico como base de aquellas preguntas que serán el asidero de la “ciberhigiene” necesaria para aumentar la resistencia a los ataque de los adversarios.

¿Cómo educar a las personas frente al riesgo cibernético? Un ejercicio más allá de enseñar un cúmulo de temas
Si aceptamos que educar, como lo afirma John Ruskin, “no significa enseñarle algo a una persona que no sabía, sino transformarlo en una persona que no existía”, el reto en la educación de ciberriesgos se traduce inicialmente en sorprender a las personas sobre las realidades y desafíos del entorno ciberfísico, para desde allí conectar con sus saberes previos y motivar el desarrollo de mejores preguntas, y no ofrecer muchas respuestas.

Es desde esta perspectiva, desde las preguntas propias de las personas alrededor del nuevo entorno ciberfísico donde se inicia el proceso de construcción y conexión de los saberes previos de las personas, para desarrollar nuevos constructos de conocimientos y prácticas, que irán más allá de seguir una receta (propia de las prácticas particulares de seguridad de la información) para configurar criterios de toma de decisiones que privilegiarán sus propias inquietudes, las reflexiones que hagan alrededor del tema, los diferentes puntos de vista de otros participantes y sus certezas básicas.

Esta tipo de estrategia educativa no está fundada en el desarrollo de competencias mecánicas que todos los participantes deben repetir para asegurar que “han sido educados” y “han aprobado” un cuerpo de conocimientos, sino en el reconocimiento del contexto particular de cada persona, sus inquietudes más relevante y frecuentes alrededor de los ciberriesgos, y las relaciones que tiene con su diferentes grupos de interés dentro de una comunidad. Por tanto, el aprender sobre ciberriesgos implica exponerse a distintos escenarios no convencionales y evaluar la respuesta de la persona que considere al menos su apetito al riesgo, las prácticas vigentes de seguridad y control, y el nivel comodidad o incomodidad frente al incierto (Cano, 2016).

De esta forma, no sólo se podrá confrontar todo el tiempo aquello que ha aprendido en ejercicios anterior, sino que irá desarrollando nuevas posturas o enriqueciendo otras, de tal forma que se genere una postura de seguridad y control, que no sólo responda a las prácticas establecidas en los estándares, sino que se ajusta a la realidad y contexto vigente lo que implica reconocer el carácter volátil e incierto de los riesgos cibernéticos en el escenario actual. 

Tratar de formar competencias (conocimiento estandarizado) para tratar los ciberriesgos, es limitar la incertidumbre natural de este tipo de riesgos, creando una opacidad en el análisis y comprensión de los mismos, comoquiera que no existen a la fecha respuestas estándares que den cuenta con la dinámica del riesgo cibernético y los impactos de su materialización. Así las cosas, los esfuerzos de educación deberán iniciar desde el estudio de la mente del atacante y sus recursos, para luego compartir de forma colectiva propuestas con sus pares del entorno, y desde allí, producir las acciones pertinentes a la situación que se tiene en el momento (Cano, 2016).
 
Lo anterior  implica “superar la primacía de las relaciones de causa y efecto como marco explicativo” (Calvo, 2017, p.73) y abrir las fronteras al pensamiento sistémico y complejo, donde las causalidades se multiplican y entrelazan de manera imprevisibles. En consecuencia, se hace evidente la necesidad de una alfabetización sistémica (Booth, s.f.), como fundamento para "disoñar" (diseñar y soñar) (Calvo, 2016) propuestas alternativas y novedosas que no teman a la equivocación ni a la ignorancia.

Reflexiones finales
Los entrenamientos o formación en temas de seguridad de la información, basado en listados de temas a cubrir, aplicación de controles fundados en los estándares, sumando a la técnica del “miedo” (si no haces esto o aquello, podrás ser sancionado), terminan creando una espiral decreciente de aprendizaje que moviliza el imaginario de las personas sobre la seguridad de la información, como una temática que es una responsabilidad de la empresa y por lo tanto, es algo que otros hacen por ella.

En este escenario se deja de construir una red interna de alerta y protección, que configura una vez más a los temas de protección de la información como una temática técnica que está fuera del alcance de las personas del común. Por tanto, educar en los retos de los riesgos cibernéticos, demanda una formación básica en las prácticas de la seguridad de la información, para luego movilizarse al contexto de un entorno digital interconectado y convergente (ISO, 2020), donde el riesgo es parte natural de su dinámica, y las personas toman decisiones frente al incierto que esto genera.

Es así, que la educación en el riesgo cibernético exige una reflexión interdisciplinar que conecte diferentes puntos de vista, impactos y acciones que permitan a las personas movilizarse mejor en medio de la incertidumbre (Huerta, Pérez, Zambrano & Matsui, 2014), para lo cual se hace necesario reconocer las opciones y apuestas de los adversarios, construir de forma colectiva alternativas de acción y tomar la decisiones que correspondan en el momento adecuado. 

Lo anterior supone, “ejercitar la sospecha sobre aquello que se nos muestra como aparentemente lógico, verdadero y coherente” (Medina, 2008, p.164), para sumergirse en un mundo de incertidumbres donde son importantes las preguntas y no las respuestas; una oportunidad para “liberarse del encadenamiento a un concepto lineal, que obliga a repetir afirmaciones dichas por otros” (Calvo, 2016, p.30).

Referencias
  • Barría, C. (2020). La nueva moneda digital que China está probando y que sitúa al país a la cabeza de la carrera mundial de las divisas virtuales. BBC News Mundo. https://www.bbc.com/mundo/noticias-51483218  
  • Booth, L. (s.f.) Food systems, climate systems, laundry systems: the time for systems literacy is now! The systems thinker. Recuperado de: https://thesystemsthinker.com/%ef%bb%bffood-systems-climate-systems-laundry-systems-the-time-for-systems-literacy-is-now/ 
  • Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
  • Calvo, C. (2017) ingenuos, ignorantes, inocentes. De la educación informal a la escuela autoorganizada. La Serena, Chile: Editorial Universidad de la Serena.
  • Campbell, S., O’Rourke, P. & Bunting, M. (2015) Identifying Dimensions of Cyber Aptitude: The Design of the Cyber Aptitude and Talent Assessment. Proceedings of the Human Factors and Ergonomics Society 59th Annual Meeting. 721-725. https://doi.org/10.1177/1541931215591170 
  • Cano, J. (2016) La educación en seguridad de la información. Reflexiones pedagógicas desde el pensamiento de sistemas. Memorias 3er Simposio Internacional en Temas y problemas de Investigación en Educación: Complejidad y Escenarios de Paz. Universidad Santo Tomás. Bogotá, Colombia. Agosto 25 a 27. https://www.researchgate.net/publication/321197873_Riesgo_y_seguridad_Un_continuo_de_confianza_imperfecta 
  • Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 151. 63-73. Doi: https://doi.org/10.29236/sistemas.n151a5
  • Huerta, J., Pérez, I., Zambrano, R., & Matsui, O. (2014). Pensamiento complejo en la enseñanza por competencias profesionales integradas. Guadalajara, Jalisco. México: Universidad de Guadalajara
  • ISO (2020) ISO/IEC Technical Specification 27100:2020 Information technology — Cybersecurity — Overview and concepts
  • Medina, J. (2010) El desaprendizaje: Aproximación conceptual y notas para un método reflexivo de generación de saberes profesionales. En Armengol, C. y Gairín, J. (2010) Estrategias de formación para el cambio organizacional. Madrid, España: Wolters Kluwer.
  • Mee, P., Brandenburg, R. & Lin, W. (2020) Global Cyber Risk Literacy and Education Index. A measurement of population development toward understanding cyber risk. Oliver Wyman Forum. https://www.olverwymanforum.com/cyber-risk/cyber-risk-literacy-education-index.html
  • Menon, G. & Kyung, E. (2020). When More Information Leads to More Uncertainty. Harvard Business Review. De: https://hbr.org/2020/06/when-more-information-leads-to-more-uncertainty
  • Perrow, C. (1999) Normal accidents. Living with High-Risk Technologies. Princeton, NJ. USA:  Princeton University Press.
  • Reuters (2021). New Zealand central bank says its data system was breached. https://www.reuters.com/article/us-newzealand-economy-rbnz/new-zealand-central-bank-says-its-data-system-was-breached-idINKBN29F010 
  • Schwartz, M. (2021). 'SolarLeaks' Site Claims to Offer Attack Victims' Data. InfoRisk Today. https://www.inforisktoday.com/solarleaks-site-claims-to-offer-attack-victims-data-a-15751 
  • Soler, E. (2020). El mundo en 2021: diez temas que marcarán la agenda internacional. CIDOB Notes Internationals. 243. https://www.cidob.org/publicaciones/serie_de_publicacion/notes_internacionals_cidob/243/el_mundo_en_2021_diez_temas_que_marcaran_la_agenda_internacional

lunes, 19 de octubre de 2020

Pronósticos de seguridad/ciberseguridad 2021. Reflexiones en medio de un entorno asimétrico e inestable.

