Introducción
Adelantar la
revisión de los retos y tendencias en seguridad de la información para el año
siguiente, no es un ejercicio de consolidación de temáticas revisadas, sino la
exigencia de plantear escenarios que permitan anticipar volatilidades o
inestabilidades que impliquen una revisión de las prácticas actuales del área
que gobierna la seguridad y el control de la información en una empresa.
En este
sentido, la realidad de la convergencia tecnológica establece un nuevo marco de
actuación de los ejecutivos de la seguridad, como quiera que, en este entorno
las prácticas conocidas comiencen a ceder terreno y motivar acciones diferentes
respecto de los riesgos y amenazas emergentes que surgen, cuando se advierten
nuevas relaciones e interconexiones digitales entre tecnologías, personas,
procesos y regulaciones (Bailey, Kaplan y Rezek, 2015).
Los
productos y servicios digitalmente modificados constituyen la base de la
reflexión que ahora las áreas de seguridad de la información deben considerar,
habida cuenta que, la digitalización de los procesos empresariales y la
necesidad de concretar negocios innovadores y disruptivos, exige de la
protección de la información una apuesta de funcionalidad y control que aumente
la confianza de los usuarios y asegure una práctica consistente y confiable en
entornos hiperconectados, en la nube, instantáneos y con plataformas móviles.
Así las
cosas, establecer una base de pronósticos en seguridad de la información para
el año entrante, sugiere un reto asimétrico y discontinuo del entorno, que implica
tratar de acertar en un blanco en movimiento y con los ojos vendados. Por tanto,
proponer alternativas para revisar bajo estas condiciones, es abrir una ventana
de aprendizajes para los cuales no hay preparación previa, pero si una actitud
abierta y generosa para aceptar y renovar las prácticas actuales, frente a la
inevitabilidad de la falla.
A
continuación se presentan algunas tendencias emergentes que se advierten para
los próximos 365 días, las cuales prometen mantener fuera de la zona cómoda a
los profesionales de seguridad de la información, algunas veces sorprendidos y
otras vigilantes, pero siempre aprendiendo y desaprendiendo de su maestra la
inseguridad de la información.
1. Revelación
de nuevos ecosistemas digitales criminales (EcoDC)
La industria
criminal no para de sorprender a las instituciones gubernamentales. La dinámica
de la acción delincuencial implica evolucionar tan rápido como las novedades
tecnológicas. La apropiación digital y el desarrollo de nuevas capacidades delictivas
por parte de actores contrarios a la ley, promueven el desarrollo de
ecosistemas digitales criminales los cuales se sustentan en una demanda
creciente de servicios como vulnerabilidades inéditas, alquiler de botnets,
datos personales robados, información clasificada, malware “a la medida”,
denegación de servicio “como servicio”, cibercrimen “como servicio” entre
otros.
Estos EcoDC
(Cano, 2016b) se fundan en características claves como anonimato, bajo costo,
técnicas antiforenses, conocimiento especializado y facilidad de pruebas, las
cuales crean un espacio sin competencia en el mercado, pues el acceso a estas
posibilidades, no requiere de grandes inversiones, sino de un acceso especial y
la motivación necesaria para crear un entorno incierto alrededor de la empresa
o personal objetivo. Un caso particular de estos ecosistemas es la “Web
Profunda”/ “Deep Web”.
Los EcoDC
serán cada vez movimientos y plataformas creadas de forma invisible en la web
con el fin proveer capacidades criminales a bajo costo y con alto impacto, de
tal forma que se puedan concretar servicios nuevos como pueden ser un “SOC Inverso”
(donde se estudie el tráfico de entidades específicas, para que mediante
analítica de datos, se puedan concretar perfiles de ataque novedosos y
ajustados con la realidad de cada empresa objetivo), armas digitales (malware
destructivos, silencios, cifrados y multiplataforma), campañas de engaños
dirigidas no rastreables, entre otros.
2. Mayor uso
de tácticas disuasivas como prácticas de defensa activa
Las empresas
en general mantienen un esquema de protección basado en implementaciones
técnicas de dispositivos tecnológicos de seguridad y control, o servicios de
monitoreo externo que mantienen una vigilancia estricta sobre el perímetro de
seguridad de las organizaciones. En este sentido, se plantea y mantiene una
tensión permanente entre ataque y defensa, que implica un desgaste de la
doctrina de seguridad y control, lo cual implica una visión ejecutiva de la
seguridad como “algo de nunca acabar” y un “gasto necesario” que se debe
mantener.
