lunes, 23 de octubre de 2023

Pronósticos de seguridad/ciberseguridad 2024. Una visión holística y situada

 Introducción

A pesar de que los fantasmas de la inflación, la recesión económica y las tensiones cibernéticas permanecen en el escenario actual, los cambios inesperados en el escenario internacional le dan forma a una nueva realidad que tanto las organizaciones como las naciones deben ahora mantener en su radar. El mundo se ha convertido en un lugar altamente interconectado, acoplado e inestable motivado por la dinámica de cinco realidades:

  • Populismo - Forma de gobierno con un fuerte liderazgo de un sujeto carismático, con propuestas de igualdad social y movilización popular.
  • Polarización - Inexistencia de un punto medio o un lugar de encuentro entre las diversas opiniones, que parecen irreconciliables.
  • Posverdad - Distorsión deliberada de una realidad, que manipula creencias y emociones con el fin de influir en la opinión pública y en actitudes sociales.
  • Policrisis - Interrelación de diferentes crisis que coinciden, cuyo resultado es aún más abrumador que la suma de sus partes.
  • Permacrisis - Periodo prolongado de inestabilidad e inseguridad, especialmente como consecuencia de una serie de acontecimientos catastróficos.

Estas cinco realidades, manifiestan la naturaleza inherente de los riesgos sistémicos donde abundan muchas cosas que se saben y no se entienden, así como aquellas que se saben y no se conocen, sin mencionar esas que ni se saben ni se entienden. En pocas palabras, se demanda de las organizaciones superar la vista muchas veces “irreal” de que se conocen los riesgos y que se cuentan con las medidas necesarias para atender los posibles efectos de su materialización.

Lo que es “real” (sin perjuicio de incurrir en imprecisiones) es que tanto las organizaciones como las naciones aun abrazan la ilusión del control, esa perspectiva (poco creíble en la actualidad) de que al asegurar las mejores prácticas de seguridad y control es posible darle tranquilidad a los ejecutivos frente a los posibles eventos adversos, generando mayor claridad y espacio para una toma de decisiones tranquila y acertada (Cano, 2023). 

En este escenario, conceptualizar una propuesta de pronósticos para la ciberseguridad/seguridad de la información implica tratar de acertar sobre “blancos en movimiento” basados en reportes, documentos y los datos disponibles a la fecha, comoquiera que desde allí, se tratará de situar algunos referentes básicos e ideas claves, cuya vigencia se debilitará (o fortalecerá) con el pasar de los días. Por tanto, lanzarse a efectuar visualización de escenarios y retos para los modelos de seguridad y control en el 2024, demandará la transformación de paradigma de seguridad basado en la postura víctima (de preparación y respuesta a un incidente) a otra basada en el adversario (proactiva y basada en la defensa y anticipación), con el fin de explorar una vista más holística que supere aquella eminentemente técnica, por una desde la perspectiva PESTEL (Político, Económico, Social, Tecnológico, Ecológico y Legal).

Así las cosas, varios son los retos que se advierten para la ciberseguridad nacional y empresarial en el marco del modelo PESTEL para el 2024:

  • Político: Uso del ciberpoder por parte de las potencias globales.
  • Económico: Ciberataques, impuestos al crecimiento y desarrollo de las naciones.
  • Social: La realidad no es lo que parece.
  • Tecnológico: Mayor conectividad, mayor densidad y vulnerabilidad digital.
  • Ecológico: Convergencia entre sostenibilidad y ciberseguridad.
  • Legal: Ciberriesgo, mayor responsabilidad y exigencia ejecutiva. 

Estas seis temáticas son el resultado de un ejercicio de desconexión de las realidades actuales, revelar algunas de las dinámicas emergentes del momento y nuevamente conectar lo actual y lo emergente para visualizar “ganancias teóricas” y “aproximaciones prácticas” que motivan transformaciones aceleradas que se advierten para los próximos meses. 