 Introducción

Las tensiones globales que se han generado por cuenta de la emergencia sanitaria internacional y la revelación de nuevos actores en la carrera geopolítica para concretar una vacuna que permita inmunizar a la población mundial, establece los inéditos “normales” emergentes de la dinámica social, económica, tecnológica y política que cambia la aparente calma que se tenía antes del mes de marzo del 2020.

Este escenario asimétrico e inestable plantea desafíos emergentes y novedosos que confunden y retan los mejores pronósticos de los analistas internacionales sobre lo que puede suceder en los próximos años. Mientras el virus continúe sin un mecanismo de contención efectivo, habrá muchos espacios para mantener la desinformación, los inciertos, los miedos y la manipulación de la información en las relaciones sociales, con impactos inesperados y no previstos en los demás sectores de sociedad (Interpol, 2020).

Así las cosas, establecer una marco de trabajo para ilustrar un pronóstico acerca de la seguridad/ciberseguridad para el 2021 resulta una apuesta compleja y ambigua, que más que tratar de acertar en un blanco en movimiento, busca identificar algunos patrones y tendencias que marcan la diferencia en el escenario actual, sin perjuicio de su actualización posterior, dada la volatilidad de las condiciones y los cambios que se van a suscitar en el desarrollo de los próximos 365 días.

La seguridad/ciberseguridad como conceptos complementarios y convergentes en la actualidad, plantean desafíos para los profesionales de seguridad y control tradicionales, comoquiera que rompen con la acostumbrada lectura técnica de los mismos, habida cuenta que el valor de la información se configura cada vez más como ese elemento fundamental que atraviesa la estrategia de las organizaciones, lo cual motiva una transición de habilidades y capacidades basadas en la protección de los datos, ahora centradas en las personas y el tratamiento de la información.

Para realizar este ejercicio se han consultado diversas fuentes de información especializadas, documentos elaborados por centros de pensamiento, artículos científicos, comentarios de expertos en el tema y sobremanera una visualización de líneas de acción que se reiteran al cruzar los datos recolectados hasta la fecha. En este sentido, este documento presenta una propuesta incompleta y limitada de las condiciones y retos que la seguridad/ciberseguridad puede manifestar para el año siguiente.

En consecuencia, las reflexiones que se plantean a continuación representan un mapa incompleto sobre un territorio inestable y cambiante, que trata de ubicar algunos puntos de referencia para construir posturas y tomar decisiones sobre seguridad/ciberseguridad de las organizaciones modernas, ahora más expuestas y abiertas que antes, dada la acelerada digitalización de sus procesos y la transformación digital de su modelos de negocio.


Pronósticos de seguridad/ciberseguridad 2021

A continuación se presentan los cinco (5) pronósticos que se advierten para el 2021 en las temáticas de seguridad/ciberseguridad, así como algunos temas complementarios que apalacan dinámicas particulares que pueden ser de interés para las organizaciones y las naciones en general.

1. El fearwareUn escenario de manipulación social

El uso masivo de redes sociales y mecanismos de acceso a información es una tendencia que confirma el aumento de la conectividad en la sociedad y la democratización de los servicios y productos digitalmente modificados. El uso extensivo a nivel de global de dispositivos “inteligentes” y ecosistemas digitales revela el aumento de flujos de información conocidos y desconocidos que ahora hacen parte de la lectura social del mundo actual (Valdez-de-Leon, 2019).

Con ocasión de la emergencia sanitaria se ha producido un tsunami de información y desinformación que advierte una dinámica de inciertos y contradicciones, la cual termina afectando y reconfigurando los imaginarios de las personas. Dichos cambios generan emociones y sentimientos de miedo, dudas y ansiedad que son capitalizados por agentes nocivos, para crear desestabilización, desconcierto y erosión de la confianza con el fin de marcar una agenda oculta de intereses que pasa desapercibida frente a los titulares de la realidad (Jones, 2019).

El fearware, como estrategia consolidada de la manipulación social, es la base de una guerra social virtual, donde diferentes actores toman posiciones y generan tendencias para movilizar a la población respecto de una temática particular, para desestabilizar naciones, para debilitar o manejar democracias, para concretar operaciones encubiertas que impacten las representaciones sociales y sobremanera, como una nueva amenaza a la integridad de la información, donde el reto y objetivo del adversario, es y será erosionar la confianza y la confiabilidad de una opinión informada (Mazarr, Bauer, Casey, Heintz & Matthews, 2020).

2. La cadena de suministro – Los terceros de des(confianza)

Los adversarios han venido observando y analizando que las empresas cada vez más dependen de terceros para operar. Con el escenario actual, muchas de ellas tuvieron que migrar rápidamente para contar con proveedores de servicios en la nube y algunos otras, ampliar sus contratos con los terceros para manejar, entre otros temas, servicios de monitoreo y control de sus plataformas (Europol, 2020).

Los atacantes han evidenciado que las empresas han fortalecido sus perímetros de seguridad y control, así como sus estrategias de monitorización y analítica, lo cual no les permite concretar parte de su estrategia natural para “pasar desapercibidos” y crear el incierto en los modelos de protección vigentes. En esa lectura, saben que deben continuar buscando aquel sitio que puedan ubicar con el menor nivel de aseguramiento y desde allí, establecer el pivote requerido para apalancar sus acciones contrarias (Ponemon-CyberGRX, 2020).

Casos recientes demuestran que los terceros que apoyan las organizaciones, cuentan con prácticas de seguridad y control que no están armonizadas con las de sus clientes, mantienen una visión de “isla” independiente basada en los términos y condiciones del contrato, y pocas veces se hace seguimiento sobre la realidad misma de sus estándares y posturas de protección de sus infraestructuras. En este sentido, se convierten en los nuevos focos de atención de los atacantes, como estrategia para llegar a organizaciones claves para ingresar sin ser notados y basados, muchas veces, en conexiones autorizadas desde aplicaciones debidamente registradas por sus clientes.

3. El secuestro de datos – Una amenaza vigente y latente

Los datos y la información se han convertido en uno de los activos más importantes de las organizaciones en la actualidad. Reconocer donde se ubican aquellos que resultan más valiosos y saber cómo se están protegiendo, debería ser una prioridad para las organizaciones del siglo XXI. Sin embargo, muchas veces la información de mayor relevancia termina en los lugares menos indicados o más inesperados, comoquiera que su uso resulta de manejo diario o muchas veces compartido entre diferentes personas.

En este contexto, los activos críticos de información terminan expuestos a las prácticas propias de las personas que son sus custodios naturales y por lo tanto, no es la probabilidad de la materialización de un evento adverso, lo que cuenta, sino la posibilidad concreta de una brecha o un secuestro de los mismos con ocasión de un “click” o una “descarga” de un archivo que venía adjunto a un correo electrónico, un enlace a un sitio no conocido o un mensaje en un sistema de mensajería con una url maliciosa (Vuggumudi & Wang, 2020).

El ransomware como ese código malicioso que se descarga e instalada en el sistema informático, sólo tiene que ser paciente para esperar su oportunidad, para concretar el pivote que necesita para desplegar las acciones necesarias que permitan tomar el control del dispositivo, para deshabilitar las medidas de seguridad, establecer posiciones en la infraestructura donde está conectada la máquina y ejecutar sus rutinas de cifrado escalonado que termina con el temible anuncio del pago de una extorsión (Europol, 2020).

4. El modo “radar” y el modo “crisis” – Dos capacidades claves

Considerando las inestabilidades actuales a nivel global y local, los ejecutivos de seguridad poco le ayudan contar con la implementación de prácticas y estándares internacionales para anticipar o pronosticar nuevas formas de ataques o estrategias emergentes para comprometer las medidas de seguridad vigentes en las empresas. En este sentido, debe activar el modo “radar” que le permitan no solamente revisar lo que le indican las alertas de eventos conocidos, sino comenzar a establecer patrones de amenazas en medio de los datos hasta ahora consolidados tanto por el servicio de SOC (Security Operation Center), como por los mecanismos instalados en su perímetro de seguridad (Ponemon-CyberGRX (2020).

