sábado, 16 de enero de 2021

Educar en ciberriesgos. El reto de una sociedad en transformación digital

Introducción
En los primeros días del año los inciertos y las inestabilidades globales abundan. Eventos como la confusión geopolítica generada por las intrigas y eventos recientes en Norteamérica, los avances silenciosos del Partido Comunista Chino (PCC) en la preparación de un “yuan digital” con proyección global (Barría, 2020), la brecha de seguridad materializada a través de un tercero en el Banco Central de Nueva Zelanda (Reuters, 2021) y el caso altamente visible del compromiso uno de los proveedores de software (SolarWinds) de varias agencias del gobierno norteamericano (Schwartz, 2021), muestran como lo confirma el reciente reporte del CIDOB (Soler, 2020) que este año estará marcado por la incertidumbre.

Frente a la incertidumbre se hace necesario salir a explorar diferentes alternativas y escenarios para establecer estrategias que habiliten identificar aquellas claves, con el fin de tomar las iniciativas concretas que permitan dar cuenta con el contexto de volatilidad que se plantea en la actualidad. En este sentido, los eventos que marcan el inicio de este año deben llevar a las organizaciones y ejecutivos de seguridad/ciberseguridad a actualizar sus marcos de trabajo para pasar del “proteger y asegurar” (que hay que mantener para aquello conocido) al “defender y anticipar” (de aquello que no conoce, ni sabe) con el fin de explorar y analizar las inestabilidades y establecer una postura de seguridad y defensa sensible a los cambios y las promesas de valor para sus clientes.

Más allá de ser el custodio del modelo de generación de valor de la empresa, la seguridad de la información se debe convertir en la base de la dinámica y relacionamiento intraempresarial, como fundamento del aseguramiento de los flujos de información que se desarrollan a su interior, lo que supone descubrir, analizar, intervenir y actualizar los imaginarios sociales que se tienen alrededor de la protección de la información (Cano, 2016). Tener la lectura de éstos imaginarios permite establecer el asidero fundamental para avanzar en la construcción de una cultura organizacional de seguridad de la información (COSI) que se convierta en el pilar clave para asumir el incierto como insumo para trazar una ruta de navegación en medio de los vientos y tormentas que puedan generar los adversarios.

La mayoría de las brechas de seguridad que se han revelado a nivel internacional corresponden a engaños exitosos o acciones realizadas por las personas alrededor de la protección de la información, comportamientos frente a las aplicaciones o reacciones de los individuos frente a realidades que confrontan la lógica, la confianza y la desinformación sobre eventos concretos. En este sentido, cuanta mayor distracción se genere en el entorno, menor será la capacidad de atención y alerta frente a situaciones que puedan ser sospechosas y así, habilitar un espacio para concretar un pivote de acceso que termine en una brecha de seguridad en una organización (Campbell, O’Rourke & Bunting, 2015).

En consecuencia, este breve documento introduce la necesidad urgente de educar a la ciudadanía en general sobre los ciberriesgos, como la nueva frontera de retos del entorno digital, donde los adversarios buscan crear contextos de inestabilidad que aprovechan desde los engaños, la desinformación, manipulación de mensajes, el pánico, el incierto y la sensación “fuera de control” para que se actúe de forma errática e inesperada, y así tener mayor margen de acción fuera del marco general de los sensores de control disponibles en las organizaciones.

¿Qué son los ciberriesgos (riesgos cibernéticos)? Definiendo un escenario con blanco móvil
Los ciberriesgos son riesgos que tienen al menos tres características claves: son sistémicos (tienen efecto en cascada), emergentes (surgen como fruto del nivel de acoplamiento e interacción de diversos componentes) y disruptivos (generan efectos inesperadas la dinámica del sistema), los cuales están presentes en el entorno ciberfísico, lo que se traduce en una convergencia entre lo físico, lo lógico y lo biológico, como fundamento de la dinámica de la cuarta revolución industrial (Cano, 2019).

En este sentido, la materialización de un ciberriesgo, más allá del aprovechamiento de una falla o vulnerabilidad de uno de sus componentes, puede generar afectación a nivel de la persona, la sociedad, las organizaciones y las naciones, dada su condición sistémica. Esto es, que a diferencia de los impactos focalizados que se pueden concretar a nivel de la seguridad de la información al interior de la organización, los ciberriesgos se propagan y evolucionan dependiendo del nivel de convergencia, acoplamiento e interacción que se tenga en un contexto particular (Perrow, 1999).

Mientras los riesgos propios de la seguridad de la información son la base conceptual para comprender los ciberriesgos, éstos últimos se configuran y transforman de formas distintas. Lo anterior implica reconocer las relaciones y conexiones que se tienen entre el mundo físico, lógico y biológico, así como la confiabilidad de los flujos de información y el aseguramiento de los mismo, con el fin de contar con una vista ampliada de las interacciones y posibles efectos que se pueden presentar si algo no sale como estaba planeado o surge una relación que no estaba documentada inicialmente.