Sin perjuicio de lo anterior, habrá otros elementos del entorno que continuarán presentes y en dinámica permanente como son la inevitabilidad de la falla, la mayor densidad digital, la tecnologías emergentes y disruptivas (IA – Inteligencia Artificial, IoT, Tecnología de libro mayor digital (DLT-Digital Ledger Technology), Metaverso, Computación cuántica), la amenaza interna, el aumento de las regulaciones, la sensibilidad de las terceras y cuartas partes (los proveedores del proveedor) y el deterioro de la privacidad, los cuales armonizan un caldo de cultivo necesario para empujar la inestabilidad y el incremento de la complejidad que genere eventos inesperados y cambios de trayectoria que necesariamente actualizan la lectura actual de una sociedad ahora frágil, ansiosa, no-lineal e incomprensible (Deloitte, 2023).

Político: Uso del ciberpoder por parte de las potencias globales

La inestabilidad geopolítica global seguirá aumentando con el paso de los años. Al final de la década no sólo habrá conflictos en medio oriente, europa oriental y la franja de Gaza, sino que la fragmentación global y la generación de nuevos bloques económicos creará zonas de alta incertidumbre y volatilidad motivada no sólo por temas ideológicos, sino económicos basados en la tecnología, como son las materias primas y las instalaciones especializadas para el ensamble de chips para el desarrollo de mejores y mayores avances en la IA, así como acelerar las investigaciones y prototipos más sencillos que habiliten la computación cuántica y así concretar la amenaza sobre la seguridad digital global actual y los algoritmos de cifrado tradicionales (Semana, 2023).

El ciberpoder es una capacidad que permite a un actor influir en otros en el ciberespacio o a través de él y controlar y moldear el ciberespacio en su beneficio según sus preferencias (Kukkola, 2020), lo que implica el despliegue de estrategias, técnicas y tácticas que permitan crear inestabilidad, incierto y caos en los diferentes grupos de interés de Estados y organizaciones, por debajo del nivel de la fuerza, esto es, en la zona gris donde se busca desgastar al oponente, sin temor a ser identificado, mimetizado en la dinámica social y con efectos dominó que degraden desde adentro al enemigo sin que la sociedad afectada lo note. 

Lo anterior implica avanzar rápidamente en la gestión del riesgo político, es decir, la probabilidad de que una acción política pueda afectar a una empresa de manera significativa en su promesa de valor (Rice & Zegart, 2020) lo que supone identificar, anticipar y analizar las tensiones geopolíticas actuales y emergentes que generarán un aumento de operaciones cibernéticas globales dirigidas y financiadas, donde los Estados tratarán de tomar ventaja e influir para su beneficio, más allá de las estrategia ciberdiplomáticas que se adelanten con el fin de desescalar un ciberconflicto emergente, muchas veces invisible para las organizaciones y Estados.

Económico: Ciberataques, impuestos al crecimiento y desarrollo de las naciones

La gran mayoría de reportes internacionales coinciden en el aumento de los ciberataques a nivel global y cómo los adversarios toman ventajas de sus blancos exitosos para concretar acciones relacionadas con la extorsión con datos, robo de credenciales y propiedad intelectual, afectación de infraestructuras críticas, lavado de criptoactivos y todo tipo de fraudes basados en engaños y distracción como el phishing (PwC, 2023).

Este tipo de acciones adversas exitosas configuran un impuesto progresivo que grava la confianza digital de los consumidores y crea zonas inciertas que afectan la dinámica empresarial y la prosperidad económica de las naciones (Cano, 2020). Esto es, desarrollan un detrimento de la inversión en la transformación digital de las naciones y empresas,  que terminan creando inestabilidad e incierto en los diferentes grupos de interés, que disuaden tanto a inversionistas como a las personas, a tomar los riesgos propios de un entorno digital, desconfiando en la capacidad de las empresas y naciones para lograr y mostrar su promesa de valor y fortaleza de sus instituciones respectivamente.

La dinámica de un ciberataque es crear incierto e inestabilidad para que la organización o nación y sus personas se mantengan distraídas, actúen de forma errática y abran más espacios de acción para el agente agresor de forma invisible y mimetizada. En consecuencia, es necesario crear acciones de preparación y acción colectiva que permitan a las empresas conectarse y diseñar estrategias de defensa, colaboración y cooperación conjuntas (con aliados estratégicos) que aumenten la resistencia y resiliencia de las organizaciones y naciones participantes, creando una postura de ciberseguridad creíble y verificable que disuada al tercero de las acciones agrestes que pueda tener planeadas.

