Introducción
No hay duda que los últimos cinco años hemos tenido una alta
inestabilidad geopolítica en el mundo. Tensiones económicas, políticas y
sociales han marcado la agenda de los gobiernos, los cuales han venido tomando
acciones, generalmente no muy populares, las cuales generan mayores
descontentos que se ven reflejados en marchas o manifestaciones públicas, bien
de manera presencial o de manera virtual, a través de las redes sociales.
En este escenario de alta incertidumbre y variaciones inesperadas,
las tecnologías de información juega un papel clave toda vez que aceleran los
cambios disruptivos, que hacen más exigente la toma de decisiones en las
organizaciones y generan nuevas condiciones en el tratamiento de la información
que enfrentan la necesidad de seguir avanzando en el desarrollo de nuevos mercados,
con la protección de la información requerida para posicionar una organización.
De acuerdo con Ferraro y Cassiman (2014), tres tendencias inciden
en el ejercicio de la dirección empresarial: la globalización, la
digitalización y la politización. Las tres definen nuevas exigencias para los
cuerpos ejecutivos colegiados, como quiera que no entender esta nueva realidad,
puede ocasionar serias implicaciones en la supervivencia de la organización en el
mediano y largo plazo.
Por un lado la globalización,
abre las perspectivas de negocios en diferentes puntos del globo, generando
transacciones económicas internacionales, lo que permite mayor apertura del
flujo de bienes y servicios con precios competitivos y por otro, genera
nerviosismo en muchos empresarios, por la vinculación de diferentes
participantes en sectores antes no conocidos, que puede afectar la posición
competitiva de las empresas tradicionales en un segmento.
De igual forma la digitalización,
plantea tres desafíos claves:
- Los productos y servicios migran al mundo digital.
- Las empresas cuentan con modelos de negocio radicalmente diferentes, generalmente basados en tecnologías de información.
- Los clientes y seguidores crean comunidades que impactan la innovación y la creación de valor en las empresas.
Si bien la digitalización, procura unos costos mínimos de
transacción y optimiza el tiempo de las personas, la pregunta que plantea
Ferraro y Cassimann (2014) es: “¿cómo puede una empresa ser rentable si no hay
manera de reducir los costos del sector y del sistema heredado, ni los clientes
están dispuestos a pagar más?”.
Para responder a la pregunta los autores, establecen que en el
mundo de la digitalización sobrevivir no es tanto saber captar y mantener una
cuota de mercado, sino hacerla rentable. Esto es, cada usuario cuenta, sus
relaciones y la forma como de manera reiterada regresa para seguir haciendo uso
del servicio o producto. Crear una experiencia diferente es parte del secreto
del exigente mundo digital, donde todo cambia muy rápido.
Finalmente la politización,
hace evidente el debilitamiento del Estado-nación, que acompaña el
empoderamiento de las comunidades abiertas y vinculadas a nivel global, que
genera movimientos alternativos que pueden movilizar intereses, bien a favor de
grupos particulares, o en contra de intereses colectivos o nacionales.
Lo anterior implica que los mercados que antes estaban definidos
por regiones o estados, ahora gracias a la globalización, se fundan en
tendencias y movimientos de sociales con necesidades particulares, procurando
que los ejecutivos de las empresas asuman un papel más público y aseguren
responsabilidades estratégicas con grupos de interés emergentes, que les obliga
dar un paso adelante y reconocer su nuevo rol como políticos y diplomáticos que
buscan entender las demandas de sus nuevos mercados.
Todo este panorama establece un escenario complejo y asimétrico
que los ejecutivos de la seguridad de la información deben comprender para acompañar
a la gerencia frente al “lado oscuro de las tecnologías de información”, que se
convierte en un arma estratégica y táctica que desequilibra naciones,
compromete empresas y afecta personas.