El modo “radar” lo que le  permite es establecer un marco de revisión y exploración que lo habilita para monitorizar sus contornos, buscando inconsistencias, rarezas y contradicciones que le indiquen que algo fuera de lo común ocurre y que deberá revisar para establecer el nivel de atención que merece tal “anormalidad”. En consecuencia, las organizaciones deben tener claridad de lo que significa que algo funciona de forma “normal” con lo cual cualquier evento que se revele más allá de los umbrales definidos, sea catalogado como “inusual” y luego de su revisión y validación, pasar a ser “sospechoso” para su exploración en profundidad.

Si bien el modo “radar” es relevante y clave, pueden pasar desapercibidos eventos que terminen comprometiendo el modelo de seguridad y control de la organización, por lo tanto deberá tener listo el modo “crisis”, que lo que conlleva es un tratamiento de riesgos que no solo busca mitigar los impactos del eventos, sino moverse de forma coordinada para evitar caer en el juego del atacante, y responder con un “libro de jugadas” (playbook) claro (Bollinger, Enright & Valites, 2015), que cierre la brecha de inciertos que la situación pueda ocasionar.

5. Aceleración digital – Mayor superficie de ataques

No hay duda que la emergencia sanitaria internacionales aceleró la transformación digital de las empresas, muchas de ellas de forma accidentada y por lo tanto, con muchos vacíos desde la perspectiva de seguridad y control. Se pasó de forma urgente de un modelo centralizado de operaciones y aseguramiento, a uno ampliamente basado en terceros (desconectados del marco de seguridad empresarial), con una cultura organizacional de seguridad de la información basada en personas informadas (algunos más conscientes que otras) y con un marco de trabajo en casa que responde a la práctica individual de higiene informática vigente en el hogar.

Este escenario plantea una superficie de conectividad e interacción digital que privilegia la funcionalidad sobre los mínimos de seguridad y control requeridos para un trabajo remoto. Lo anterior, habilita el escenario para crear un tejido digital con numerosos puntos de acceso y posibilidades, que un adversario puede aprovechar desde la inherente y natural forma de actuar de los individuos, hasta las vulnerabilidades técnicas de las plataformas utilizadas por los terceros o sus protocolos, los cuales pueden no estar actualizados o no parchados, lo que sugiere múltiples puntos candidatos para ser pivotes de un ataque, que generalmente termina siendo silencioso y encubierto por conexiones habilitadas y autorizadas (Culot, Fattori, Podrecca & Sartor, 2019).

Si bien la transformación digital es un proceso que habilita una dinámica ágil y eficiente de las experiencias de las personas, dadas las condiciones y necesidades actuales y futuras (HBR, 2019), es necesario que se incorporen y analicen los retos y capacidades requeridas, para dar cuenta con el apetito de riesgo de la empresa, para incorporar las innovaciones que demandan sus clientes, y así  conectar con los exigentes objetivos estratégicos empresariales, que buscan posicionar a la empresa en un lugar privilegiado de su mercado definido.

 

Propuestas para enfrentar los pronósticos 2021

1. Cultura organizacional de seguridad de la información – COSI

Si hay un año donde las personas tendrán  más relevancia en el contexto de la seguridad y el control será a partir del año entrante dada la alta dependencia de las acciones humanas para el desarrollo de las operaciones de las empresas. Un mayor trabajo remoto, el uso masivo de medios de comunicación, las reuniones bajo la modalidad de videoconferencia, los sitios para compartir información, entre otras actividades, harán evidente el nivel de compromiso, conocimiento, entendimiento y apropiación que los individuos tienen sobre el valor de la información de la empresa.

Tener claridad sobre el nivel de madurez de la COSI deberá ser un indicador clave en la gestión y gobierno de la ciberseguridad/seguridad de la empresas, dado que en la medida que la madurez no avance, la posibilidad que se estanque o retroceda será el riesgo más relevante que se deberá mitigar y anticipar, para continuar incubando los nuevos pivotes que los atacantes van a aprovechar por cuenta del eslabón más fatigado de la cadena: las personas (Cano, 2019).

2. Desarrollo de Playbooks o “libros de jugadas”

Dado que tarde o temprano el atacante tendrá éxito se hace necesario desarrollar estrategias distintas para el tratamiento de los riesgos. Más allá de establecer medidas de mitigación técnicas, es necesario reconocer una vista holística de la dinámica que representa la materialización de un evento adverso, para no actuar de forma errática, que es lo que pretende en últimas el atacante (Bollinger, Enright & Valites, 2015).

Por tanto, diseñar, desarrollar y simular un playbook establece una forma alterna de atender el incierto que generar dicho evento lo que lo define en sí mismo como:

  • una estrategia para actuar de forma coordinada,
  • una estructura para la toma de decisiones,
  • una respuesta a escenarios conocidos y latentes,
  • una forma de gestionar riesgos.

3. Aseguramiento de API – Application Program Interfase

La transformación digital que se adelanta por las organizaciones a nivel global está habilitada técnicamente hablando por terceros de confianza clave y por el uso de API, como fuente de interconexión entre los dispositivos y mecanismos en manos de las personas, y las infraestructuras de los terceros o las organizaciones. En este sentido, el aseguramiento y resistencia a los ataques que deben surtir las API deberán ser parte de la pruebas de mal uso que éstas deben soportar para concretar un nivel de confiabilidad mayor al que se tiene en la actualidad (Ponemon-CyberGRX, 2020).

En consecuencia, se deben tomar las mejores prácticas disponibles a la fecha como pueden ser las guías del OWASP, el SANS o el CISecurity, combinadas con marcos de trabajo para modelar amenazas con el fin de elevar el nivel de confiabilidad de la ejecución de estos mecanismos, y así mejorar la confianza digital necesaria para motivar mejores experiencia en los clientes.

4. Simulaciones y juegos de guerra

Las organizaciones que mejor estén preparadas para asumir el incierto que genera un evento adverso por cuenta de la acelerada transformación digital, son las que mejor van a mantenerse en un escenario altamente conectado. Por tanto, se hace necesario practicar y exponer con frecuencia a la organización a este tipo de contextos a través de simulaciones y juegos de guerra (incluyendo a los terceros claves en su cadena de suministro), como una forma de preparar las respuestas y habilitar a la empresa para enfrentar las inestabilidades que ocasiona estas situaciones (Cano, 2020).

En estos ejercicios se requiere la participación de toda la organización, con el fin de abordar la totalidad de la dinámica empresarial y de esta manera, todos los diferentes perfiles sabrán qué hacer para mantener una actuar y accionar coordinado de la empresa, haciendo más resistente a la organización como un todo, y limitando la configuración zonas grises o puntos ciegos de respuesta, donde un tercero lo suficientemente motivado y entrenado puede exponer la reputación corporativa por un “no sabía que debía hacer”.

5. Habilitar la resiliencia cibernética

Muchos informes ya no hablan de la probabilidad de un ciberataque, sino de cuándo va a ocurrir. Un ciberataque está diseñado para crear incierto e inestabilidad en el modelo de seguridad y control de una organización, con lo cual ninguna organización está exenta de manejar y superar un acción agresiva como esta. Así las cosas, toda empresa requiere ajustar sus modelos de operación basados en mitigación de riesgos, a una lectura de umbrales de operación que le permitan márgenes de actuación y estrategias de resistencia y recuperación eficientes a pesar de haber sido impactadas (Björck, Henkel, Stirna & Zdravkovic, 2015).

De manera que,  se requiere desarrollar y habilitar la resiliencia cibernética (ciber-resiliencia) como una capacidad organizacional requerida para anticipar, resistir, recuperar, aprender y evolucionar frente a la materialización de eventos cibernéticos adversos, y continuar asegurando la promesa de valor empresarial protegiendo la reputación de la compañía. Lo anterior, demanda comprender la dinámica corporativa de forma holística y ecosistémica para configurar una protección dinámica por capas y así proveer estrategias de “falla segura”, como un requisito básico que reconoce el error como parte del proceso y no como resultado (Bodeau, Graubart, Heinbockel & Laderman, 2015; Denyer, 2017).

 

Reflexiones finales

Desarrollar reflexiones alrededor de posibles pronósticos de seguridad/ciberseguridad para los próximos 365 días, es siempre una apuesta incierta comoquiera que muchas veces es posible quedar asombrados por una “sorpresa predecible” como la emergencia sanitaria que tenemos en la actualidad, amenazados por “misiles balísticos nucleares” oxidados y sin mantenimiento en algunas zonas del mundo, por una “guerra híbrida” que se desarrolla por debajo del nivel de la fuerza, por un mal uso de tecnologías emergentes que cambian y afectan la dinámica de las sociedades abiertas y democráticas, o por cambios climáticos inesperados que terminan con desastres que afectan una comunidad local o todo el mundo (Cano, 2020; WEF, 2020).

