Introducción
En un contexto
digitalmente modificado, los retos de la seguridad de la información y la
ciberseguridad cambian sustancialmente. Mientras en el pasado, las prácticas de
protección de la información se mantenían con recetas conocidas: controles
generales de tecnología de información, generación de alertas sobre eventos
previamente identificados, evaluaciones de verificación de controles, entre
otros; hoy el panorama dinámico y asimétrico de las vulnerabilidades, riesgos y
amenazas demanda una vista más sistémica y prospectiva que cambia el status quo reactivo y preventivo de la
seguridad y el control (Kaplan, Bailey, O’Halloran, Marcus & Rezek, 2015).
Si
bien durante la última década del siglo XX y la primera del siglo XXI, la
seguridad de la información, estuvo marcada por la protección de los activos de
información en las organizaciones (Cano, 2018), hoy en los albores de la
tercera década de este nuevo milenio, es la densidad digital, el nuevo
paradigma que los profesionales de la protección de la información deben
comprender, para alinear los esfuerzos de los ejecutivos y sus retos
empresariales, frente a la inevitabilidad de la falla, que ahora se concentra
en plataformas digitales, terceros de confianza, convergencia tecnológica y
tecnologías disruptivas.
La
densidad digital como “el poder de
acceder de forma remota a los datos generados por las organizaciones, las
personas y las cosas sin importar su ubicación física, y de articular
interacciones relevantes entre ellas” (Zamora, 2017), se configura como el
nuevo normal que deben asumir los profesionales de la protección de la
información, para reinventar sus prácticas y modelos de seguridad y control,
ahora en un contexto de flujos de datos controlados, latentes (no controlados)
y emergentes, los cuales definen la condición de confiabilidad de un objeto
digitalmente denso.
Lo
anterior, configura nuevos escenarios de interacción, donde las “cosas
digitalizadas” hacen parte de ecosistemas con funcionalidades y características
extendidas, que crean capacidades diferenciales para las empresas, con el fin
de fundar experiencias distintas para sus clientes. Estas nuevas plataformas
digitales, que pertenecen a diferentes compañías, se fusionan con
desarrolladores especializados para proveer una variedad de interfases de
programas de aplicaciones (en inglés API), que permiten integrar y potenciar la
conectividad entre diferentes contextos de uso (dispositivos móviles,
aplicaciones, hardware, entre otros) para lograr funcionalidades antes no
imaginadas (De Reuver, Sørensen & Basole, 2018).
En
consecuencia, este documento hace una revisión de los retos que enfrentan los
profesionales de seguridad de la información y de ciberseguridad (en adelante psiyc) en una sociedad digital, y detalla algunas reflexiones sobre cómo
deben abordar esta nueva realidad tecnológicamente modificada, con el fin de
ejercer un liderazgo digital valioso, que anticipe, comprenda y comunique los
riesgos como elementos claves para construir una confianza digital imperfecta,
que está basada, no sólo en la protección de activos de información, sino en
activos digitales que ahora en están en manos de los clientes, y que
evolucionan según las expectativas y experiencias de éstos.
Retos de los profesionales de seguridad de la
información y ciberseguridad en un contexto digital
Los especialistas y
ejecutivos en seguridad de la información y ciberseguridad, se encuentran en
una encrucijada, que les demanda resolver el reto de la velocidad y la
creatividad del negocio, con la protección, no sólo de la información, sino de
la realidad digital que ahora vive y experimenta el cliente.
En
este sentido, los límites naturales de los profesionales en la protección de la
información, que están fundados dentro de los linderos de la organización para
la cual prestan sus servicios, ahora se extienden sobre los escenarios alternos
que ahora plantean los negocios actuales. Un cliente digitalmente conectado, se
configura como una extensión de la empresa y se convierte en parte inherente de
la promesa de valor de la empresa, así como en un elemento clave en la lectura
de la confiabilidad de la empresa y sus productos.
Si
bien, la elaboración y configuración de los nuevos dispositivos digitalmente
densos, exige un mayor detalle y consideraciones de seguridad y privacidad por
diseño (Bhattari & Wang, 2018), los psiyc deben asegurar que
dicho artefacto se revele a los clientes, no solo como una oportunidad que
concreta nuevas experiencias, sino como un elemento digitalmente confiable,
donde tanto empresa como cliente, construyen una relación de confianza digital,
que conecta las exigencias de cumplimiento de calidad y conformidad de
producto, y la promesa de valor de la empresa con sus usuarios.