Si bien, los esfuerzos actuales de los ejercicios de auditoria
(CEB, 2014c) se concentran en la efectividad de los controles de TI (tecnología
de información), son los comportamientos inadecuados de las personas, la
limitada capacidad de valoración de vulnerabilidades y amenazas emergentes, así
como el monitoreo insuficiente e inefectivo de accesos, las causas raíces de
las fallas de seguridad de la información más significativas, que habilitan el
lado oscuro de la fuerza y materializan sus efectos. En este sentido, las
lecciones aprendidas de los eventos adversos en seguridad de la información nos
deben animar a comprender la vista sistémica que se esconde en el denso tejido
de la conectividad, para entender los impactos de los cambios y tratar de
identificar sus patrones. (Goldin, 2012)
Con esta panorámica internacional de tendencias y las
manifestaciones cada vez más frecuentes del lado oscuro de la tecnología de
información, se presenta esta reflexión que inicia contextualizando qué es el
lado oscuro de la TI y cómo se materializan en cuatro riesgos emergentes
(incertidumbre y complejidad regulatoria, ciberseguridad, ejecución de la
estrategia y privacidad de los datos). Así mismo, revisa dos casos
internacionales recientes donde se hacen evidentes las realidades de la
inseguridad de la información en el contexto de la globalización, la
digitalización y la politización, para terminar con una propuesta de análisis
de escenarios emergentes que permita a las empresas y naciones aumentar su
sensibilidad a las fallas de seguridad de la información con el fin de contar
con estrategias concretas frente a situaciones inesperadas, que pongan a prueba
su capacidad de respuesta y resiliencia para continuar operando.
¿Qué es el
lado oscuro de la tecnología de información?
De acuerdo con la revisión efectuada por Tarafdar, D’Arcy, Turel y
Gupta (2014) se observa que si bien la tecnología de información tiene
cualidades ampliamente reconocidas relacionadas con la confiabilidad, la
portabilidad y el procesamiento eficiente, también ella puede socavar la
productividad, la innovación y el bienestar de las personas.
En este sentido, los investigadores establecen lo que denominan el
“lado oscuro de la TI”, manifiesto en dos tendencias identificadas: el tecnostress y el uso inadecuado de la TI. Por un lado, la primera hace referencia a
la exigencia de hacer múltiples cosas al mismo tiempo en diferentes
dispositivos electrónicos, con el fin de contar con información en tiempo real;
lo que hace que las personas tengan que adaptarse rápidamente a ciclos y
cambios tecnológicos generando presión y sobrecarga en sus labores lo que puede
ser contraproducente frente a los resultados que se esperan y los impactos en
adicciones que se pueden derivar de esta condición.
De otra parte, están las amenazas y riesgos emergentes propios del
uso inadecuado de la TI organizacional que puede generar ambientes o escenarios
de ataques que comprometan la información o la infraestructura de la empresa. Múltiples
estudios (CEB, 2014c) confirman que los ataques derivados por fallas internas
son más graves en alcance y severidad, que aquellos que se generan por brechas
o fugas de información ocasionados por fuentes externas a la empresa. En este
contexto, los comportamientos de las personas frente al tratamiento de la
información definen en gran medida el nivel de seguridad y control que puede
tener una organización.
Así las cosas, se confirma por parte de Tarafdar, D’Arcy, Turel y
Gupta (2014) que los comportamientos ingenuos y aquellos inadecuados no sancionados,
configuran la gran mayoría de las conductas contrarias al tratamiento apropiado
de la información. Adicionalmente, se reporta por estos investigadores que
irónicamente estos comportamientos se presentan por un deseo de los individuos
por ser más efectivos en desarrollo de sus labores y que a pesar de conocer que
dichas acciones violan una política organizacional en temas de protección de la
información, la ven como inocua.
Lo anterior plantea la tensión inherente entre la seguridad de la
información y la productividad empresarial. Esto es, se requiere acceso a la
información clave de la empresa en el menor tiempo posible para tomar las
decisiones con la mejor oportunidad y establecer los marcos de acción
requeridos para mantener la competitividad e innovación empresarial, y de igual
forma, proteger los intereses y el valor de la empresa tanto en los activos de
información clave de su negocio, así como en la reputación de la empresa, la
cual es sensible a los tratamientos inadecuados de la información por parte de
los individuos (internos o terceros – contratistas), que en algunos casos puede
terminar en litigios o acciones jurídicas que afecten las operaciones y el buen
nombre de la compañía.
Las implicaciones de los comportamientos inadecuados frente a la
información inicialmente no se advierten como condiciones críticas para las
organizaciones, dado que los impactos se pueden diferir (algunos) en el tiempo,
lo que hace se mantengan latentes y sólo cuando un evento particular actúa como
detonante, se manifiestan con un mayor nivel de severidad, pues generalmente ha
trascendido a la esfera pública, llamando la atención del nivel ejecutivo como
quiera que algunos de sus grupos de interés han sido afectados.
