Ransomware. Más allá de una amenaza tecnológica

Introducción

Noticias recientes en diferentes informes, tanto de industria como de autoridades policiales, reportan que la “extorsión con datos” o denominada “ransomware” se ha convertido en uno de los riesgos y amenazas de mayor relevancia para la seguridad global, no sólo por su versatilidad y capacidad de acción, sino por su expansión e impactos financieros y de reputación a nivel organizacional (Interpol, 2020). En este contexto, esta amenaza digital se configura como un punto de reflexión relevante para los ejecutivos de seguridad y los directivos de las empresas modernas.

Cuando una empresa es afectada por este tipo de extorsión digital, se presenta inmediatamente la pregunta clave: ¿pagamos o no pagamos? Una pregunta que genera, tanto en el sector público como en el privado, tensiones de diferentes magnitudes e implicaciones que levantan “dedos acusadores”, buscan “señalamientos internos”, revelan “detractores de la inversión en seguridad”, y un sin número de sensaciones que cumplen con el propósito del adversario: generar confusión, confrontación y juego de responsabilidades, que le permitan mayor tiempo de acción y posicionamiento frente al momento, para conseguir su fin último, motivar el pago.

Cuando la organización en sus niveles ejecutivos se informa de la materialización de un ransomware buscará explicaciones posiblemente técnicas en primer lugar, luego detallar qué tipo de información es la que está comprometida, cómo afecta esto la operación y finalmente las implicaciones jurídicas que esto conlleva, si la información está sujeta a una protección particular. Con estos datos básicos, los ejecutivos llaman a todos los involucrados para tratar de establecer una vista general de lo que ha pasado y definir una postura base para actuar en consecuencia.

La extorsión con datos es una modalidad de cibercrimen que está apalancada desde el engaño, la curiosidad y las motivaciones humanas que conectan con un patrón de comportamiento que está fundado en las mismas necesidades y relaciones entre los individuos. En este sentido, al identificar aquello que puede ser de interés, y enlazarlo con la dinámica del contexto actual, los adversarios logran mimetizar sus acciones en un tejido social concreto con el fin de abordar a sus posibles víctimas sin que ellas lo noten.

Si adicionalmente a lo anterior, se advierte una baja higiene informática, o ahora en la actualidad, ciberhigiene, que tiene las personas en el contexto digital, la confianza ingenua en los medios y tecnologías disponibles, y el aumento de productos y servicios digitales que se despliegan con limitadas medidas de seguridad y control, los agresores tienen un caldo de cultivo enriquecido y generosos para movilizarse en diferentes sentidos y vectores para lograr sus acciones y planes con poco margen de acción por parte de los afectados.

En consecuencia, este breve documento busca plantear reflexiones alrededor de la realidad del ransomware, con el fin de brindar espacios para pensar sobre cómo abordar este reto, qué margen de acción se puede lograr y sobremanera, cómo encontrar algunos patrones que adviertan sobre el avance de este tipo de amenazas en la organización.

Secuestro de datos. Más allá de un problema de tecnología

El secuestro en general es uno de los delitos más reprochados y sancionados por la sociedad en los diferentes instrumentos jurídicos de un país democrático. El secuestro priva al ser humano de uno de sus derechos básicos como lo es la libertad y así mismo lo expone al deterioro de su bienestar en diferentes facetas, con afectaciones en múltiples dimensiones de su acción en la sociedad.

El secuestro de datos, no cuenta con una lectura tan amplia y difundida en la sociedad sobre lo que esto significa tanto para las personas como para las empresas en el contexto digital. Este ejercicio, igualmente censurable, que priva a la persona o a las organizaciones de uno de sus activos más importantes como son los datos y la información representa en la actualidad una afrenta directa que pone en peligro los derechos y prerrogativas de las empresas y los seres humanos en su libre actuación en la dinámica social. El secuestro de datos, y su posterior extorsión por parte de terceros, configura una figura delictiva que en su momento deberá ser abordada por diferentes jurisdicciones y acciones legislativas para ser incorporada en los ordenamientos jurídicos nacionales e internacionales (Al-rimy, Aizaini & Zainudeen, 2018).

Cuando la organización se enfrenta al reto de un secuestro de datos, son pocas las maniobras jurídicas que puede activar para tratar de contener posibles efectos adversos en su contra. Por un lado, puede acudir a una póliza de seguros cibernético, que de acuerdo con sus alcances y exclusiones podrá apoyar a la empresa para manejar este momento. Por otro lado, puede lanzarse a negociar con el agresor que ha capturado los datos, con la claridad de que, aun teniendo la forma de restaurar la información, es probable que no pueda hacerlo, o finalmente informar a la autoridad competente para utilizar diferentes estrategias que le permitan encontrar al agresor, desactivar el mecanismo de cifrado, usar los canales diplomáticos si son del caso y así, ajustarse a los cánones establecidos por la constitución y la ley.