Dicho
lo anterior, los retos claves que los psiyc, se concentran en al
menos cuatro (4) elementos claves: los flujos
de datos conocidos (controlados), los latentes
(no controlados) y aquellos emergentes,
propios de las nuevas implementaciones propuestas y poco estudiadas (ver figura
1), así como priorizar la cultura de confiabilidad sobre el proceso de
aseguramiento de la información.
Figura 1. Flujos
de información en contextos digitalmente modificados. Elaboración propia
Los
flujos de datos conocidos, están asociados con las conexiones que se han
fundado sobre la infraestructura, los diseños de las aplicaciones y sus
funcionalidades, las cuales cuentan con una lectura de riesgos y controles
tradicional que permiten mantener una confianza base de la operación. En este
escenario, los terceros de confianza y las infraestructuras compartidas en sí
mismas, deben mantener una línea base de seguridad y control que mantenga su
negocio bajo condiciones estables de funcionamiento y cumpliendo con la
exigencias de las regulaciones y mejores prácticas internacionales.
Los
flujos latentes (no controlados), se derivan de las conexiones y usos
alternativos que se configuran sobre los dispositivos digitalmente modificados.
Las funcionales y la conectividad que se habilitan en estos objetos digitales a
través de APIs, establecen un mapa extendido de la infraestructura, que crea
rutas alternas de enlaces entre la infraestructura, los datos de las personas y
las características del mencionado objeto, que no son visibles ni para el
administrador de la infraestructura, ni para el desarrollador de las
aplicaciones, ni para el cliente; creando una zona gris de interacción que debe
ser revelada y asegurada en tiempo real (Calabro, Púrpura, Vasa &
Perinkolam, 2018).
Los
flujos emergentes, surgen cada vez que un nuevo ecosistema aparece con
capacidades diferenciadas, brindando espacios de conectividad, contenido y
acoplamiento con infraestructuras previas, lo que si bien, habilita y establece
nuevas oportunidades para hacer cosas distintas y anticipar expectativas de los
usuarios, también abre espacios donde se cultiva de manera acelerada la
inevitabilidad de la falla, dada la opacidad de los flujos de información que
se generan, la forma como se concretan las interacciones y los caminos (entre
las infraestructuras, las aplicaciones y los individuos) que se habilitan para
lograr el efecto deseado en el cliente.
Si
lo anterior representa un reto de diseño, implementación y anticipación
relevante para los psiyc, la cultura de
confiabilidad, representada en la responsabilidad digital compartida entre el
cliente y la organización por un uso adecuado de la información, la protección
de la privacidad y el cumplimiento normativo, no es menos importante, para
asegurar una vista complementaria de los desafíos de estos profesionales. La
cultura de confiabilidad (o de seguridad o ciberseguridad) configura una serie
de comportamientos que confirman un imaginario de confianza, que debe anclarse
en cada uno de los participantes de los ecosistemas de negocios actuales: desde
el desarrollador hasta el usuario final (Reed & Carleton, 2018).
Nuevas habilidades para asumir el reto de la confianza
digital
Asumir reto de
proteger un mundo mediado por flujos conocidos, latentes y emergentes, demanda
un cambio en la manera como los psiyc, comprenden la forma
como se alcanza la protección y la confianza en un entorno digital. Para ello,
estos profesionales deben pasar de actuar de forma mecanicista basado
exclusivamente en prácticas conocidas, a pensar de forma sistémica, es decir,
observar el panorama general y sus relaciones visibles, así como las
emergentes, de tal manera que pueda construir un mapa del ecosistema digital
que la organización ha construido, con el fin de anticipar posible eventos y
amenazas que generen tensiones negativas sobre la promesa de valor de la
empresa.
Lo
anterior supone, desarrollar distracciones productivas (Lund, 2018), que permitan
observar y analizar diferentes perspectivas del entorno donde se encuentran,
identificando detalles en las interacciones, sin perder la dinámica general del
movimiento general del ecosistema donde opera la organización. Esto supone un
ejercicio de curiosidad y concentración, que combine la capacidad de asombro (Calvo,
2016) de los profesionales y ejecutivos de la seguridad, con la práctica
deliberada de focalizar la atención, sobre situaciones que puedan ser
contradictorias, raras o inciertas.