Social: La realidad no es lo que parece

La constante exposición social de las personas a los medios sociales digitales, hace que las interacciones revelen vulnerabilidades cognitivas de los ciudadanos que de manera muchas veces ingenua termina siguiendo el juego de los agresores: difundir información falsa, información abiertamente inexacta o desinformar. Cuando este tipo de comportamientos se nutre de las vulnerabilidades sociales y las vulnerabilidades tecnológicas se configura un entorno de información tóxica que desdibuja la dinámica de una sociedad y la condena al deterioro de su propia integridad cognitiva, haciéndola vulnerable a operaciones psicológicas y cognitivas que terminen creando un entorno de pérdida de gobernabilidad que cualquier nación enemiga o agresor quisiera concretar y aprovechar (Barojan, 2021). 

Este tipo de actividad se ha venido materializando de forma cada vez más visible en medio de los conflictos globales actuales, creando narrativas de odio, a favor a en contra de acciones particulares o a través de uso de robots o bot que ejecutan algoritmos con mensajes dirigidos para crear tendencias que favorecen o afectan a grupos particulares (Cano, 2021). Las recientes acciones entre Rusia y Ucrania, entre Israel y Hamas, muestran que el entorno cibernético puede crear confusión y crear una capa de opacidad sobre los hechos, que confundan hasta el mejor analista de este tipo de conflictos, y de igual forma, motivar tendencias que lleven a cambios en las intenciones de voto dentro de un país.

Recuperar lo que se denomina la realidad, implica tener una postura crítica frente a los mensajes recibidos por este tipo de medios sociales digitales, fortalecer la higiene con la información, desarrollar la competencia de la curaduría digital, que permita explorar, analizar y seleccionar aquellas fuentes confiables y contrastar los mensajes, con el fin de abrir espacios de debate que superen los sentimientos propios de la posverdad, y se reemplace por el debate del reto de las ideas y posturas, más allá de los juicios de valor (muchas veces mal fundados), así como reconocer en otro como verdadero otro, con posturas y sugerencias que hacen parte de una realidad que se comparte y se construye en conjunto.

Tecnológico: Mayor conectividad, mayor densidad y vulnerabilidad digital

En lo tecnológico es donde más abundan las noticias y los reportes internacionales sobre las tendencias para 2024. Estos datos recaban en tecnologías que emergerán en los siguientes meses y las nuevas capacidades que las organizaciones deberán incluir para mantener o desarrollar lo algunos analistas denominan el sistema inmunológico digital (Scheibmeir, 2023). Lo que ocurre en la actualidad y no será la excepción el año entrante, es el aumento de mayor conectividad y flujo de datos sobre objetos físicos, la incorporación del internet de las cosas y la carrera acelerada de la digitalización empresarial y las ciudades inteligentes.

Este nuevo espacio digitalmente denso revela un entorno altamente conectado, acoplado e interactivo que crea un espeso tejido digital donde todos los participantes pueden y van a sentir cualquier falla o efecto de un ciberataque, que muchas veces estará mimetizado y motivado por contextos políticos, que se traducen en amenazas híbridas que tratan de concretar los resultados requeridos bajo el manto de la duda o poca o nula atribución. Esto tendrá consecuencias económicas, sociales y políticas que afectarán no sólo a las organizaciones en las variables tradicionales y en su reputación, sino a las naciones que tratan de aumentar las posibilidades y oportunidades para sus ciudadanos (Sieber & Zamora, 2018).

Frente a este escenario lo más importante es mantener una postura vigilante frente a la inevitabilidad de la falla y sobremanera prepararse para disminuir los impactos de un ciberataque exitoso. Esto es, abandonar la falsa sensación de seguridad que genera la aplicación de estándares y buenas prácticas, y repensar la gestión del riesgo cibernético desde la resiliencia, la antifragilidad, la flexibilidad y la anticipación, para sensar y responder a su entorno, de forma que, reconociendo el contexto en el que opera, los retos de su escenario de negocio y las capacidades de sus adversarios, es capaz de aprender rápidamente de aquellos momentos en los que las cosas no salen según lo previsto, para responder a las expectativas de sus clientes y ciudadanos en tiempos de crisis sin sobrepasar los umbrales de capacidad de riesgo establecidos y definidos por el equipo directivo de la empresa o el gobierno nacional.