Por tanto, las apuestas desarrolladas en este documento no buscan marcar un camino o convertirse en referente de toma de decisiones, sino convertirse en una excusa académica y práctica que motive un diálogo estratégico al interior de las organizaciones, para darle forma a los escenarios que se pueden plantear a partir de esta propuesta, y así, definir algunas prioridades de acción particulares y propias, para movilizar de forma prospectiva a las empresas en medio de las volatilidades que se ven delante de la curva.

Los pronósticos de seguridad/ciberseguridad son un ejercicio que buscan detectar algunos patrones de actividad relevante para los modelos de seguridad y control de las empresas. Si bien no son exactos, como son los pronósticos del clima, si buscan configurar un mapa parcial de reconocimiento sobre un territorio de inciertos y cambios permanentes para triangular las posibles posiciones de los adversarios y así, crear inestabilidades en sus modelos de gestión de riesgos (Raban & Hauptman, 2018).

Muchos teóricos y académicos coinciden que no es posible “predecir” el futuro, por lo tanto todos aquellos ejercicios que permitan ver opciones y oportunidades en prospectiva serán de utilidad para mejorar la imaginación, aumentar las posibilidades y así darle mejor forma al futuro, desde el presente. En este sentido, los pronósticos que se plantean en este texto sólo son parte de ese insumo para pensar e imaginar, pues ya cada uno de los lectores tendrá el reto de darle forma concreta en las circunstancia de tiempo, modo y lugar en cada una de sus organizaciones.

Referencias

Björck, F., Henkel, M., Stirna, J. & Zdravkovic, J. (2015). Cyber Resilience – Fundamentals for a Definition.  En Á. Rocha et al. (eds.) New Contributions in Information Systems and Technologies. Advances in Intelligent Systems and Computing 353. 311-316. Doi: 10.1007/978-3-319-16486-1_31

Bodeau, D., Graubart, R., Heinbockel, W. & Laderman, E. (2015). Cyber Resiliency Engineering Aid –The Updated Cyber Resiliency Engineering Framework and Guidance on Applying Cyber Resiliency Techniques. MITRE Corporation.  De: https://www.mitre.org/sites/default/files/publications/pr-15-1334-cyber-resiliency-engineering-aid-framework-update.pdf

Bollinger, J., Enright, B. & Valites, M. (2015). Crafting the InfoSec Playbook. Sebastopol, CA. USA: O’Reilly.

Cano, J. (2019). The Human Factor in Information Security: The Weakest Link or the Most Fatigued? ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2019/Volume-5/Pages/the-human-factor-in-information-security.aspx

Cano, J. (2020). Retos de seguridad/ciberseguridad en el 2030. Reflexión sobre un ejercicio prospectivo incompleto. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. No. 154. 68-79. https://doi.org/10.29236/sistemas.n154a7

Culot, G., Fattori, F., Podrecca, M. & Sartor, M. (2019). Addressing Industry 4.0 Cybersecurity Challenges. IEEE Engineering Management Review. 47(3). 79-86. Doi: 10.1109/EMR.2019.2927559

Denyer, D. (2017). Organizational resilience. A summary of academic evidence, business insights and new thinking. BSI-Crandfield University. De: https://www.cranfield.ac.uk/som/case-studies/organizational-resilience-a-summary-of-academic-evidence-business-insights-and-new-thinking

Europol (2020). Internet organised crime threat assessment. Report. https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2020

HBR (2019). IT Talent strategy: new tactics for a new era. CIOs Share How to Compete in 2020 and Beyond. White Paper. Harvard Business Review. Analytic Services

Interpol (2020). Cybercrimen: Covid-19 Impact. August. Report. De: https://www.interpol.int/es/content/download/15526/file/COVID-19%20Cybercrime%20Analysis%20Report-%20August%202020.pdf

Jones, K. (2019). Online Disinformation and Political Discourse. Applying a Human Rights Framework. Research Paper. Chatham House. London, UK. https://www.chathamhouse.org/publication/online-disinformation-and-political-discourse-applying-human-rights-framework

Mazarr, M., Bauer, R., Casey, A., Heintz, S. & Matthews, L. (2020). The Emerging Risk of Virtual Societal Warfare. Social Manipulation in a Changing Information Environment. Rand Corporation. https://doi.org/10.7249/RR2714  

Ponemon-CyberGRX (2020). Digital transformation & cyber risk. What you need to know to stay safe. Sponsored by CyberGRX. https://get.cybergrx.com/ponemon-report-digital-transformation-2020

Raban, Y. & Hauptman, A. (2018). Foresight of cyber security threat drivers and affecting technologies. Foresight. 20(4). 353-363. https://doi.org/10.1108/FS-02-2018-0020

Valdez-de-Leon, O. (2019). How to Develop a Digital Ecosystem: a Practical Framework. Technology Innovation Management Review. 9(8): 43-54. http://doi.org/10.22215/timreview/1260

Vuggumudi, S. & Wang, Y. (2020). Sophisticated tools alone cannot prevent advanced persistent threats: What’s next? ISSA Journal. June. 33-39 

WEF (2020). The Global risk report 2020. World Economic Forum. Report. https://www.weforum.org/reports/the-global-risks-report-2020

sábado, 8 de agosto de 2020

Ransomware. Más allá de una amenaza tecnológica

Introducción

Noticias recientes en diferentes informes, tanto de industria como de autoridades policiales, reportan que la “extorsión con datos” o denominada “ransomware” se ha convertido en uno de los riesgos y amenazas de mayor relevancia para la seguridad global, no sólo por su versatilidad y capacidad de acción, sino por su expansión e impactos financieros y de reputación a nivel organizacional (Interpol, 2020). En este contexto, esta amenaza digital se configura como un punto de reflexión relevante para los ejecutivos de seguridad y los directivos de las empresas modernas.

Cuando una empresa es afectada por este tipo de extorsión digital, se presenta inmediatamente la pregunta clave: ¿pagamos o no pagamos? Una pregunta que genera, tanto en el sector público como en el privado, tensiones de diferentes magnitudes e implicaciones que levantan “dedos acusadores”, buscan “señalamientos internos”, revelan “detractores de la inversión en seguridad”, y un sin número de sensaciones que cumplen con el propósito del adversario: generar confusión, confrontación y juego de responsabilidades, que le permitan mayor tiempo de acción y posicionamiento frente al momento, para conseguir su fin último, motivar el pago.

Cuando la organización en sus niveles ejecutivos se informa de la materialización de un ransomware buscará explicaciones posiblemente técnicas en primer lugar, luego detallar qué tipo de información es la que está comprometida, cómo afecta esto la operación y finalmente las implicaciones jurídicas que esto conlleva, si la información está sujeta a una protección particular. Con estos datos básicos, los ejecutivos llaman a todos los involucrados para tratar de establecer una vista general de lo que ha pasado y definir una postura base para actuar en consecuencia.

La extorsión con datos es una modalidad de cibercrimen que está apalancada desde el engaño, la curiosidad y las motivaciones humanas que conectan con un patrón de comportamiento que está fundado en las mismas necesidades y relaciones entre los individuos. En este sentido, al identificar aquello que puede ser de interés, y enlazarlo con la dinámica del contexto actual, los adversarios logran mimetizar sus acciones en un tejido social concreto con el fin de abordar a sus posibles víctimas sin que ellas lo noten.

Si adicionalmente a lo anterior, se advierte una baja higiene informática, o ahora en la actualidad, ciberhigiene, que tiene las personas en el contexto digital, la confianza ingenua en los medios y tecnologías disponibles, y el aumento de productos y servicios digitales que se despliegan con limitadas medidas de seguridad y control, los agresores tienen un caldo de cultivo enriquecido y generosos para movilizarse en diferentes sentidos y vectores para lograr sus acciones y planes con poco margen de acción por parte de los afectados.

En consecuencia, este breve documento busca plantear reflexiones alrededor de la realidad del ransomware, con el fin de brindar espacios para pensar sobre cómo abordar este reto, qué margen de acción se puede lograr y sobremanera, cómo encontrar algunos patrones que adviertan sobre el avance de este tipo de amenazas en la organización.

Secuestro de datos. Más allá de un problema de tecnología

El secuestro en general es uno de los delitos más reprochados y sancionados por la sociedad en los diferentes instrumentos jurídicos de un país democrático. El secuestro priva al ser humano de uno de sus derechos básicos como lo es la libertad y así mismo lo expone al deterioro de su bienestar en diferentes facetas, con afectaciones en múltiples dimensiones de su acción en la sociedad.