Una reciente encuesta de Cisco manifiesta esta tendencia y
caracteriza cuatro perfiles de los individuos respecto de su preocupación por
la protección de la información los cuales dibujan claramente los
comportamientos tipo de las personas en las organizaciones actuales. Las
categorías son: (Net-Security, 2015)
- Los conscientes de la amenaza - aquellos que son conscientes de los riesgos de seguridad y que se esfuerzan por mantener la seguridad en las operaciones, pues conocen y entienden sus impactos.
- Los bien intencionados - aquellos que tratan de cumplir con las políticas, pero que las implementan o aplican de forma “impredecible”.
- Los complacientes - aquellos que esperan que la empresa les proporcione un entorno de seguridad de la información adecuado y, por tanto, no toman la responsabilidad individual de la seguridad de los datos.
- Los aburridos y cínicos - quienes creen que las amenazas de la seguridad de la información están sobrevaloradas y que los mecanismos de seguridad y control inhiben su rendimiento y por tanto como resultado, violan las políticas y normativas de seguridad vigentes.
Riesgos
claves emergentes para las juntas directivas frente al tratamiento de la
información
Los analistas del CIO Executive Board – CEB (2014b) anualmente
adelantan una encuesta internacional
sobre los ejecutivos corporativos y miembros de juntas directivas sobre
los riesgos emergentes que ellos observan y cómo éstos pueden afectar a sus
empresas en su operación global. Como resultado del ejercicio realizado,
establecen cuatro (4) temas concretos donde se establecen los focos de atención
en los próximos años: incertidumbre y complejidad regulatoria, ciberseguridad,
ejecución de la estrategia y privacidad de los datos.
La necesidad de avanzar en mercados emergentes, en contextos
globalizados, con comunidades emergentes y demandantes de servicios de
tecnología de información, exige a las empresas revisar con cuidado su manual
de operación según la región y el sector donde se encuentre. A pesar de que las
organizaciones intentan cumplir con los requerimientos legales en sus ambientes
de operación, siguen confiando en el conocimiento regulatorio que tienen, lo
que puede ocasionar controversias de entendimiento con las autoridades locales
que enrarecen el tono de las revisiones jurídicas y de cumplimiento, y afectan
la imagen y operaciones propias de la empresa en su sector.
En razón con lo anterior, las corporaciones deben atender y
mantener un seguimiento y adaptación permanente del entorno de cumplimiento y
regulatorio de sus actividades de negocio, para bien anticipar los cambios que
se puedan presentar o mejor aún influir en las autoridades locales para
establecer referentes de cumplimiento alineados con las mejores prácticas
internacionales, con el fin de mantener un lenguaje común de valoración y
aseguramiento de operaciones que permita, por un lado una actividad empresarial
ajustada a los patrones corporativos y el fomento de un ambiente regulatorio de
clase mundial que supere la vista local y la proyecte en este contexto global.
De otra parte, la ciberseguridad (Cano, 2014) ha sido protagonista
en los últimos cinco (5) años en las noticias empresariales internacionales.
Basta revisar los casos más publicitados como son el de Sony (Schneier, 2014),
el de JP Morgan (Son, 2014), el de EBay (Harrison y Barinka, 2014) y
recientemente la afectación física de una planta de acero en Alemania (Zetter, 2015),
donde los atacantes ingresan por la red corporativa usando un spear phishing, es decir a través de un envío
de correo electrónico específico que parece provenir de una fuente confiable
con el fin de engañar al destinatario para que abra un archivo adjunto
malicioso o visite un sitio web malicioso, donde el malware se descarga en su
equipo.
Los costos e implicaciones de las afectaciones por las fallas de
seguridad de la información, no solamente están en la mente de los
profesionales de la seguridad de la información, sino en el colectivo de los
miembros de juntas directivas, que cada vez más toma más relevancia en el
escenario de riesgos de la organización, como factor relevante para mantener y
asegurar las operaciones de las organizaciones. En este sentido,
progresivamente se exige a la empresa establecer los planes concretos para
responder a un ciberataque, con énfasis en su detección y respuesta, incluyendo
si es posible una contraofensiva si ésta es requerida; sin dejar de lado el
fortalecimiento de los mecanismos de protección como son entre otros,
comportamientos adecuados frente al tratamiento de la información,
incorporación de ciberseguros (CIS-AIG, s.f) y aseguramiento de los controles
técnicos de la infraestructura de tecnología de información.