Para
lograr lo anterior, los psiyc deben estar atentos
para no dejarse llevar por los “cantos de sirenas digitales” (Lund, 2018) que
distraen la atención desde la “falsa sensación de seguridad”, la comodidad de
sucesos que se enmarcan en la normalidad de la operación y sobremanera, en la
zona cómoda de los estándares y buenas prácticas de seguridad y control donde
la inercia y la decisiones conocidas no dejan espacio para pensar diferente.
Así
las cosas, los psiyc deben combinar su
experiencia previa, con su capacidad de asombro sobre tendencias y situaciones
emergentes, que le permita ir en profundidad en su campo de conocimiento,
mientras interactúa de forma colaborativa con sus pares y terceros de
confianza, así como con profesionales de otras disciplinas, para liberarse de
las cegueras cognitivas (Richards, 2018), crear una zona de tensiones sobre los
controles actuales y abrirse a nuevas formas de caracterizar los
comportamientos del ecosistema que ahora custodia, no sólo desde la realidad de
la empresas, sino con las implicaciones para los clientes.
En
este nuevo escenario volátil, incierto, complejo y ambiguo, los psiyc deben ajustarse rápidamente a las demandas del entorno, aumentar su
capacidad de análisis, desaprender/aprender de forma ágil frente a la asimetría
de las vulnerabilidades y amenazas, de tal manera que, comprendiendo la
convergencia tecnológica acelerada, pueda construir un modelo de ciber-resiliencia
(Boyes, 2015), que haga resistente a las fallas, no sólo la infraestructura,
las aplicaciones y los objetos digitalmente densos, sino la conexiones y
relaciones entre los diferentes actores de los nuevos ecosistemas digitales de
negocios.
Creando profesionales de seguridad y control valiosos
para el contexto digital
Para concretar esta
nueva raza de psiyc, requeridos en una
sociedad digital y tecnológicamente modificada, es necesario comprender donde
se encuentran las ventajas competitivas que les permitan avanzar tan rápido
como los desarrollos tecnológicos e iniciativas de negocio. En razón con lo
anterior, se presenta a continuación una lectura de nuevas fuentes de ventaja
competitiva para dichos profesionales, basado en las reflexiones desarrolladas
por Weil & Woerner (2018), asociadas con la manera como las organizaciones
de nueva generación crean valor para sus clientes.
Para
fundar este análisis, se consideran dos elementos fundamentales para configurar
la nueva generación de psiyc, que son el conocimiento del entorno y la confianza digital. El primero habla de
la capacidad de los profesionales para ampliar su entendimiento de las
tendencias emergentes que pueden potencialmente afectar negativamente la
dinámica de los negocios con impactos contrarios y efectos no deseados;
mientras el segundo es la propiedad emergente que debe surgir en los
ecosistemas digitales al articular las distinciones de ciberseguridad,
seguridad de la información, privacidad y cumplimiento, que tiene como centro
el cliente y su experiencia.
El
cruce de estos dos elementos crea cuatro cuadrantes (Ver figura 2), donde los psiyc se pueden mover, para generar apuestas de valor distintivas que conecten
su habilidad para reconocer y anticipar riesgos y amenazas en el entorno de
negocios de la empresa y así, custodiar la promesa de valor de la empresa,
considerando al cliente como vértice de sus acciones y fundamento de la
confianza digital empresarial.
Figura 2.
Fuentes de ventaja competitiva para los psiyc.
Elaboración propia (basado en Weil & Woerner, 2018).
El
primer cuadrante, donde el
conocimiento del entorno y confianza digital es baja, los psiyc se mantienen fieles a las prácticas y estándares conocidos de la
industria, como una manera de preservar la confiabilidad de las operaciones,
requerida en entornos conocidos y de tareas repetitivas. Si bien, la maestría
alcanzada para implementar y evaluar estos estándares revela un importante
reto y logro profesional para los
especialistas en seguridad y control, no genera apuestas distintivas que puedan
ser percibidas como valiosas tanto por los clientes como por los ejecutivos de
la empresa.