Ecológico: Convergencia entre sostenibilidad y ciberseguridad

En lo ecológico o ambiental, se advierte una serie de recomendaciones que se vienen haciendo respecto de una temática denominada por siglas en inglés ESG (Environmental, Social and Governance) las cuales llaman la atención de los equipos ejecutivos en diversos temas particularmente los asociados con el cambio climático, la economía circular, los temas sociales y la protección de los datos, orientados por el desarrollo de la confianza digital. Esta nueva realidad, sitúa a la ciberseguridad en un escenario convergente no sólo en el tema tecnológico, sino sus impactos en lo ambiental, lo social y la gobernanza (Groopman, 2022).

Como se ha anotado en secciones anteriores los atacantes cada vez más aceleran sus acciones adversas, para concretar eventos sorpresivos y disruptivos que terminan por afectar no sólo a las organizaciones y naciones, sino a la dinámica de los ciudadanos. Es así, que en una economía digital en auge, la ciberseguridad ya no es sólo una preocupación de la industria del software. Se ha transformado en un tema relevante para la dirección de las empresas, los inversores globales y los actores de todas las industrias expuestas a una mayor densidad digital y a la información privada de los clientes. Un grupo demográfico mucho más amplio está cada vez más preocupado por el impacto social de la ciberseguridad, así como por sus implicaciones tecnológicas (J.P.Morgan, 2021).

Lo anterior implica que, el riesgo cibernético puede afectar significativamente a la sociedad, en particular a medida que los ciberataques globales se hacen más frecuentes e impactantes. Las aplicaciones y sistemas digitales están ahora integrados en todos los aspectos de la vida humana, desde los dispositivos personales que se usan a diario y las interacciones en las redes sociales hasta las sofisticadas plataformas y sistemas automatizados que sustentan la dinámica de los lugares de trabajo y los estilos de vida digitales. En consecuencia, la extorsión con datos, la protección de los personales sensibles (asociados con robo de identidad, fraude financiero, acceso a información genética), la desinformación, el uso abusivo de la IA y la apropiación del riesgo cibernético por parte de la ciudadanía, deberán ser parte de la agenda ejecutiva para promover un sociedad más resistente al fraude, fomentar la confianza digital y reducir la exposición a los ataques a la cadena de suministro.

Legal: Ciberriesgo, mayor responsabilidad y exigencia ejecutiva

Con las nuevas reglas sobre el tema de ciberseguridad recientemente emitidas por la Comisión de Valores de los Estados Unidos de América (Security Exchange Commission (SEC)) sobre el reporte de incidentes de seguridad y con ocasión de la actualización del fallo de Caremark International Inc. Derivative Litigation de 1996, realizado por el tribunal de Delaware en USA en 2019, donde indaga si la junta directiva ha establecido procedimientos para obtener informes periódicos de la dirección sobre los aspectos críticos de la empresa (Bhagat, 2022), la ciberseguridad toma especial relevancia comoquiera que es un aspecto clave y transversal a la dinámica empresarial, donde eventos adversos exitosos en el dominio cibernético terminan afectando no sólo la promesa de valor de la empresa, sino sus diferentes grupos de interés.

La acelerada trasformación digital y la exigencias de una mayor competitividad en cada uno los sectores de la dinámica social, demandan una mayor exposición y aumento del apetito de riesgo cibernético. En este sentido, el desarrollo de capacidades cibernéticas asociadas con la defensa, la prevención, la respuesta, el monitoreo y automatización cobran más relevancia para atender un mayor tejido digital de opciones que se plantean, donde no sólo participan los clientes y ciudadanos, sino los diferentes actores de un ecosistemas digital que se hace tan resistente o vulnerable como la capacidad de colaboración y cooperación de cada uno de sus participantes (Teixeira et al., 2023).