Por otro lado, tenemos los temas relativos a la ejecución de la
estrategia, que de acuerdo con los analistas del CEB (2014b) se presenta por
una incapacidad por parte de las empresas para cerrar la brecha entre la
estrategia y su ejecución debido a dos factores claves como son la necesidad de
victorias tempranas que generen credibilidad en un contexto económico complejo
y por otro, la sobrecarga laboral y recortes de personal, que distraen la
capacidad de los profesionales de la empresa para crear y desarrollar esfuerzos
que contribuyan al crecimiento de la organización.
En consecuencia con lo anterior, se hace necesario comprender el
nuevo entorno de negocio, donde la información es el nuevo recurso natural
(Stokes, 2014), para establecer las propuestas innovadoras que encuentren en
los retos de la empresa, la forma de generar nuevas propuestas de valor que le
impriman una nueva dinámica a las estrategias de negocio, no solamente basadas
en ventajas competitivas sostenibles, sino en transitorias. Esto es, reconocer
patrones emergentes de oportunidades que puedan aprovechar y luego prescindir
de ellas, una vez se ha concretado y aprovechado la propuesta de valor
identificada y puesta en operación.
Finalmente y no menos importante, la protección de datos
personales tema que se ha acentuado a nivel internacional por la creciente
digitalización de los datos de las personas como son los relacionados con la
salud, finanzas, prestaciones sociales, condiciones laborales, preferencias,
entre otras, contextualizadas en el escenario de las redes sociales y
tecnología de la Web 2.0, las cuales permiten la recolección, consolidación,
análisis y publicación de los mismos.
Las empresas líderes en esta temática desarrollan un programa de
protección de datos personales que incluye el inventario de bases de datos
donde se recolecta, almacena y transfiere información sensible de las personas.
Adicionalmente establecen un conjunto de normas y procedimientos para su
adecuado uso, las notificaciones pertinentes para los terceros autorizados para
su tratamiento, las medidas de seguridad y control requeridas para su manejo
dentro y fuera de la organización, así como los planes de auditoria propios del
programa y las acciones requeridas ante una brecha de seguridad de dichos datos.
Como hemos podido observar los cuatro riesgos emergentes
comentados previamente responden claramente al escenario comentado al inicio de
este documento que está gobernado por la globalización, la digitalización y la
politización, elementos que afectan de manera transversal la forma como debemos
entender, atender y enfrentar dichos riesgos. Esto supone crear un entorno y
tono adecuado en la organización para acoger la incertidumbre, la diversidad,
el conflicto y los fracasos, como una forma de aprendizaje y desaprendizaje,
que abra la puerta a propuestas flexibles que aumenten la capacidad de
respuesta y anticipación de la empresa, entendiendo los escenarios posibles
donde ella puede operar y las alternativas viables que puede desarrollar.
Dos casos
concretos para analizar: Sony y JP Morgan
Si bien las velocidades con que los riesgos previamente revisados
generan impactos importantes en la organización, están determinados por la
preparación para responder al evento y su capacidad de anticipación, en los
casos de dos grandes corporaciones internacionales como son Sony y JP Morgan
dichos elementos fueron puestos a prueba con resultados poco satisfactorios.
Mientras el caso de Sony, quien previamente había sufrido un
ataque importante a uno de sus productos estrella como el playstation, el cual
se podía utilizar y activar para jugar en línea con otros participantes, fue
víctima nuevamente de un ciberataque que comprometió sus servidores web, correo
electrónico y equipos de oficina donde se revelaron datos sensibles de sus
ejecutivos y productos claves; en el caso del JP Morgan, entidad sometida y
regulada por la Security Exchange
Commission (el regulador de las empresas públicas norteamericanas, es
decir, aquellas que cotizan en la Bolsa) sufre una brecha de seguridad de la
información en sitios alternos donde tenían información de contacto de sus
clientes a través del web o aplicaciones móviles, que no comprometió
información personal ni sensible de sus clientes como sus contraseñas, números
de cuenta, número de identificación, números telefónicos entre otras.
Si analizamos ambos casos, con las tres variables inicialmente
planteadas como son la globalización, la digitalización y la politización,
podemos entender mejor las implicaciones y lecciones aprendidas que nos dejan
estos eventos, para efectos de plantear estudios extendidos que nos permitan
tener mejores elementos de análisis cuando situaciones semejantes aparezcan en
nuestro horizonte de riesgos y amenazas emergentes.
|
|
SONY
|
JP MORGAN
|
|
Globalización
|
·
Tiene
una operación de alcance internacional
·
Experimenta
con modelos de negocio diferentes identificando los mercados potenciales y
entendiendo la cultura de los grupos de interés locales.