Por tanto, la base de la comprensión de los ciberriesgos es el entendimiento de las incertidumbres claves que se pueden presentar como pueden ser: a) no saber qué va a pasar, ni que tan probable son los resultados, b) contar información imprecisa, insuficiente o contradictoria y c) no tener el conocimiento requerido (Menon & Kyung, 2020). Bajo este entendido, se requiere que los individuos entiendan que habrá riesgos que no podrán “ver o anticipar” y desarrollar un apetito de riesgo basado en su capacidad y tolerancia a estos eventos para plantear su respuesta.

Así las cosas, parte de la educación de las personas en el tema de ciberriesgos pasa por una comprensión del riesgo cibernético y la predisposición cultural hacia la reducción de los riesgos de seguridad (Mee, Brandenburg & Lin, 2020), así como por las habilidades necesarias para estar atentos frente a eventos, que aun siendo normales, puedan generar sospecha de algo no está funcionando de acuerdo con lo esperado. En consecuencia, las estrategias que se generen para educar a las personas en estos temas deberán privilegiar una mirada interdisciplinar y un pensamiento sistémico como base de aquellas preguntas que serán el asidero de la “ciberhigiene” necesaria para aumentar la resistencia a los ataque de los adversarios.

¿Cómo educar a las personas frente al riesgo cibernético? Un ejercicio más allá de enseñar un cúmulo de temas
Si aceptamos que educar, como lo afirma John Ruskin, “no significa enseñarle algo a una persona que no sabía, sino transformarlo en una persona que no existía”, el reto en la educación de ciberriesgos se traduce inicialmente en sorprender a las personas sobre las realidades y desafíos del entorno ciberfísico, para desde allí conectar con sus saberes previos y motivar el desarrollo de mejores preguntas, y no ofrecer muchas respuestas.

Es desde esta perspectiva, desde las preguntas propias de las personas alrededor del nuevo entorno ciberfísico donde se inicia el proceso de construcción y conexión de los saberes previos de las personas, para desarrollar nuevos constructos de conocimientos y prácticas, que irán más allá de seguir una receta (propia de las prácticas particulares de seguridad de la información) para configurar criterios de toma de decisiones que privilegiarán sus propias inquietudes, las reflexiones que hagan alrededor del tema, los diferentes puntos de vista de otros participantes y sus certezas básicas.

Esta tipo de estrategia educativa no está fundada en el desarrollo de competencias mecánicas que todos los participantes deben repetir para asegurar que “han sido educados” y “han aprobado” un cuerpo de conocimientos, sino en el reconocimiento del contexto particular de cada persona, sus inquietudes más relevante y frecuentes alrededor de los ciberriesgos, y las relaciones que tiene con su diferentes grupos de interés dentro de una comunidad. Por tanto, el aprender sobre ciberriesgos implica exponerse a distintos escenarios no convencionales y evaluar la respuesta de la persona que considere al menos su apetito al riesgo, las prácticas vigentes de seguridad y control, y el nivel comodidad o incomodidad frente al incierto (Cano, 2016).

De esta forma, no sólo se podrá confrontar todo el tiempo aquello que ha aprendido en ejercicios anterior, sino que irá desarrollando nuevas posturas o enriqueciendo otras, de tal forma que se genere una postura de seguridad y control, que no sólo responda a las prácticas establecidas en los estándares, sino que se ajusta a la realidad y contexto vigente lo que implica reconocer el carácter volátil e incierto de los riesgos cibernéticos en el escenario actual. 

Tratar de formar competencias (conocimiento estandarizado) para tratar los ciberriesgos, es limitar la incertidumbre natural de este tipo de riesgos, creando una opacidad en el análisis y comprensión de los mismos, comoquiera que no existen a la fecha respuestas estándares que den cuenta con la dinámica del riesgo cibernético y los impactos de su materialización. Así las cosas, los esfuerzos de educación deberán iniciar desde el estudio de la mente del atacante y sus recursos, para luego compartir de forma colectiva propuestas con sus pares del entorno, y desde allí, producir las acciones pertinentes a la situación que se tiene en el momento (Cano, 2016).
 
Lo anterior  implica “superar la primacía de las relaciones de causa y efecto como marco explicativo” (Calvo, 2017, p.73) y abrir las fronteras al pensamiento sistémico y complejo, donde las causalidades se multiplican y entrelazan de manera imprevisibles. En consecuencia, se hace evidente la necesidad de una alfabetización sistémica (Booth, s.f.), como fundamento para "disoñar" (diseñar y soñar) (Calvo, 2016) propuestas alternativas y novedosas que no teman a la equivocación ni a la ignorancia.

Reflexiones finales
Los entrenamientos o formación en temas de seguridad de la información, basado en listados de temas a cubrir, aplicación de controles fundados en los estándares, sumando a la técnica del “miedo” (si no haces esto o aquello, podrás ser sancionado), terminan creando una espiral decreciente de aprendizaje que moviliza el imaginario de las personas sobre la seguridad de la información, como una temática que es una responsabilidad de la empresa y por lo tanto, es algo que otros hacen por ella.