En consecuencia de lo anterior, las organizaciones y sus equipos ejecutivos deberán madurar en la gestión y gobierno del riesgo cibernético para dar cuenta de su responsabilidad frente a este riesgo. En esta línea, deberán entre otras cosas: (Bhagat, 2022)

  • Disponer de procedimientos para detectar amenazas e incidentes de ciberseguridad e informar de ellos a la dirección en tiempo real.
  • Informar puntualmente al consejo de las amenazas e incidentes de ciberseguridad.
  • Debatir sobre ciberseguridad con regularidad en la agenda del consejo, no sólo después de un incidente de ciberseguridad.
  • Priorizar las acciones en los ciberataques potenciales que puedan causar el mayor daño económico.
  • Contar con un comité de ciberseguridad, distinto al comité de auditoría, donde se defina, valide y actualice el apetito de riesgo cibernético de la empresa y sus umbrales de tolerancia a dicho riesgo.

Dada la naturaleza dinámica del riesgo cibernético, el equipo ejecutivo debe ser consciente que la gestión y gobierno de este riesgo se trata de un esfuerzo continuo que se hace más exigente con el tiempo. Por tanto, las brechas y vulnerabilidades aprovechadas por los ataques cibernéticos crean riesgos normativos, penales, legales y de marca, todos los cuales deben ser comprendidos y supervisados por la junta directiva ahora y en el futuro (Brown & Ludwig, 2023).

Conclusiones

Desarrollar pronósticos de seguridad/ciberseguridad cada año se torna en un reto cada vez más desafiante, más enriquecedor y más esquivo, comoquiera que los cambios acelerados y transformaciones inesperadas, crean escenarios que muchas veces desafían hasta los más experimentados analistas en estos temas. En esta ocasión, si bien muchas temáticas pueden quedarse por fuera de esta reflexión, es importante advertir que los retos y análisis planteados establecen una mirada multidimensional, asimétrica, híbrida e interconectada de la dinámica actual, que trata de recoger algunos movimientos y sus impactos en la práctica vigente de los ejecutivos de ciberseguridad y los miembros de las juntas directivas.

Un reciente estudio de Mckinsey (2023) establece que las tecnologías relacionadas con identidad y arquitecturas de confianza son las que más crecen respecto del año 2022, dado que la seguridad, la privacidad y la resiliencia se vuelven cada vez más críticas en todos los sectores de negocio. Esta realidad revela la necesidad de las organizaciones de avanzar rápidamente en un escenario cada vez más incierto, donde las ventajas competitivas se alcanzan aumentando el apetito de riesgo cibernético y motivando la transformación digital a través de iniciativas digitales novedosas y disruptivas.

No obstante, esta condición natural de tomar riesgos, se contrasta con los retos que impone la materialización de los riesgos cibernéticos en las organizaciones. En este sentido, no es la protección y prevención (orientado por los riesgos conocidos) lo que hace la diferencia en la gestión de este riesgo, sino las estrategias de defensa con el fin de advertir los movimientos del adversario y actuar hasta antes de que tenga éxito, o en el mejor de los casos ganar tiempo de maniobra para ajustar las medidas de seguridad y control disponibles en la organización. 

Así las cosas, el reto que deben asumir las organizaciones es anticipar el mayor número de amenazas cibernéticas, con el fin de mantener un inventario de análisis permanente, que la mantenga fuera de la zona cómoda y retada en sus saberes previos, con el fin de: (Brill, 2021)

  • Establecer lo conocido y lo que se puede conocer.
  • Definir los retos concretos a enfrentar.
  • Enmarcar los límites de la búsqueda.
  • Efectuar las inferencias que se pueden hacer de aquello conocido y por conocer.

De esta forma, la organización dejará de entender el incierto como un enemigo a vencer, para transformarlo en el insumo base de la toma de decisiones para navegar y avanzar en medio de los retos de los adversarios, y entender su apetito de riesgo cibernético, como el fundamento de las inversiones, las estrategias y los objetivos corporativos, esto es, centrar la discusión en torno a la misión empresarial y la promesa de valor para el cliente.