El secuestro de datos, no cuenta con una lectura tan amplia y difundida en la sociedad sobre lo que esto significa tanto para las personas como para las empresas en el contexto digital. Este ejercicio, igualmente censurable, que priva a la persona o a las organizaciones de uno de sus activos más importantes como son los datos y la información representa en la actualidad una afrenta directa que pone en peligro los derechos y prerrogativas de las empresas y los seres humanos en su libre actuación en la dinámica social. El secuestro de datos, y su posterior extorsión por parte de terceros, configura una figura delictiva que en su momento deberá ser abordada por diferentes jurisdicciones y acciones legislativas para ser incorporada en los ordenamientos jurídicos nacionales e internacionales (Al-rimy, Aizaini & Zainudeen, 2018).

Cuando la organización se enfrenta al reto de un secuestro de datos, son pocas las maniobras jurídicas que puede activar para tratar de contener posibles efectos adversos en su contra. Por un lado, puede acudir a una póliza de seguros cibernético, que de acuerdo con sus alcances y exclusiones podrá apoyar a la empresa para manejar este momento. Por otro lado, puede lanzarse a negociar con el agresor que ha capturado los datos, con la claridad de que, aun teniendo la forma de restaurar la información, es probable que no pueda hacerlo, o finalmente informar a la autoridad competente para utilizar diferentes estrategias que le permitan encontrar al agresor, desactivar el mecanismo de cifrado, usar los canales diplomáticos si son del caso y así, ajustarse a los cánones establecidos por la constitución y la ley.

El ransomware establece saca de la zona cómoda a los profesionales de seguridad de la información, a los abogados corporativos y a los ejecutivos de primer nivel, habida cuenta que si la información o los datos comprometidos están sujetos a condiciones particulares de protección y debido cuidado, deberán establecer con claridad la manera de responder por la situación a los diferentes grupos de interés afectados. En consecuencia, la organización estará sujeta a un fuego cruzado donde será evaluada frente a sus prácticas de seguridad, privacidad y control, y cómo estas se han venido desarrollando y aplicando, y por otro lado, las tensiones jurídicas, con sus respectivas sanciones (generalmente económicas), que pueden terminar impactando la reputación en su sector de negocio.

Hablar del secuestro y la extorsión con datos, es una temática que va más allá del fenómeno tecnológico que la materializa. Es habilitar una vista sistémica de la problemática que conecta las prácticas de seguridad, las relaciones empresariales, los marcos jurídicos, los aseguradores, las vulnerabilidades tecnológicos y sobremanera, los comportamientos humanos (Sittig & Singh, 2016).

Materialización del ransomware. Dos lados una misma ecuación

Las acciones que se siguen luego de un secuestro, que generalmente tiene algún tipo de motivación (no siempre económica), llevan a un contacto directo o indirecto con los grupos de interés de la víctima, con el fin de iniciar un juego de emociones y tensiones que buscan doblegar la voluntad de la parte afectada. Para ello, las pruebas de supervivencia, las llamadas amenazantes y las manifestaciones visibles que generan incertidumbre (fotos, símbolos, o pertenencias), son piezas fundamentales para crear la necesidad y las acciones necesarias que lleven al cumplimiento del objetivo del agresor.

En el mundo digital, el ransomware tiene al menos dos vistas en la actualidad. Secuestro de información o datos (generalmente relevantes) por los cuales hay que pagar un rescate (y de no hacerlo se procederá a su destrucción o desaparición), o acceso a información sensible o comprometedora, que podrá ser expuesta (con posible afectación de la reputación), sino hay un pago al delincuente digital (Baykara & Sekin, 2018). En ambos casos, los delincuentes buscarán relevar pruebas a sus víctimas de que la acción es real y seria, sin perjuicio de motivar decisiones ágiles al respecto, para lo cual incluyen cuentas regresivas visibles o mensajes de voz modificados para intimidar a las empresas o las personas y medios de contacto basados en cuentas de correo anónimas o descartables.

Al evaluar la materialización de un evento como el ransomaware habrá que mirar los dos lados de la ecuación: a la empresa (o la persona), así como al atacante. Por el lado de la persona o la empresa el análisis puede incluir, entre otros aspectos:

  • Nivel de aseguramiento de las prácticas de seguridad y control
  • Nivel de afinamiento y uso de las tecnologías de seguridad y control disponibles.
  • Pruebas y lecciones aprendidas de la evaluación y seguimiento a los planes de recuperación y continuidad de negocio
  • Análisis de comportamientos de navegación y uso de internet
  • Nivel de desarrollo de cultura de seguridad de la información (incluida la ciberhigiene personal)
  • Análisis prospectivos de riesgos latentes y emergentes en el contexto de las operaciones y estrategias de la empresa
  • Definición del apetito al riesgo empresarial (o personal) (Herrera Silva, Barona López, Valdivieso Caraguay & Hernández-Álvarez, 2019).

Cualquier deficiencia o resultado que no corresponda a lo esperado en cada uno de estos elementos previamente mencionados, será asociado con una limitada capacidad de gestión tanto de la organización como de la persona frente al debido cuidado que deben tener en la protección de la información o los datos que tienen a cargo o de su propiedad, lo que en últimas se traduce en una posible acción negligente que podría ser comprobada vía ejercicios de auditoría o verificación independiente. 

Ahora desde la perspectiva del agresor, el análisis puede incluir entre otros aspectos los siguientes:

  • Nivel de especialización y habilidad para desarrollar inteligencia
  • Motivaciones específicas que llevan a la acción
  • Uso de herramientas conocidas o especializadas
  • Conexiones con otros grupos criminales
  • Pagos basados en criptomonedas, o monetizaciones de otras formas
  • Patrones de actuación previos
  • Antecedentes disponibles a nivel nacional o internacional (Cano, 2020).

Cualquier información que se cuente basado en el listado anterior, ofrecerá orientaciones y pistas para seguir el rastro del atacante. Cada uno de ellos ayudará a darle forma al rompecabezas que implica conectar las diferentes acciones del agresor, con el fin de encontrar patrones consistentes que den luces para reconstruir su acción criminal y así, lograr en el mejor de los casos su ubicación y captura. Esto no siempre se logra y por lo tanto, cuanta más información confiable y relevante se pueda obtener, mejores mapas se podrán delinear sobre un territorio siempre incierto que plantea el adversario (El-Kosairy & Azer, 2018).

Acciones frente al secuestro y extorsión con datos. Algunas ideas convencionales y no convencionales

Cuando una organización sufre de la materialización de un ransomware, debe considerar las dos partes de la ecuación y no sólo concentrarse en el dolor que esto genera al interior, con las consecuencias naturales que esto trae desde el punto de responsabilidades individuales y colectivas.

En este sentido, se plantean algunas acciones convencionales que las empresas o personas aplican cuando se ha concretado el secuestro y la extorsión con datos, lo cual implica consecuencias que ponen en riesgo la reputación de la empresa.

  • Contratar o buscar servicios especializados para restaurar los datos que se han comprometido. Este tipo de servicios generalmente son costosos e implican usos de herramientas particulares que tratan de encontrar patrones y establecer vías alternas para tener acceso a los datos, lo que no siempre se logra.
  • Contactar a los proveedores de herramientas de seguridad y control, o sus contactos para establecer alternativas que permitan encontrar maneras de recuperar la información o parte de ella. Esta acción, generalmente suele generar logros discretos comoquiera que existen centros de investigación asociados que pueden dar luces al respecto.
  • Usar los respaldos de información con los que cuenta la empresa o la persona, los cuales generalmente no responden a una práctica sistemática y validada. Esta estrategia suele funcionar de forma parcial dado que la actualización de la información respaldada define el nivel alcance y maniobra que la organización o la persona puede tener. El uso de esta información como forma de recuperación podrá generar deficiencias y diferencias al ser usada.
  • Pagar al agresor en los términos y condiciones que este indique para poder recuperar la información que se ha comprometido. Cuando se toma esta opción las organizaciones y empresas saben que estarán pagando un soborno, lo cual es abiertamente ilegal, y por otro lado, que siempre podrán recuperar toda la información y tendrán la duda permanente, si el agresor no ha hecho copias adicionales con las cuales pueda negociar en otro momento.