·
Control
centralizado con estructuras
organizacionales de ejecución diferentes en cada región donde opera.
|
·
Cuenta
con una operación internacional con una infraestructura de computación
centralizada y basada en alta disponibilidad.
·
Reconoce
que existen otros jugadores importantes en su mercado, que igualmente
aprovechan las oportunidades de negocio que se presentan.
·
Reconocen
los riesgos financieros que implican las crisis internacionales y se preparan
para ello.
|
|
Digitalización
|
·
La
necesidad del “time to market” disminuye los tiempos de aseguramiento
requeridos de los productos y plataformas.
·
Los
comportamientos y competencias relacionadas con el tratamiento de la
información se enfrentan a la necesidad de efectividad en la gestión de la
empresa.
·
Regulada
por la SEC y con las demandas de aseguramiento propias de una empresa pública
en los Estados Unidos de América.
·
El uso
intensivo de las tecnologías de la Web 2.0 o superiores, son requisito
indispensables para crear productos, servicios o modelos de negocio
innovadores para comunidades
emergentes
|
·
La
necesidad de disminución de costos y aumento de efectividad en su gestión lo
lleva al uso intensivo de tecnologías de información y aplicaciones en la
Web.
·
Cuenta
con un programa de protección de la información como parte del programa de
cumplimiento exigible por la SEC (Security Exchange Commission)
·
Requiere
crear nuevas formas de captar valor en un mercado competitivo y cambiante,
para lo cual las tecnologías emergentes son sus aliados directos.
|
|
Politización
|
·
Cuentan
con comunidades creadas alrededor de sus productos y servicios
·
Los ejecutivos
de la empresa actúan representando intereses políticos de su nación y no
solamente los empresariales.
·
Interactúa
con gobiernos, reguladores y otros grupos de interés que representan
intereses bien estatales, comerciales o colectivos.
|
·
Es una
banca global que se ha convertido en una marca de riqueza y reconocimiento en
su sector.
·
Los
ejecutivos de la entidad, no solo representan interesa nacionales sino
internacionales con implicaciones en países emergentes.
·
Interactúa
con gobiernos, reguladores y otros grupos de interés que representan
intereses bien estatales, comerciales o colectivos.
|
Si revisamos las dos empresas, ambas dependen altamente de la
tecnología de información, no solo para su operación, sino como componente
clave para apalancar el modelo de generación de valor de la empresa. En este
contexto, la información que se maneja en ambas corporaciones, exige el
entendimiento de la misma como un activo clave y sensible que tiene la
relevancia requerida para hacer la diferencia en mercados altamente competidos,
así como una alta especialidad técnica en prácticas de seguridad y control que
permitan la mayor flexibilidad con la mayor protección.
De otra parte, dada su operación global y presencia regional, es
susceptible de las diferentes variaciones de los grupos de interés que pueden
ver afectados sus intereses, toda vez que las empresas multinacionales en su
operación, desean adelantar y posicionarse rápidamente con las menores
implicaciones legales posibles y con los mínimos impactos en sus planes de
negocio. Sin embargo, muchas veces estas empresas, por el afán de alcanzar
mínimos de eficiencia requeridos, desatienden elementos y tendencias de
comunidades emergentes que pueden impactar las operaciones de la firma en un
entorno digital.
De igual forma, las multinacionales ya no solamente representan
intereses corporativos sino nacionales. Se convierten en embajadores naturales
de los países en otros territorios, lo que cambia la connotación de su visión
exclusivamente de negocios, por una de agenda política y de impacto regional,
donde los intereses de las naciones se ven involucrados, volviendo a los
ejecutivos empresariales en diplomáticos, que como anotan Ferraro y Cassiman
(2014), influyen en las condiciones del área e impactan con sus operaciones los
intereses de la región.
Si miramos ambas empresas, por las exigencias regulatorias deben
tener activas prácticas de seguridad y control para asegurar la integridad de
los estados financieros como lo exige la SEC. Sin perjuicio de lo anterior, la
pregunta en el fondo es ¿qué significa el ejercicio de cumplimiento en cada una
de ellas? ¿Una revisión de evidencias exigidas para cumplir con la auditoría
efectuada por el organismo de control o una práctica interiorizada en la
cultura de la organización que reconoce la información como un activo clave que
debe asegurar?