En este escenario se deja de construir una red interna de alerta y protección, que configura una vez más a los temas de protección de la información como una temática técnica que está fuera del alcance de las personas del común. Por tanto, educar en los retos de los riesgos cibernéticos, demanda una formación básica en las prácticas de la seguridad de la información, para luego movilizarse al contexto de un entorno digital interconectado y convergente (ISO, 2020), donde el riesgo es parte natural de su dinámica, y las personas toman decisiones frente al incierto que esto genera.

Es así, que la educación en el riesgo cibernético exige una reflexión interdisciplinar que conecte diferentes puntos de vista, impactos y acciones que permitan a las personas movilizarse mejor en medio de la incertidumbre (Huerta, Pérez, Zambrano & Matsui, 2014), para lo cual se hace necesario reconocer las opciones y apuestas de los adversarios, construir de forma colectiva alternativas de acción y tomar la decisiones que correspondan en el momento adecuado. 

Lo anterior supone, “ejercitar la sospecha sobre aquello que se nos muestra como aparentemente lógico, verdadero y coherente” (Medina, 2008, p.164), para sumergirse en un mundo de incertidumbres donde son importantes las preguntas y no las respuestas; una oportunidad para “liberarse del encadenamiento a un concepto lineal, que obliga a repetir afirmaciones dichas por otros” (Calvo, 2016, p.30).

Referencias
  • Barría, C. (2020). La nueva moneda digital que China está probando y que sitúa al país a la cabeza de la carrera mundial de las divisas virtuales. BBC News Mundo. https://www.bbc.com/mundo/noticias-51483218  
  • Booth, L. (s.f.) Food systems, climate systems, laundry systems: the time for systems literacy is now! The systems thinker. Recuperado de: https://thesystemsthinker.com/%ef%bb%bffood-systems-climate-systems-laundry-systems-the-time-for-systems-literacy-is-now/ 
  • Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
  • Calvo, C. (2017) ingenuos, ignorantes, inocentes. De la educación informal a la escuela autoorganizada. La Serena, Chile: Editorial Universidad de la Serena.
  • Campbell, S., O’Rourke, P. & Bunting, M. (2015) Identifying Dimensions of Cyber Aptitude: The Design of the Cyber Aptitude and Talent Assessment. Proceedings of the Human Factors and Ergonomics Society 59th Annual Meeting. 721-725. https://doi.org/10.1177/1541931215591170 
  • Cano, J. (2016) La educación en seguridad de la información. Reflexiones pedagógicas desde el pensamiento de sistemas. Memorias 3er Simposio Internacional en Temas y problemas de Investigación en Educación: Complejidad y Escenarios de Paz. Universidad Santo Tomás. Bogotá, Colombia. Agosto 25 a 27. https://www.researchgate.net/publication/321197873_Riesgo_y_seguridad_Un_continuo_de_confianza_imperfecta 
  • Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 151. 63-73. Doi: https://doi.org/10.29236/sistemas.n151a5
  • Huerta, J., Pérez, I., Zambrano, R., & Matsui, O. (2014). Pensamiento complejo en la enseñanza por competencias profesionales integradas. Guadalajara, Jalisco. México: Universidad de Guadalajara
  • ISO (2020) ISO/IEC Technical Specification 27100:2020 Information technology — Cybersecurity — Overview and concepts
  • Medina, J. (2010) El desaprendizaje: Aproximación conceptual y notas para un método reflexivo de generación de saberes profesionales. En Armengol, C. y Gairín, J. (2010) Estrategias de formación para el cambio organizacional. Madrid, España: Wolters Kluwer.
  • Mee, P., Brandenburg, R. & Lin, W. (2020) Global Cyber Risk Literacy and Education Index. A measurement of population development toward understanding cyber risk. Oliver Wyman Forum. https://www.olverwymanforum.com/cyber-risk/cyber-risk-literacy-education-index.html
  • Menon, G. & Kyung, E. (2020). When More Information Leads to More Uncertainty. Harvard Business Review. De: https://hbr.org/2020/06/when-more-information-leads-to-more-uncertainty
  • Perrow, C. (1999) Normal accidents. Living with High-Risk Technologies. Princeton, NJ. USA:  Princeton University Press.
  • Reuters (2021). New Zealand central bank says its data system was breached. https://www.reuters.com/article/us-newzealand-economy-rbnz/new-zealand-central-bank-says-its-data-system-was-breached-idINKBN29F010 
  • Schwartz, M. (2021). 'SolarLeaks' Site Claims to Offer Attack Victims' Data. InfoRisk Today. https://www.inforisktoday.com/solarleaks-site-claims-to-offer-attack-victims-data-a-15751 
  • Soler, E. (2020). El mundo en 2021: diez temas que marcarán la agenda internacional. CIDOB Notes Internationals. 243. https://www.cidob.org/publicaciones/serie_de_publicacion/notes_internacionals_cidob/243/el_mundo_en_2021_diez_temas_que_marcaran_la_agenda_internacional

No hay comentarios:

Publicar un comentario