Si bien la
seguridad informática corre el riesgo de convertirse en un “commodity”, es
importante repensar las estrategias que se tienen a la fecha para revertir la
tendencia de centro de costo que cada vez se confirma en los niveles de
gobierno corporativo. Para ello, se advierte una tendencia para crear técnicas
y tácticas disuasivas que motiven a los posibles atacantes a desistir de sus
intenciones sobre la infraestructura tecnológica o personas de la organización.
Lo anterior
significa jugar en el mismo terreno de los atacantes publicitando ataques de
día cero, creando entorno de desinformación y siendo solidario otras víctimas
de ataques. Esto implica, estudiar los movimientos de los adversarios, crear
señuelos especializados para desviar la atención hacia objetivos distintos al
de la organización que se protege. (CEB, 2016) La disuasión como estrategia de
seguridad y control, se funda en técnicas militares que buscan comunicar y
cambiar la percepción del entorno sobre el aseguramiento de la información en
la empresa y así tratar de invisibilizarse en medio de la dinámica de alertas y
ataques.
3. De la
continuidad tecnológica a la resiliencia digital
Durante
mucho tiempo las áreas de tecnología de información han sido las garantes del
concepto de continuidad tecnológica, un esfuerzo permanente para asegurar que
ante eventos inesperados, los componentes de tecnología que soporta el negocio
sigan funcionando. En este escenario, se tienen múltiples estándares que han sido
desarrollados a nivel internacional indicando las diferentes etapas y
entregables que se deben construir para configurar el plan de continuidad y las
respectivas pruebas de dichos planes.
De acuerdo
con el ISO 22316 Seguridad y Resiliencia –
Guías para la resiliencia organizacional, (ISO, 2016) la resiliencia
organizacional es la habilidad de una organización para responder y adaptarse
al cambio. La resiliencia habilita a una organización para anticiparse y
responder a las amenazas y oportunidades, que se surgen de cambios graduales o
inesperados tanto en su contexto interno como externo.
En este
sentido, desarrollar esta habilidad en el entorno digital, implica cambiar el
paradigma de protección de la información y del negocio, por implementaciones
flexibles y dinámicas que se reconstruyen conforme ocurren los eventos,
acelerando el aprendizaje de la organización respecto del evento o amenaza
informática, para continuar operando bajo condiciones adversas y recuperarse en
la medida que se confirman los impactos y alcances del ataque exitoso.
4. Aceleración
de ataques sistémicamente comprometedores
La dinámica
empresarial, las inestabilidades geopolíticas, los inciertos asociados con los
derechos fundamentales en internet y las distintas expresiones de las
discontinuidades tecnológicas nutren la complejidad inherente de las relaciones
del ecosistema digital de una organización, anticipando crisis inesperadas, no
sólo causadas por efectos de ataques de tipo tecnológico, sino por compromisos
de la vida digital de las personas, donde su información personal, financiera o
médica estará implicada en el tsunami digital de una realidad digital y
modificada.
En este contexto,
cualquier evento individual sobre un componente de un ecosistema digital de una
organización o de un país, puede causar demoras, rupturas, denegación,
discontinuidad o fallas en los productos o servicios, que afecten el tejido
digital del cual hace parte, afectando no solamente a sus grupos de interés
identificados, sino a comunidades o elementos extendidos en su red de
contactos, que ponen de manifiesto la importancia de su participación en esta
realidad sistémica de la empresa (WEF, 2016).
Ignorar este
tipo de condición base de cualquier empresa en la actualidad, es habilitar a
los atacantes para concretar ataques con efectos de difusión amplios y con
alcances inesperados, que pueden trascender rápidamente su dominio particular y
comprometer realidades externas, asistidas con terceros o participantes no
considerados, que establecen rutas críticas para la operación de servicios o
productos altamente dependientes de las características del ecosistemas digital
del cual hacen parte. Un ejemplo es el ataque reciente a la empresa DYN y en el
pasado el ataque a 10 servidores raíz de DNS de alcance global.
5. Mayor
alfabetización digital de las juntas directivas
Los cuerpos
de gobierno corporativos son siempre un objetivo de cualquier iniciativa
organizacional que requiera atención y ubicación de recursos para su desarrollo.
En este sentido, la seguridad de la información tiene el reto permanente de
entender el imaginario vigente de estos ejecutivos (Cano, 2016) con el fin de
ir motivando reflexiones alrededor de este tema, más allá de una rendición de
cuentas por inversiones tecnológicas o reporte de incidentes que afectan las
operaciones.