El
segundo cuadrante, donde el conocimiento del entorno es bajo y la confianza
digital es alta, los especialistas en seguridad y ciberseguridad, deben
rápidamente contratar plataformas especializadas con terceros para aumentar el
conocimiento de su entorno de operaciones, y establecer patrones de tendencias
de los comportamientos de sus clientes, de tal manera que pueda brindarles
espacios confiables para concretar experiencias nuevas de los clientes. El reto
es acoplar el modelo de seguridad vigente y su infraestructura, con las
capacidades de los terceros, creando un visión extendida de seguridad y
control, que aumente la visibilidad y acción efectiva frente a eventos y
situaciones inéditas de los productos o clientes.
El
cuadrante tres, que surge de la necesidad de un alto conocimiento del entorno y
bajo desarrollo de la confianza digital, demanda de los psiyc, crear capacidades analíticas para identificar y anticipar tendencias,
lo que significa habilitar una vista multicanal de las amenazas y
vulnerabilidades presentes en el ecosistema digital de la empresa, con el fin
de crear escenarios de interacción ágiles y confiables para los clientes, donde
a pesar de lo agreste del entorno, tanto la organización como sus compradores,
encuentren razones para interactuar con sus productos y servicios digitalmente
modificados.
El
cuadrante cuatro donde tanto el conocimiento del entorno y la confianza digital
es alta, es un estadio donde los psiyc, deben integrar tanto
las prácticas y estándares conocidos, el uso de plataformas especializadas, y
el desarrollo de las capacidades analíticas, para motivar el despliegue de
ecosistemas digitales de seguridad y ciberseguridad, que asistidos por avances
tecnológicos como la inteligencia artificial y el uso de algoritmos de
aprendizaje, establezcan propuestas sobre una “protección a la medida” o “como
servicio” que no solo conoce del entorno, sino del contexto del cliente y su
perfil de riesgo.
Los
cuatro cuadrantes establecen las posturas que los psiyc pueden asumir con el
fin de avanzar o no en este nuevo entorno digital. En consecuencia, los
especialistas en seguridad y control deberán articular su capacidad para
anticipar inestabilidades en el entorno, de comunicarse y vincularse con la
junta directiva, y crear una cultura de seguridad y de ciberseguridad, donde la
responsabilidad digital empresarial se convierta en el mantra que conecta la
promesa de valor de la empresa, con las expectativas y experiencias tanto de
clientes como de los supervisores de los diferentes sectores de negocio.
Reflexiones finales
La práctica de los psiyc debe reinventarse de cara al reto de los riesgos en un escenario
digitalmente modificado. Mientras en el siglo XX un especialista de seguridad y
control, tenía un marco de actuación cierto y medianamente verificable, en un
contexto asimétrico y variable de vulnerabilidades y amenazas, se hace
necesario cuestionar los saberes previos y, salir a buscar y descubrir las
opacidades de los modelos de seguridad y ciberseguridad diseñados e
implementados en las empresas.
En
esta nueva renovación se requiere desarrollar una vista sistémica que reconozca
la confianza digital como fundamento de las actuaciones de los psiyc, donde se incluyan fabricantes, clientes y organizaciones, como núcleo
central de operaciones y análisis de los retos asociados con los nuevos activos
digitales que se crean, sin descuidar las interacciones propias de los
ecosistemas digitales donde estos tres actores participan.
Bajo
este entendido, y considerando las relaciones que se pueden concretar entre
cada uno de los participantes mencionados, los retos de los psiyc asociados con los flujos conocidos, latentes y emergentes, definen la
densidad digital que se configura en este entorno de trabajo, de tal forma que,
las afectaciones originadas por la explotación vulnerabilidades generen
resultados contrarios tanto a nivel lógico como físico, creando un efecto
adverso sobre los clientes, que incide en la confianza digital necesaria para
seguir explorando las inéditas propuestas que surgen de la convergencia
tecnológica.
Por
tanto, si se quiere que la nueva raza de psiyc, se convierta en el
tan deseado “aliado estratégico” del negocio,
se precisa que sea capaz de elaborar y mantener un mapa del ecosistema
digital de la empresa y sus riesgos conocidos, latentes, focales y emergentes
(Cano, 2017), así como el fortalecimiento de una cultura de
seguridad/ciberseguridad empresarial que reconoce y desarrolla la
ciber-resiliencia como una capacidad empresarial necesaria para competir en un
entorno asimétrico e inestable.