Referencias

  • Barojan D. (2021) Building Digital Resilience Ahead of Elections and Beyond. En: Jayakumar S., Ang B., Anwar N.D. (eds) Disinformation and Fake News. Palgrave Macmillan, Singapore. https://doi.org/10.1007/978-981-15-5876-4_5
  • Bhagat, S. (2022). How corporate boards can ensure cybersecurity is mission critical. The Hill. https://thehill.com/opinion/cybersecurity/3789660-how-corporate-boards-can-ensure-cybersecurity-is-mission-critical/ 
  • Brill, J. (2021). Rogue Waves. Future-proof your business to survive & profit from radical change. New York, USA:Mcgraw Hill
  • Brown, A. & Ludwig, H. (2023). Cybersecurity: Seven Steps for Boards of Directors. The Guide to Effective Cyber Risk Oversight: From Board Members for Board Members. Zscaler. https://www.zscaler.com/resources/ebooks/zscaler-cybersecurity-seven-steps-for-bod.pdf 
  • Cano, J. (2020). Ciberataques ¿Impuestos inevitables en la dinámica de una economía digital? Revista SISTEMAS. 67-74. https://lnkd.in/eE3WRCdQ
  • Cano, J. (2021). Los conflictos híbridos y el poder de los algoritmos. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. 161. 62-72. https://doi.org/10.29236/sistemas.n161a6 
  • Cano, J. (2023). The Illusion of Control and the Challenge of an Adaptable Digital Enterprise. ISACA Journal. 3. https://www.isaca.org/resources/isaca-journal/issues/2023/volume-3/the-illusion-of-control-and-the-challenge-of-an-adaptable-digital-enterprise 
  • Deloitte (2023).  Tech trend 2023. Deloitte Insights. https://www2.deloitte.com/us/en/insights/focus/tech-trends.html
  • Groopman, J. (2022). 5 reasons to integrate ESG and cybersecurity. Techtarget. https://www.techtarget.com/searchsecurity/tip/Reasons-to-integrate-ESG-and-cybersecurity 
  • J.P.Morgan (2021). Why is cybersecurity important to ESG frameworks? https://www.jpmorgan.com/insights/esg/governance-strategies/why-is-cybersecurity-important-to-esg 
  • KPMG (2023). Cybersecurity in ESG. https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2023/08/cybersecurity-in-esg.pdf 
  • Kukkola, J. (2020). Digital Soviet Union. The Russian national segment of the internet as a closed national network shaped by strategic cultural ideas. National Defence University Series 1: Research Publications No. 40. Helsinki, National Defence
  • Mckinsey (2023). McKinsey Technology Trends Outlook 2023. https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/the-top-trends-in-tech 
  • PwC (2023). 2024 Global Digital Trust Insights. https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/library/global-digital-trust-insights/report-download.html 
  • Rice, C. & Zegart, A. (2020). Managing 21st-Century political risk. En HBR’s 10 Must Read On Managing Risk. Boston, MA. USA: Harvard Business School Publishing Corporation. pp 89-106
  • Scheibmeir, J. (2023). Gartner Top Strategic Technology Trend: Build Digital Immunity to Improve Technology Resilience. Gartner Webinar. https://www.gartner.com/en/webinar/469884/1106412 
  • Semana (2023). Estos son los diez eventos geopolíticos que amenazan al mundo en 2024, según los expertos de The Economist. https://www.semana.com/economia/macroeconomia/articulo/estos-son-los-diez-eventos-geopoliticos-que-amenazan-al-mundo-en-2024-segun-los-expertos-de-the-economist/202333/ 
  • Sieber, S. & Zamora, J. (2018). The Cybersecurity Challenge in a High Digital Density World. European Business Review. November. https://www.europeanbusinessreview.com/the-cybersecurity-challenge-in-a-high-digital-density-world/ 
  • Teixeira, T., Beard, M., Watson, S., Hansen, B. & Thompson, D. (2023). Do you know your risk appetite? Arthur D’Little View Point. https://www.adlittle.com/en/insights/viewpoints/do-you-know-your-risk-appetite


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)