Conforme el
escenario de las organizaciones demanda habilidades digitales, competencias
para comprender y desarrollar productos y/o servicios digitalmente modificados
y sobre manera pensar de forma digital, esto es, comprender y explorar la vista
convergente de la tecnología como un facilitador de nuevas fronteras de
negocios disruptivos, como motivador de experiencias inéditas de los clientes y
como creadora de capacidades flexibles y adaptables que soportan estas
características (Dörner y Edelman, 2015), se requiere acelerar el entendimiento
de dicha dinámica en los cuerpos directivos para desarrollar una postura
estratégica distinta, que mitigue el riesgo de deterioro estratégico, por su
limitada comprensión del ecosistema digital de la cual ahora hace parte la
organización.
En este
sentido, la alfabetización digital demanda una mayor sensibilidad de los ciber
riesgos, de la vista sistémica de los ataques y sus impactos, no como fenómenos
exclusivamente tecnológicos, sino como iniciativas de desestabilización
empresariales que buscan crear incertidumbre y la sensación de pérdida de
control, con el fin de degradar la imagen de la empresa, disminuir el capital
político de los miembros de junta y sobre manera, motivar una posición
vulnerable de las organización frente a sus grupos de interés.
Reflexiones finales
Gartner
(Perkins, 2016) en una reciente publicación advierte sobre la necesidad de la renovación
de las prácticas de seguridad y control en las organizaciones considerando la
acelerada transformación digital de las empresas y las naciones. Esta
renovación no sólo pasa por el cambio de las estrategias de protección, sino
por una vista renovada del control que ahora debe combinar acceso, uso y
localización, como fundamento de la movilidad natural de las personas en
entornos hiperconectados.
Lo anterior
implica establecer una transición hacia unos nuevos normales, que
necesariamente exige una alfabetización digital en los cuerpos de dirección,
una integración y aseguramiento prácticas con los terceros que soportan las
operaciones y la reinvención del ejecutivo de seguridad de la información, que
debe pasar de ofrecer soluciones livianas, sencillas y efectivas, a proponer
alternativas convergentes, integradas y efectivas.
Si se
entiende que “el futuro no es el destino, no está predeterminado” y que las
acciones que se toman en la actualidad lo definen, la seguridad de la
información tiene un camino de esperanza hacia adelante, donde puede elaborar
escenarios o imágenes de futuros posibles proyectivos
(extrapolación de datos del presente), utópicos
(escenarios deseables), catastróficos (escenarios
indeseables) y futuribles (algo
cercano a lo utópico, pero factible. Es el futuro deseable y posible)
(Valderrama, 2013, p.148), los cuales advierten sobre la invitación para
explorar los límites de las posibilidades, más allá del entendimiento de las
probabilidades en un entorno volátil, incierto, complejo y ambiguo.
Esto es,
superar el miedo al error, las posturas fijas y poco flexibles, los sesgos de
los resultados del pasado (Gino y Staats, 2015) y las lecciones aprendidas de
los incidentes, para construir una postura de seguridad de la información
creativa, tolerante a la ambigüedad y la incertidumbre, inconforme con el statu
quo y sensible a los retos y situaciones problemáticas, que destruya los estereotipos
creados alrededor de la función y potencie las transformaciones que las
organizaciones digitalmente modificadas requieren ahora y en el futuro.
Referencias
Bailey, T., Kaplan, J. y Rezek, C. (2015) Repelling the cyberattackers. Mckinsey Quartely. July.
Recuperado de: http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/repelling-the-cyberattackers
Cano, J.
(2016) Manual de un CISO. Reflexiones no
convencionales sobre la gerencia de la seguridad de la información en un mundo
VICA. Bogotá, Colombia: Ediciones de la U.
Cano, J. (2016b)
Ecosistemas Digitales Criminales. La nueva frontera de los investigadores
forenses informáticos. Blog IT- Insecurity. Recuperado de: http://insecurityit.blogspot.com/2016/03/ecosistemas-digitales-criminales-la.html
CEB (2016) 2016 security Outlook. 10 imperatives for the information
security function.
Dörner, K. y Edelman, D. (2015) What ‘digital’ really means. Mckinsey
Quarterly. July. Recuperado de: http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means
Gino, F. y Staats, B. (2015) Why organizations don´t learn. Harvard
Business Review. November. Recuperado de:
https://hbr.org/2015/11/why-organizations-dont-learn
Perkins, E. (2016) Transform your security team to deal with Digital
Business Risk. Gartner Research.
ISO (2016)
ISO 22316. Security and resilience – Guidelines for organizational resilience.
Valderrama,
B. (2013) Creatividad inteligente. Guía
para convertir ideas en innovación. Madrid, España: Pearson.
WEF (2016) Understanding
systemic cyber risk. Global Agenda Council on Risk and Resilience. Recuperado de: http://www3.weforum.org/docs/White_Paper_GAC_Cyber_Resilience_VERSION_2.pdf
No hay comentarios:
Publicar un comentario