El ransomware establece saca de la zona cómoda a los profesionales de seguridad de la información, a los abogados corporativos y a los ejecutivos de primer nivel, habida cuenta que si la información o los datos comprometidos están sujetos a condiciones particulares de protección y debido cuidado, deberán establecer con claridad la manera de responder por la situación a los diferentes grupos de interés afectados. En consecuencia, la organización estará sujeta a un fuego cruzado donde será evaluada frente a sus prácticas de seguridad, privacidad y control, y cómo estas se han venido desarrollando y aplicando, y por otro lado, las tensiones jurídicas, con sus respectivas sanciones (generalmente económicas), que pueden terminar impactando la reputación en su sector de negocio.

Hablar del secuestro y la extorsión con datos, es una temática que va más allá del fenómeno tecnológico que la materializa. Es habilitar una vista sistémica de la problemática que conecta las prácticas de seguridad, las relaciones empresariales, los marcos jurídicos, los aseguradores, las vulnerabilidades tecnológicos y sobremanera, los comportamientos humanos (Sittig & Singh, 2016).

Materialización del ransomware. Dos lados una misma ecuación

Las acciones que se siguen luego de un secuestro, que generalmente tiene algún tipo de motivación (no siempre económica), llevan a un contacto directo o indirecto con los grupos de interés de la víctima, con el fin de iniciar un juego de emociones y tensiones que buscan doblegar la voluntad de la parte afectada. Para ello, las pruebas de supervivencia, las llamadas amenazantes y las manifestaciones visibles que generan incertidumbre (fotos, símbolos, o pertenencias), son piezas fundamentales para crear la necesidad y las acciones necesarias que lleven al cumplimiento del objetivo del agresor.

En el mundo digital, el ransomware tiene al menos dos vistas en la actualidad. Secuestro de información o datos (generalmente relevantes) por los cuales hay que pagar un rescate (y de no hacerlo se procederá a su destrucción o desaparición), o acceso a información sensible o comprometedora, que podrá ser expuesta (con posible afectación de la reputación), sino hay un pago al delincuente digital (Baykara & Sekin, 2018). En ambos casos, los delincuentes buscarán relevar pruebas a sus víctimas de que la acción es real y seria, sin perjuicio de motivar decisiones ágiles al respecto, para lo cual incluyen cuentas regresivas visibles o mensajes de voz modificados para intimidar a las empresas o las personas y medios de contacto basados en cuentas de correo anónimas o descartables.

Al evaluar la materialización de un evento como el ransomaware habrá que mirar los dos lados de la ecuación: a la empresa (o la persona), así como al atacante. Por el lado de la persona o la empresa el análisis puede incluir, entre otros aspectos:

• Nivel de aseguramiento de las prácticas de seguridad y control
• Nivel de afinamiento y uso de las tecnologías de seguridad y control disponibles.
• Pruebas y lecciones aprendidas de la evaluación y seguimiento a los planes de recuperación y continuidad de negocio
• Análisis de comportamientos de navegación y uso de internet
• Nivel de desarrollo de cultura de seguridad de la información (incluida la ciberhigiene personal)
• Análisis prospectivos de riesgos latentes y emergentes en el contexto de las operaciones y estrategias de la empresa
• Definición del apetito al riesgo empresarial (o personal) (Herrera Silva, Barona López, Valdivieso Caraguay & Hernández-Álvarez, 2019).

Cualquier deficiencia o resultado que no corresponda a lo esperado en cada uno de estos elementos previamente mencionados, será asociado con una limitada capacidad de gestión tanto de la organización como de la persona frente al debido cuidado que deben tener en la protección de la información o los datos que tienen a cargo o de su propiedad, lo que en últimas se traduce en una posible acción negligente que podría ser comprobada vía ejercicios de auditoría o verificación independiente. 

Ahora desde la perspectiva del agresor, el análisis puede incluir entre otros aspectos los siguientes:

• Nivel de especialización y habilidad para desarrollar inteligencia
• Motivaciones específicas que llevan a la acción
• Uso de herramientas conocidas o especializadas
• Conexiones con otros grupos criminales
• Pagos basados en criptomonedas, o monetizaciones de otras formas
• Patrones de actuación previos
• Antecedentes disponibles a nivel nacional o internacional (Cano, 2020).

Cualquier información que se cuente basado en el listado anterior, ofrecerá orientaciones y pistas para seguir el rastro del atacante. Cada uno de ellos ayudará a darle forma al rompecabezas que implica conectar las diferentes acciones del agresor, con el fin de encontrar patrones consistentes que den luces para reconstruir su acción criminal y así, lograr en el mejor de los casos su ubicación y captura. Esto no siempre se logra y por lo tanto, cuanta más información confiable y relevante se pueda obtener, mejores mapas se podrán delinear sobre un territorio siempre incierto que plantea el adversario (El-Kosairy & Azer, 2018).