Otra manera de actuar frente a la materialización del ransomware, es incorporar estrategias no convencionales que generen mayor incierto en la ecuación de riesgos del atacante. Esto es, que lo lleve a actuaciones erráticas que habiliten mejores posibilidades para su identificación y seguimiento. Esto se traduce, en comprender con claridad las perspectivas y expectativas del agresor para jugar de forma diferente en el mismo campo que el adversario propone. Lo anterior se traduce en:

  • Atribución – Mostrar con datos concretos y comunicaciones creíbles que han logrado identificar patrones que permiten establecer la identidad de la persona o grupo que ha intervenido en el secuestro.
  • Evidencias – Detallar e ilustrar cómo los mecanismos de seguridad y control cuentan con evidencias de los patrones del agresor, lo cual establece una línea de acción concreta para identificar a los posibles atacantes.
  • Represalias – Crear un ambiente y entorno basado en los dos temas anteriores, para anunciar acciones legales y seguimientos a nivel local e internacional que pueden terminar en la captura y judicialización de los adversarios.
  • Apetito al riesgo – Detallar con hechos y datos cómo la organización está preparada para asumir el evento, con lo cual los impactos que se pueden tener no son los esperados por el agresor y por lo tanto, su capacidad de presión y negociación se pueden limitar (Saydjari, 2018).

Cualquiera de las acciones convencionales que se tome tendrá como resultado mantener el status quo de incertidumbre que propone el adversario, lo que generalmente le dará la ventaja para mantener el control de la situación. Adicionalmente este tipo de acciones estarán ajustadas al ordenamiento legal (con excepción del pago de la extorsión) lo que le dará tranquilidad a los ejecutivos en sus marcos de cumplimiento y reporte a los entes de control.

Tomar acciones no convencionales, es hacer una apuesta arriesgada que puede tener o no resultados positivos. Es un ejercicio de inteligencia y contrainteligencia para movilizar los esfuerzos de la organización en un terreno donde no está acostumbrada a jugar, para lo cual deberá tener serenidad y estar dispuesta a correr riesgos para movilizar al atacante de su trinchera y motivar acciones que le permitan ver movimientos que el agresor no tenía previstos y que lo obliguen a salirse del guión que había planeado frente a sus víctimas. Es claro que para navegar en este tipo de actuación deberá contar con acompañamiento y asesoría para cometer el menor número de errores (Jiménez, 2019).

Reflexiones finales

El ransomware es una modalidad de crimen organizado que es fruto de la transformación digital de la criminalidad desde hace más de 10 o 15 años, cuando se iniciaba con el tema de las botnets, herramientas de acceso remoto y los caballos de troya. Poder tener control de un equipo sin que la víctima se dé cuenta, es uno de las expresiones y motivaciones más relevantes que experimentan los atacantes para concretar acciones delictivas basadas en el posible anonimato o irrastreabilidad que esto puede llevar (Kardile, 2017).

Los supuestos actuales de la criminalidad digital como son a) el máximo anonimato, con la mínima evidencia, b) la máxima ambigüedad jurídica con el mínimo conocimiento tecnológico disponible y c) la máxima efectividad de su acciones, con el mínimo esfuerzo establecen una economía del cibercrimen que habilitan el desarrollo de capacidades técnicas, sociales y de inteligencia lo suficientemente sofisticadas, para aumentar el nivel de incierto en las personas, las organizaciones y los países, y así motivar acciones ilegales lucrativas que pueden pasar por debajo de los radares de las autoridades oficiales (Interpol, 2020).

El ransomware es una expresión convergente del aprovechamiento por parte del “lado oscuro de la fuerza” de las tecnologías disruptivas, de la sensibilidad y comprensión de los nuevas apuestas de las organizaciones en el contexto digital, y sobremanera de la masificación y multiplicación de los productos y servicios basados en tecnología, que las personas y organizaciones pueden usar para cambiar la manera de hacerlas cosas, particularmente hacerlas de forma más ágil y sencilla.

El aumento de la conectividad y la mayor superficie digital disponible en la dinámica social, fruto de una creciente densidad digital y convergencia tecnológica, hace que los flujos de datos e información, se conviertan en activos fundamentales tanto para los individuos como las empresas (Do, Martini  & Choo, 2018). En este contexto, los datos y la información representan y definen la identidad y la presencia de los seres humanos en esta nueva realidad, lo cual manifiesta y revela una lectura extendida de derechos y deberes que se deben entender y asumir para armonizar las relaciones de las personas ahora conectadas y digitalmente aumentadas en una sociedad tecnológicamente modificada (Bechmann, 2019).

En consecuencia, el secuestro y extorsión de datos establece una agresión digital de especial relevancia para la dinámica social actual, dado que lo que está en juego va más allá de la acción tecnológica que esto lleva, esto es, comprometer y afectar derechos de personas y empresas que pueden tener implicaciones a nivel político, económico, social, tecnológico y hasta ecológico, si lo que se compromete, está asociado con una infraestructura crítica de una nación (Pankov, 2020).

Por tanto, cuando una persona u organización es víctima de un ransomware deberá pensar muy bien sus estrategias de acción, para establecer con cabeza fría y visión holística, el camino a seguir para limitar tanto como se pueda los efectos adversos de esta condición, y analizar si quiere o no, entrar al tablero del juego incierto del agresor, para desde allí, formular estrategias que lleven al adversario a acciones no previstas y así lograr una mejor posición de negociación, sin ningún tipo de garantías ni reglas claras que seguir.

Referencias

Al-rimy, B., Aizaini, M. & Zainudeen, S. (2018). Ransomware threat success factors, taxonomy, and countermeasures: A survey and research directions. Computers & Security. 74, 144-166. Doi: 10.1016/j.cose.2018.01.001

Baykara, M. & Sekin, B. (2018). A novel approach to ransomware: Designing a safe zone system. 2018 6th International Symposium on Digital Forensic and Security (ISDFS), Antalya. 1-5. Doi: 10.1109/ISDFS.2018.8355317

Bechmann, A. (2019). Data as humans: Representation, Accountability, and Equality in Big data. En Jorgensen, R. F. (editor) (2019) Human rights in the age of platforms. Cambridge, MA. USA: MIT Press. 73-94.

Cano, J. (2020). Modelo SOCIA. Una reflexión conceptual y práctica desde la perspectiva del adversario. Actas X Congreso Iberoamericano de Seguridad Informática 2020. Universidad Politécnica de Madrid - Universidad del Rosario. Enero. Doi: 10.12804/si9789587844337.09

Do, Q., Martini, B.  & Choo, R. (2018). Cyber-Physical Systems Information Gathering: A Smart Home Case Study. Computer Networks. 138. 1-12.  doi: 10.1016/j.comnet.2018.03.024

El-Kosairy, A. & Azer, M. A. (2018). Intrusion and ransomware detection system. 2018 1st International Conference on Computer Applications & Information Security (ICCAIS), Riyadh. 1-7, Doi: 10.1109/CAIS.2018.8471688

Herrera Silva, J. A.; Barona López, L. I.; Valdivieso Caraguay, A. L. & Hernández-Álvarez, M. (2019). A Survey on Situational Awareness of Ransomware Attacks—Detection and Prevention Parameters. Remote Sens. 11(10). 1-20. Doi: 10.3390/rs11101168

Interpol (2020). Cybercrimen: Covid-19 Impact. August. De: https://www.interpol.int/es/content/download/15526/file/COVID-19%20Cybercrime%20Analysis%20Report-%20August%202020.pdf

Jiménez, F. (2019). Manual de inteligencia y contrainteligencia. Tercera edición. Sevilla, España: CISDE.

Kardile, A. (2017). Crypto ransomware analysis and detection using process monitor. Master Thesis. University of Texas, Arlington. De: http://hdl.handle.net/10106/27184

Pankov, N. (2020). Lazarus experimenta con un nuevo ransomware. Kaspersky Latam. De: https://latam.kaspersky.com/blog/lazarus-vhd-ransomware/19773

Saydjari, O. (2018). Engineering trustworthy systems: get cybersecurity design right the first time. New York, USA.: McGraw Hill

Sittig, D. F., & Singh, H. (2016). A Socio-Technical Approach to Preventing, Mitigating, and Recovering from Ransomware Attacks. Applied clinical informatics, 7(2), 624–632. Doi: 10.4338/ACI-2016-04-SOA-0064

sábado, 2 de mayo de 2020

Superficie de ataque empresarial. Más allá de las probabilidades y las listas de chequeo


Introducción
El aumento de las noticias sobre ataques exitosos y brechas de datos en diferentes industrias y países advierte una importante movilización de esfuerzos y estrategias de los adversarios, para mantener una agenda agresiva e innovadora que aprovecha la inestabilidad y los momentos de incertidumbre para concretar acciones contrarias y desestabilizar a las empresas y naciones, y así encontrar “espacios en blanco” y “lugares inéditos” donde pasar desapercibidos y ganar terreno si ser notados.