Lo
anterior demanda “salvar la brecha entre
los objetivos empresariales (el problema inicial que se desea resolver) y la
experiencia de los clientes (preferencias y necesidades profundas del mercado
que no están siendo bien atendidas) para reformular el problema y generar
nuevas oportunidades” (Vila & Camps, 2018, p.16). Esto leído en clave
de seguridad y ciberseguridad, implica crear oportunidades de mayor
confiabilidad del ecosistema desde sus vulnerabilidades, para formular un
ejercicio de confianza digital imperfecta, donde todos los actores
(fabricantes, clientes y empresas) hacen parte de una vista holística de la
seguridad que se sustenta en un diseño de protección sensible a la promesa de
valor.
Si
un psiyc no es capaz de asombrarse con las posibilidades que
la inevitabilidad de la falla puede generar en un escenario hiperconectado,
instantáneo, móvil y con terceros de confianza, no podrá crear escenarios
posibles y plausibles que aumente su capacidad de aprendizaje/desaprendizaje.
Es decir, no podrá orientar a las organizaciones para asumir riesgos de forma
inteligente y proponer alternativas de seguridad y control ajustadas con la
dinámica que los ecosistemas exigen.
Por
tanto, comprender que los datos recolectados por los servicios e
infraestructuras de seguridad no predicen el futuro y es en la comprensión de
la dinámica actual de la inevitabilidad de la falla, donde es posible explorar
oportunidades para vislumbrar nuevas formas para asegurar el ejercicio de una
confianza digital imperfecta, se hace necesario entender esta confianza como
una proposición de valor que resuene en el imaginario de los equipos ejecutivos,
como un elemento útil y relevante para construir en conjunto con los
fabricantes, los clientes y la organización un marco de responsabilidad digital
empresarial donde todos se hagan uno con los productos y/o servicios
digitalmente modificados.
Referencias
Bhattarai, S. & Wang, Y.
(2018) End-to-End trust and security for internet of things applications. IEEE Computer. April. 20-27
Boyes, H. (2015) Cybersecurity
and cyber-resilient supply chains. Technology
Innovation Management Review. 5(4). 28-34
Calabro, L., Púrpura, C.,
Vasa, V. & Perinkolam, A. (2018) El imperativo de API. Desde preocupación
de TI hasta mandato de negocios. Deloitte Insights. Recuperado de: https://bit.ly/2HB5I
Calvo, C. (2016) Del mapa escolar al territorio educativo.
Disoñando la escuela desde la educación. La Serena, Chile: Editorial
Universidad de la Serena.
Cano, J. (2017) The AREM
Window: A Strategy to Anticipate Risk and Threats to Enterprise Cyber Security
. ISACA Journal. 5.
Cano, J. (2018) El
profesional de seguridad de la información. Un análisis de su evolución:
1960-2030+. Revista SISTEMAS. Asociación
Colombiana de Ingenieros de Sistemas. No. 147. Abril-Junio. 65-72. Doi:
10.29236/sistemas.n147a6
De Reuver, M., Sørensen, C.
& Basole, R. (2018) The digital platform: a research agenda. Journal of Information Technology.
33(2). 124-135. Doi: 10.1057/s41265-016-0033-3
Kaplan, J., Bailey, T.,
O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity.
Protecting your digital business. Hoboken, New Jersey. USA: Wiley
Lund, C. (2018) Managing the
distraction-focus paradox. Sloan
Management Review. Summer. 72-75. Recuperado de: https://sloanreview.mit.edu/article/managing-the-distraction-focus-paradox/
Reed, J. & Carleton, J.
(2018) The Global State of Online Digital Trust. A Frost & Sullivan White paper. Commissioned by CA technologies. Recuperado de: https://www.ca.com/us/collateral/white-papers/the-global-state-of-online-digital-trust.html
Richards L. D. (2018) Changing the Educational
System: The Bigger Picture. Constructivist Foundations. 13(3): 331–333. Recuperado de: http://constructivist.info/13/3/331.richards
Vilà, J. & Camps, X.
(2018) De la identificación de necesidades a la generación de oportunidades. IESE Insight. 37. Segundo trimestre.
15-21. Doi: 10.15581/002.ART-3168.
Weil, P. & Woerner, S.
(2018) What’s your digital business
model? Six questions to help you build the next-generation enterprise.
Boston, Massachusetts. USA: Harvard Business Review Press. Cap.3
Zamora, J. (2017) ¿Es posible programar modelos
de negocios? IESE Insight. 33.
Segundo trimestre. 23-30. Doi: 10.15581/002.ART-3013.
No hay comentarios:
Publicar un comentario