Cualquiera que sea la respuesta, es importante construir y madurar
una cultura de protección de la información que persuada a los individuos sobre
los impactos de sus comportamientos frente al tratamientos de la información,
revele los efectos nocivos que tiene sus usos inadecuados, controvierta las
prácticas “culturalmente aceptadas” que afectan la protección de la información
y sobre manera, se lidere con el ejemplo desde la parte ejecutiva y su junta
directiva, con el fin de establecer patrones de conducta y prácticas operativas
y tecnológicas que promuevan una vista de cumplimiento normativo por convicción
y no por conveniencia.
Juegos de
guerra: Escenarios emergentes para retar la inseguridad de la información
Las tensiones internacionales vigentes nos sugieren que la
geopolítica global está cambiando y nuevos dominios de operación (Lynn, 2010)
emergen en las estrategias de defensa y control de las naciones. Las amenazas
informáticas se convierten en referentes novedosos en las estrategias de
protección de las naciones, que ahora centran su atención en los ataques
sofisticados que se adelantan por grupos hacktivistas contra infraestructuras
tanto civiles como militares.
En este sentido, la capacidad de respuesta y anticipación de las
empresas frente a este escenario de “guerra fría informática” de las naciones,
se vuelve impredecible e incierto, como quiera que la tecnología evoluciona muy
rápido y que los legisladores apenas comienzan a entender esta nueva realidad
de la ciberseguridad y la ciberdefensa, para cumplir con las expectativas de
respuesta y protección que ahora exigen los ciudadanos de una sociedad de la
información y el conocimiento.
Bejtlich (2014) consciente de esta realidad, desarrolla una
revisión académica de las investigaciones previas que se tienen respecto de las
tecnologías de seguridad de la información que se vienen haciendo desde los
años 70 hasta la fecha, donde concluye que al parecer alguien no está escuchando
el mensaje sobre la realidad de la inseguridad de la información, posiblemente
por tres razones:
· No ha
llamado la atención de líderes de negocios o gobernantes, bien por su alta
especialidad técnica o por la forma como se ha presentado.
· Los resultados
de las investigaciones fueron hechas por los académicos en los primeros años
del surgimiento de la seguridad de la información y no fueron tomados en
cuenta.
· Los
resultados de los artículos promovían un monitoreo centralizado como filosofía
base, más que un enfoque preventivo de protección.
De otra
parte, durante los primeros años de evolución de la protección de la
información, el enfoque técnico primaba sobre las recomendaciones y
estrategias, lo que hizo que rápidamente la lectura del aseguramiento de los
datos, se consolidara como un tema de herramientas y tácticas, más que de
prácticas y responsabilidad gerencial. En consecuencia Bejtlich (2014) plantea
un modelo de cinco niveles para desarrollar una seguridad estratégica que lee y
construye un programa de objetivos inspirados en las expectativas de la junta
directiva, para luego desarrollar las estrategias de operación basadas en
detección rápida, respuesta y contención que minimice los daños e incremente la
capacidad de recuperación empresarial basado en los análisis de datos de la
incidentes y lecciones aprendidas que aumenten la resistencia de la empresa a
situaciones de ataques conocidos y desconocidos.
Sin
perjuicio de lo anterior y como una vista complementaria Intel propone la
estrategia de juegos de guerra, con el fin anticipar nuevas vulnerabilidades y
amenazas emergentes con el fin de contar con acciones concretas que disminuyan
el nivel de incertidumbre en las actuaciones de la empresa, sin que esto quiera
decir que lo podrá hacer para todas las ocasiones.
Lo que
propone Intel (CEB, 2014) es el desarrollo de escenarios de análisis basado en
cuatro actividades:
·
Participación
de múltiples roles de la organización
o
Expertos
técnicos
o
Líderes de
proceso
o
Operarios
o
Personal de
ventas
·
Establecer los
escenarios de ataque basados en vulnerabilidades conocidas y desconocidas para
lo cual se debe especificar como mínimo:
o
Objetivo del
ataque
o
El perfil
del atacantes o agente
o
Nivel de
habilidades y recursos disponibles del atacantes
o
Tiempo de
planeación y ejecución por parte del atacante
·
Operacionalizar
el ataque
o
Postular los
medios a través de los cuales el atacante puede lograr su objetivo.
·
Capturar y
analizar las ideas que surjan sobre el ataque
o
Registro de
las sugerencias, alternativas e ideas sobre el ataque
o
Adelantar un
análisis posterior del escenario y las ideas planteadas por parte de los
analistas para revelar las nuevas posibles vulnerabilidades.