En este sentido, las organizaciones más allá de sus límites corporativos, hoy se encuentran más conectadas que nunca, lo que habilita una mayor visibilidad de su infraestructura y un mayor flujo de información, que revela tanto sus estrategias de seguridad y control, así como sus limitaciones y posibles debilidades las cuales podrán (y serán) probadas por terceros, los cuales con intenciones no definidas, tendrán oportunidad de ver cómo se comportan los mecanismos de atención y control de eventos no deseados dispuestos por las empresas.

El riesgo de una brecha de seguridad y exposición de datos sensibles (y confidenciales) hoy se hace más evidente que en otros momentos, toda vez que los puntos de ataque disponibles para los adversarios se han aumentado dada la acelerada transformación digital que las organizaciones han debido desplegar para mantenerse operativas y disponibles para sus diferentes grupos de interés. En este escenario, la dependencia de la infraestructura de terceros, los puntos de conectividad entre la empresa y el proveedor, y las prácticas de seguridad y control de unos y otros, se vuelven relevantes para configurar un marco de gobierno y aseguramiento homogéneo frente a la inevitabilidad de la falla (Sharton, 2020).

En consecuencia para tratar de dimensionar esta nueva realidad aumentada y digitalmente modificada, donde la superficie de ataques se ha expandido, es necesario entender que existen diferentes maneras a través de las cuáles las cosas pueden salir por fuera de lo previsto y un contexto organizacional donde pueden ocurrir que incluyen entre otros los servidores, las bases de datos, los switches, los enrutadores, las aplicaciones (estándares, hechas a la medida y móviles), los computadores de los colaboradores, los controladores industriales y los sistemas ciber-físicos disponibles (dispositivos Smart).

Si se cruzan las posibilidades de fallas, vulnerabilidades y errores que se pueden presentar, con el contexto organizacional previamente mencionado, se tiene una malla casi infinita de lugares donde el adversario pude localizar sus esfuerzos y lograr efectos desestabilizadores para la empresa y sus grupos de interés (Banga, 2020). Por tanto, un ataque no es solamente el aprovechamiento de una vulnerabilidad, falla o error, sino la exploración de puntos pivote en la malla, previamente comprometidos, para crear el incierto necesario, que induzca a la confusión y acciones no planeadas por parte de la empresa, para tomar control de activos claves y propagar sus alcances dentro y fuera de corporación, con fines que pueden ser económicos, políticos, sociales, tecnológicos o ecológicos.

Por consiguiente este breve documento plantea una reflexión sobre los retos de las organizaciones modernas frente a sus interacciones en los nacientes ecosistemas digitales y las tensiones que los ciberriesgos exhiben en un tejido digital de nuevos flujos de datos, que con la participación de los terceros de confianza diseñan y configuran nuevas experiencias para sus diferentes grupos de interés.

Comprender el ciberriesgo
Cuando es posible advertir la malla de posibilidades que tiene el adversario para localizar y diseñar sus ataques, es claro que un sentimiento de angustia y agobio se puede apoderar tanto de los ejecutivos de seguridad como los directivos de la empresa. No obstante lo anterior y sabiendo que tarde o temprano el atacante tendrá éxito, es necesario comprender cuál es la postura de seguridad/ciberseguridad que la organización ha desarrollado frente al entorno actual, lo que implica ajustar la visual de riesgos previa y desinstalarla de los supuestos iniciales sobre las cuales fue construida (Cano, 2019).

Lo anterior, implica al menos revisar cinco elementos claves para desconectar las creencias e imaginarios de los diversos actores organizacionales, con el fin de conectar nuevas posibilidades y retos que se encuentran en el escenario vigente, que hablan de una posición de seguridad y control afectada por la incertidumbre que demanda más certezas que antes.

El primer elemento es “desinstalar la creencia de seguridad 100% y riesgo cero”. Si bien antes de entrar en esta situación de emergencia, la afirmación anterior era válida, hoy se hace más visible la malla de posibilidades que es necesario cubrir y monitorizar, para poder atender eventos no esperados y limitar los efectos adversos que se pueden materializar. Cuando se entiende que la seguridad es un umbral de riesgo aceptado mediado por la capacidades claves instaladas y desarrolladas, donde es posible construir una confianza digital imperfecta, es viable establecer estrategia de acción conjunta con los diferentes actores para asumir cualquier evento y responder de forma resiliente (Mee & Brandenburg, 2020).

El segundo elemento es “asumir el error como parte del proceso y no como resultado”. Esta afirmación permite no solo desarrollar una adecuada gestión de incidentes por parte de las organizaciones, sino aumentar la capacidad de resistencia y respuesta de la organización, pues demanda de ella una postura proactiva que busca probar y validar sus esfuerzos de seguridad y control, para anticipar sus respuesta y la forma como evolucionan la amenazas y estrategias de los adversarios. Mientras las vulnerabilidades que se detecten no sean insumos para renovar y repensar la postura de seguridad, la organización creará nuevos puntos pivote que el adversario pueda usar en el futuro.

El tercer elemento es “pasar del proteger y asegurar, al defender y anticipar”. Esta propuesta busca darle el lugar a las buenas prácticas y estándares disponibles a la fecha que son de amplio uso en las organizaciones, como una forma de cubrir los riesgos conocidos y caracterizados, para coordinar nuevos esfuerzos que permitan mirar los riesgos latentes y emergentes (Cano, 2017), con el fin movilizar a la organización al diseño de pruebas y simulaciones que la preparen para defender sus posición en el contexto digital. Esto es, lograr advertir los movimientos del adversario en su propio terreno, para demorarlo y aumentar la capacidad de respuesta y atención de la organización.

El cuarto elemento es comprender que “las vulnerabilidades crecen y se invisibilizan más hacia los activos de información sensible, que hacia las infraestructuras tecnológicas de seguridad y control”. Cuando se revisan los reportes internacionales sobre amenazas y vulnerabilidades, las empresas especializadas hacen especial énfasis en las fallas técnicas, en los errores de los programas o en problemas de configuración de dispositivos los cuales terminan en recomendaciones concretas que los clientes de dichas soluciones deben instalar de forma periódica o inmediata dependiendo de la criticidad o sensibilidad del caso. Sin perjuicio de lo anterior, pocas veces se hace énfasis en los comportamientos de las personas y su propensión al error en el tratamiento de la información, que de alguna forma debería ser la norma para mantener una operación estable y confiable, lo que reitera lo comentado en el elemento dos.

El quinto elemento es “habilitar el pensamiento sistémico y prospectivo para desarrollar capacidades” que complementen las prácticas vigentes basadas en certezas y asociadas a riesgos conocidos. La ciberseguridad es una disciplina emergente e interdisciplinar. No está basada en discursos disciplinares ni cuenta con un marco de saberes a la fecha estandarizado. Es una disciplina en formación que reconoce la convergencia de los retos y peligros del mundo físico y sus impactos, así como las oportunidades y amenazas del ecosistema digital en el cual se encuentra envuelta la empresa (Dupont, 2013). De esta forma, no son los estándares actuales lo que hacen realidad la postura de seguridad y control, sino la capacidad de reconocer las relaciones y amenazas emergentes que se advierten el entorno, sabiendo que es posible “ver las acciones del agresor” y actuar en consecuencia antes de que tenga éxito. No siempre se va a lograr y por lo tanto tendrá que estar preparada para asumir un incidente.

Cuando se comprenden y se apropian estas cinco distinciones el ciberriesgo deja de ser un problema de tecnología y de especialistas de seguridad y control, para traducirse en una lectura de riesgos empresariales de negocio donde lo que está en juego no es solamente la recuperación de la empresa frente a un evento no deseado, sino la capacidad de la organización para anticipar condiciones inesperadas, limitar los impactos de los ataques cibernéticos y asumir la responsabilidad digital empresarial (Wade, 2020) que concreta la confianza digital imperfecta con cada uno de sus grupos de interés.

Entender el ecosistema digital
Las organizaciones a la fecha están más conectadas que antes, ofreciendo un mayor número de productos y servicios, que logren concretar nuevas experiencias en sus clientes. Esta realidad permite optimizar múltiples procesos internos, catalizar iniciativas claves para crear nuevas apuestas de valor y sobremanera aumentar el apetito de riesgo de la compañía respecto de su modelo de negocio y las apuestas estratégicas que se desarrollan en el marco de su visión de negocios.

Un ecosistema digital está compuesto de infraestructura, aplicaciones, usuarios y servicios, los cuales interactúan de forma coordinada para lograr un cambio de expectativa o percepción en las personas respecto de una experiencia previa sobre la manera de tener acceso a un producto o servicio. Esta realidad, implica un diseño de un sistema socio-técnico donde se advierten flujos de información entre los diferentes componentes del ecosistema y una convergencia de tecnologías para configurar un escenario diferente donde el cliente encuentra respuestas más ágiles a sus requerimientos.