Adelantar este tipo de ejercicios permite aumentar en la
organización la apropiación del tema en sus diferentes área, incrementar la
concienciación de los procesos respecto de la inevitabilidad de la falla en el
tratamiento y uso de la información, así como el fortalecimiento de la cultura
de cumplimiento, que combina no solamente la vista del regulador y sus
expectativas, sino una revisión multidimensional de factores que pueden
incrementar la aparición de la inseguridad de la información en las operaciones
de la empresa.
Habida cuenta de lo anterior, la organización cuenta con una vista
consolidada de las posibilidades y vulnerabilidades que puede enfrentar, así
como las acciones requeridas para actuar en consecuencia en el evento que se
puedan materializar. De otra parte, al contar con la información, los
ejecutivos corporativos pueden tomar decisiones informadas basadas en el
conocimiento de los riesgos identificados y sus implicaciones, lo que lleva a
enfrentar la falsa sensación de seguridad inherente al contar con mecanismos
tecnológicos instalados y operando, y con prácticas de gestión de vulnerabilidades
periódicas.
Reflexiones
finales
Si bien los ciberataques comentados en este artículo revelan que
están revestidos de contextos geopolíticos relevantes y las operaciones
militares que se han llevado a cabo en el pasado, denominadas “ciber
operaciones”, nos ponen en alerta sobre un escenario de “ciber guerra”, que
para algunos es una realidad y para otros, algo improbable con las dimensiones
que implica la aplicación real del concepto (Lynn, 2010; Dieterle,
2012); lo cierto
es que una confrontación en términos digitales, no es un concepto nuevo y que
ha sido analizado desde la década de los 90s cuando se hacía distinción entre “guerra
en red” (en inglés Netwar – en el campo
civil) y “ciber guerra” (en inglés cyberwar
– en el campo militar) ambos basados en la información y la infraestructura de
comunicaciones tanto de organizaciones como de estados. (Arquilla y Ronfeldt, 1993)
No obstante lo anterior, las brechas de seguridad de la
información continuarán siendo las armas tácticas que utilicen tanto gobiernos
como comunidades hacktivistas, así como otros participantes, como posibles
mercenarios informáticos, para comprometer y desestabilizar la operación de
empresas y naciones. Dichas brechas son producto, por lo general de la
aplicación sistemática de malas prácticas en el desarrollo de software, en el
tratamiento de la información por parte de las personas, así como por una
inadecuada adopción y aplicación de marcos de gestión de seguridad de la
información. (Krausz y Walker, 2013)
Por tanto, debemos comprender que en un escenario de
globalización, digitalización y politización, surgirán cada vez más nuevos
vectores de ataque, muchos de ellos motivados por las tensiones políticas de
dominio y control por parte de las naciones desarrolladas o bien por
inconformidades de comunidades digitales emergentes que reclaman ser escuchadas
en el escenario de las políticas nacionales e internacionales, los cuales serán
asistidos por técnicas basadas en amenazas persistentes avanzadas, técnicas de
evasión avanzadas o aplicación de vulnerabilidades conocidas sobre tecnologías
emergentes. (Lewis, 2014)
En razón con lo anterior, se hace necesario repensar los modelos
de revisión y análisis de riesgos y amenazas, para mirar no solamente aquellos
conocidos, sino los emergentes, latentes y focales, es decir, aquellos propios
de su sector de negocio (Cano, 2014b) y de esta forma complementar los análisis
tradiciones de valoración de riesgos que revisan los impactos en los modelos de
negocio, las implicaciones legales y financieras, así como las
responsabilidades inherentes de las terceras partes que hacen parte de la
operación de la infraestructura tecnológica o de proceso de las empresas. (Krausz y Walker 2013, pág.19 y 20)
Así las cosas, debemos desarrollar un pensamiento basado en una
sabiduría no convencional que estimule tanto a los ejecutivos empresariales
como a los responsables de la seguridad de la información, a pensar por “fuera
de la caja” para retar las condiciones existentes de protección, no como un
juicio desfavorable para las estrategias vigentes implementadas, sino como una
forma de estresar el modelo actual, pensar en escenarios inesperados y activar
el pensamiento lateral, sobre aquello que podría ser. En este sentido, la
propuesta de los juegos de guerra de Intel puede ser una oportunidad en esta
dirección.