Este ecosistema enriquecido ahora con sensores, dispositivos inteligentes, pagos no tradicionales, uso de analítica de datos y marketing dirigido, crea una realidad aumentada donde habitan ahora los clientes, lo que necesariamente exige el desarrollo de una confianza digital que le permita adquirir, utilizar y movilizar sus intereses y expectativas de forma confiable, en términos semejantes o mejores a los que tenía en un contexto físico. Bien anota Porter & Heppelmann (2014) que un producto digitalmente modificado no tendrá éxito sino cuenta con elementos de seguridad, privacidad y aseguramiento por parte del proveedor del producto o servicio.

En los nuevos ecosistemas digitales los ciberriesgos adquieren la característica de riesgos sistémicos, es decir, riesgos que se manifiestan en fallas, accidentes o interrupciones individuales que producen efectos en cascada, para lo cual es necesario comprender y analizar el nivel de acoplamiento e interacción de los componentes del sistema. Este tipo de riesgos tienen las siguientes características: (IRGC, 2018)
  • Riesgos altamente interconectados con relaciones causa-efecto no lineales,
  • Riesgos que implican poco conocimiento acerca de las interconexiones en entornos interdependientes,
  • Riesgos donde no se cuentan con controles específicos.

Si las organizaciones siguen empeñadas en mantener sus modelos de riesgos actuales, basados en la sabiduría convencional de la gestión de riesgos como son: (Funston & Wagner, 2010)
  • Los factores que afectan los acontecimientos no cambian,
  • Los eventos son ligeramente aleatorios,
  • Los eventos extremos son raros,
  • Los pronósticos son exactos y fiables,
  • Los eventos son independientes unos de otros,
  • Los mercados son eficientes y racionales,

estarán más expuestas a eventos no deseados comoquiera que en la dinámica de las relaciones e interdependencias que sugiere y establece un ecosistema digital, pueden surgir relaciones emergentes o flujos de información diferentes a los previstos, lo que puede generar un entorno de operación y negocios más incierto, donde la empresa puede ser objeto de la inevitabilidad de la falla con mayor facilidad, mancillando o deteriorando la relación de confianza digital que viene construyendo con su cliente.

En un ecosistema digital comprender y percibir una brecha de seguridad y control no responde a una lectura lineal y conocida de la realidad, es más bien, comprender la dinámica de un ataque como una cadena de eventos algunos probables y otros posibles, que inician con el compromiso de uno de sus componentes, seguido de la propagación del mismo en medio del tejido digital de sus flujos de información para concretar el acceso, uso no autorizado, deterioro o exposición de activos digitales valiosos para la organización, donde están apalancadas las ventajas competitivas y sus promesas de valor.

Reflexiones finales
Es claro que los métodos tradicionales de evaluación de vulnerabilidades y gestión de riesgos presentan limitaciones frente a la malla de posibilidades que se tiene en la superficie actual de posibles puntos vulnerables en una organización. En consecuencia, en una situación como la actual donde hay un: (Gul & Slipsky, 2020)
  • aumento del flujo de datos privados y públicos en la red,
  • aumento de las descargas locales de información (pública y sensible),
  • aumento de equipos sin parches aplicados,
  • aumento de conversaciones con información propia del negocio fuera de la empresa,
  • aumento de patrones de actividad inusual en las redes,
  • aumento del uso de redes WIFI sin seguridad,
  • aumento del uso de equipos personales (muchas veces sin medidas de seguridad básicas),
  • aumento de los engaños basados en los inciertos de la crisis,
  • aumento de comportamientos inadecuados de las personas,

los esfuerzos ahora se concentran en la detección y reacción frente a posibles eventos adversos que puedan afectar a la organización, para lo cual las inversiones en tecnología de monitorización y análisis de patrones como son los tradicionales SIEM (Security Information and Event Management) y los SOC (Security Operation Center) cobran gran relevencia pues permiten tener indicadores de actividades maliciosas o no autorizadas, para que las empresas actúen bien de forma autónoma o en conjunto con el proveedor del servicio.

Así las cosas, las listas de cumplimiento de controles, las listas de chequeo de seguridad y las validaciones frente a estándares conocidos y probados, no logran dimensionar los nuevos niveles de exigencia que los ciberriesgos les imponen a las organizaciones. La falsa sensación de seguridad que se puede generar al “cumplir con los estándares” se ve contrastada con el poco o bajo entendimiento de los especialistas en temas de seguridad y control del nuevo escenario de ataques, que habilitado por un tejido creciente de conectividad y leído desde las cegueras cognitivas de sus prácticas conocidas, pueden llevar a materialización de sorpresas predecibles (Watkins & Bazerman, 2003).

Por tanto, la gestión de riesgos de seguridad/ciberseguridad debe dar un paso adelante en entornos de alta incertidumbre y complejidad para aprender y desaprender de forma acelerada para dar cuenta con las capacidades, motivos, métodos e intenciones de los adversarios y así tener de forma permanente algunas preguntas en mente, que le permita caminar y seguir los pasos de sus agresores, y así mantener una postura vigilante y proactiva:
  • ¿Conoce con certeza los puntos de integración de sus fuentes de datos, las aplicaciones y servicios? ¿Se hicieron pruebas de mal uso?
  • ¿Sabe usted cuál es su nuevo perímetro de seguridad? ¿Cuenta con el listado de sus terceros y sus niveles de aseguramiento?
  • ¿Qué acciones seguiría si se compromete la integridad de la configuración de un active digital? ¿Ha efectuado simulaciones al respecto?
  • ¿Cómo sabría si luego de contener un ataque, el adversario no sigue ahí?
  • ¿Con qué apoyo externo/interno contarías frente a un ciberataque? ¿Sabe a que autoridad debe reportar el evento y sus impactos?

Referencias
Banga, G. (2020). Why is cybersecurity not a human-scale problema anymore? Communications of ACM. 83(4). 30-34. Doi: 10.1145/3347144
Cano, J. (2017). The AREM Window: A Strategy to Anticipate Risk and Threats to Enterprise Cyber Security. ISACA Journal. 5.
Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 63-73. Doi: 10.29236/sistemas.n151a5
Dupont, B. (2013). Cybersecurity Futures: How Can We Regulate Emergent Risks? Technology Innovation Management Review, 3(7). 6-11. Doi: http://doi.org/10.22215/timreview/700
Funston, F. & Wagner, S. (2010) Surviving and Thriving in Uncertainty. Creating the risk intelligence enterprise. Hoboken, NJ. USA: John Wiley & Son
Gul, S. & Slipsky, M. (2020) The Top 10 Employer Cybersecurity Concerns For Employees Regarding Remote Work. Security Magazine. De: https://www.securitymagazine.com/articles/91999-the-top-10-employer-cybersecurity-concerns-for-employees-regarding-remote-work
IRGC (2018). Guidelines for the Governance of Systemic Risks. Lausanne: International Risk Governance Center (IRGC). De: https://infoscience.epfl.ch/record/257279/files/IRGC%20Guidelines%20for%20the%20Governance%20of%20Systemic%20Risks.pdf
Li T., Horkoff J. (2014). Dealing with Security Requirements for Socio-Technical Systems: A Holistic Approach. In: Jarke M. et al. (eds) Advanced Information Systems Engineering. CAiSE 2014. Lecture Notes in Computer Science, vol 8484. Springer. https://doi.org/10.1007/978-3-319-07881-6_20
Mee, P. & Brandenburg, R. (2020) Digital Convenience Threatens Cybersecurity. Sloan Managemen Review. Abril. De: https://sloanreview.mit.edu/article/digital-convenience-threatens-cybersecurity/
Porter, M. & Heppelmann, J. (2014). How Smart, connected products are transforming  competition. Harvard Business Review. Noviembre. De: https://hbr.org/2014/11/how-smart-connected-products-are-transforming-competition
Sharton, B. (2020) How Organizations Can Ramp Up Their Cybersecurity Efforts Right Now. Harvard Business Review. Mayo. De: https://hbr.org/2020/05/how-organizations-can-ramp-up-their-cybersecurity-efforts-right-now
Wade, M. (2020) Corporate Responsibility in the Digital Era. Sloan Management Review. Abril. De: https://sloanreview.mit.edu/article/corporate-responsibility-in-the-digital-era/
Watkins, M. & Bazerman, M. (2003) Sorpresas predecibles. Los desastres que deberías haber visto venir. Harvard Business Review. Abril.