Finalmente, el lado oscuro de la tecnología de información, leído
desde la inseguridad de la información, nos presenta una realidad apasionante y
compleja, que nos demanda no solamente “pensar fuera de la caja”, sino “crear
una nueva caja” que tenga la virtud de establecer nuevas formas de pensar, de
conocer, de transcender y anticipar el mundo que queremos y deseamos. Esto
implica tener la audacia y la originalidad para liberarnos de nuestros filtros
particulares y así, asumir las fallas de seguridad como los pilares de la
gestión de la seguridad de la información, donde no existan fracasos técnicos o
de procedimiento, sino escenarios de aprendizaje y colaboración para crear y
anticipar los quiebres de nuestra maestra la inseguridad.
Referencias
Arquilla, J. y Ronfeldt, D. (1993) Cyberwar is coming! Comparative Strategy. Vol 12, No.2.
Spring. Recuperado de: http://www.rand.org/content/dam/rand/pubs/monograph_reports/MR880/MR880.ch2.pdf
Bejtlich, R. (2014)
Strategy, not speed. What today’s digital defenders must learn from
cybersecurity’s early thinkers. Center for 21st Century Security and
Intelligence at Brookings. Recuperado de: http://www.brookings.edu/~/media/research/files/papers/2014/05/07-strategy-not-speed-digital-defenders-early-cybersecurity-thinkers-bejtlich/voices-from-the-cyber-past-final.pdf
Cano, J. (2014) Fundamentos de ciberseguridad. Perspectivas
emergentes para construir un entorno digital menos inseguro. Blog
IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com/2014/07/fundamentos-de-ciberseguridad_21.html
Cano, J. (2014b) La ventana de AREM. Una herramienta estratégica y
táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de
Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5.
Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
CEB (2014) Heard in
suite: Intel perform structured risk sensing. (Requiere suscripción)
CEB (2014b) Risk
intelligence Quarterly. Q4. Recuperado
de: http://ceb.uberflip.com/i/192608/2
CEB (2014c) 2014 IT Audit Benchmarking Survey.
Center for Internet Safety-CIS and American International
Group-AIG (s.f.) Cyber insurance research paper. Recuperado de: http://www.canberra.edu.au/media-centre/attachments/pdf_folder/AIG-CIS-Cyber-Insurance_F3.pdf
Dieterle, D. (2012)
Cyber warfare network attacks. Revista Hakin9. Recuperado
de: http://hakin9.org/download/hakin9-042012-cyber-warfare/ (Requiere suscripción)
Ferraro, F. y Cassiman, B. (2014) Globalización, digitalización y
politización. Tres tendencias que cambiarán su forma de dirigir. IESE Insight. No.23. Cuarto
Trimestre.
Goldin, I. (2012) Riesgo sistémico, el precio de la
interconectividad. IESE Insight.
Primer trimestre. No.12.
Harrison, C. y Barinka, A. (2014) EBay Asks Users to Change
Passwords After Cyber-Attack. Recuperado de: http://www.bloomberg.com/news/2014-05-21/ebay-asks-users-to-change-their-passwords-after-cyber-attack.html
Krausz, M. y Walker, J. (2013) The
true cost of information security breaches and cyber crime. IT Governance
Publishing.
Lewis, N. (2014) Malware defense: How to detect and mitigate
advanced evasion techniques. Recuperado de: http://searchsecurity.techtarget.com/tip/Malware-defense-How-to-detect-and-mitigate-advanced-evasion-techniques
Lynn, W. (2010) Defending a new domain. The pentagon’s
cyberstrategy. Foreign Affairs.
September/October. Recuperado de: http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain
Net-Security (2015) Is IT security stifling innovation and
collaboration? Recuperado de: http://www.net-security.org/secworld.php?id=17806
Schneier, B. (2014) Sony made it easy, but any of us could get
hacked. Wall Street Journal. Recuperado de: http://www.wsj.com/articles/sony-made-it-easy-but-any-of-us-could-get-hacked-1419002701
Son, H. (2014) JPMorgan
Employee Password Was Key in Hack Hitting 76 Million Homes. Recuperado de: http://www.bloomberg.com/news/2014-10-02/jpmorgan-says-data-breach-affected-76-million-households.html
Stokes, D. (2014) Technology Innovation the New Currency of the
Digital Age. Recuperado de: http://www.europeanbusinessreview.com/?p=6290
Tarafdar, M., D’Arcy,
J., Turel, O. y Gupta, A. (2014) The dark side of information technology. Sloan Management Review. Vol.56, No.2. Winter.
Zetter, K. (2015) A Cyberattack Has Caused Confirmed Physical
Damage for the Second Time Ever. Recuperado de: http://www.wired.com/2015/01/german-steel-mill-hack-destruction/
Este comentario ha sido eliminado por un administrador del blog.
ResponderEliminar