Acciones frente al secuestro y extorsión con datos. Algunas ideas convencionales y no convencionales

Cuando una organización sufre de la materialización de un ransomware, debe considerar las dos partes de la ecuación y no sólo concentrarse en el dolor que esto genera al interior, con las consecuencias naturales que esto trae desde el punto de responsabilidades individuales y colectivas.

En este sentido, se plantean algunas acciones convencionales que las empresas o personas aplican cuando se ha concretado el secuestro y la extorsión con datos, lo cual implica consecuencias que ponen en riesgo la reputación de la empresa.

• Contratar o buscar servicios especializados para restaurar los datos que se han comprometido. Este tipo de servicios generalmente son costosos e implican usos de herramientas particulares que tratan de encontrar patrones y establecer vías alternas para tener acceso a los datos, lo que no siempre se logra.
• Contactar a los proveedores de herramientas de seguridad y control, o sus contactos para establecer alternativas que permitan encontrar maneras de recuperar la información o parte de ella. Esta acción, generalmente suele generar logros discretos comoquiera que existen centros de investigación asociados que pueden dar luces al respecto.
• Usar los respaldos de información con los que cuenta la empresa o la persona, los cuales generalmente no responden a una práctica sistemática y validada. Esta estrategia suele funcionar de forma parcial dado que la actualización de la información respaldada define el nivel alcance y maniobra que la organización o la persona puede tener. El uso de esta información como forma de recuperación podrá generar deficiencias y diferencias al ser usada.
• Pagar al agresor en los términos y condiciones que este indique para poder recuperar la información que se ha comprometido. Cuando se toma esta opción las organizaciones y empresas saben que estarán pagando un soborno, lo cual es abiertamente ilegal, y por otro lado, que siempre podrán recuperar toda la información y tendrán la duda permanente, si el agresor no ha hecho copias adicionales con las cuales pueda negociar en otro momento.

Otra manera de actuar frente a la materialización del ransomware, es incorporar estrategias no convencionales que generen mayor incierto en la ecuación de riesgos del atacante. Esto es, que lo lleve a actuaciones erráticas que habiliten mejores posibilidades para su identificación y seguimiento. Esto se traduce, en comprender con claridad las perspectivas y expectativas del agresor para jugar de forma diferente en el mismo campo que el adversario propone. Lo anterior se traduce en:

• Atribución – Mostrar con datos concretos y comunicaciones creíbles que han logrado identificar patrones que permiten establecer la identidad de la persona o grupo que ha intervenido en el secuestro.
• Evidencias – Detallar e ilustrar cómo los mecanismos de seguridad y control cuentan con evidencias de los patrones del agresor, lo cual establece una línea de acción concreta para identificar a los posibles atacantes.
• Represalias – Crear un ambiente y entorno basado en los dos temas anteriores, para anunciar acciones legales y seguimientos a nivel local e internacional que pueden terminar en la captura y judicialización de los adversarios.
• Apetito al riesgo – Detallar con hechos y datos cómo la organización está preparada para asumir el evento, con lo cual los impactos que se pueden tener no son los esperados por el agresor y por lo tanto, su capacidad de presión y negociación se pueden limitar (Saydjari, 2018).

Cualquiera de las acciones convencionales que se tome tendrá como resultado mantener el status quo de incertidumbre que propone el adversario, lo que generalmente le dará la ventaja para mantener el control de la situación. Adicionalmente este tipo de acciones estarán ajustadas al ordenamiento legal (con excepción del pago de la extorsión) lo que le dará tranquilidad a los ejecutivos en sus marcos de cumplimiento y reporte a los entes de control.

Tomar acciones no convencionales, es hacer una apuesta arriesgada que puede tener o no resultados positivos. Es un ejercicio de inteligencia y contrainteligencia para movilizar los esfuerzos de la organización en un terreno donde no está acostumbrada a jugar, para lo cual deberá tener serenidad y estar dispuesta a correr riesgos para movilizar al atacante de su trinchera y motivar acciones que le permitan ver movimientos que el agresor no tenía previstos y que lo obliguen a salirse del guión que había planeado frente a sus víctimas. Es claro que para navegar en este tipo de actuación deberá contar con acompañamiento y asesoría para cometer el menor número de errores (Jiménez, 2019).

Reflexiones finales

El ransomware es una modalidad de crimen organizado que es fruto de la transformación digital de la criminalidad desde hace más de 10 o 15 años, cuando se iniciaba con el tema de las botnets, herramientas de acceso remoto y los caballos de troya. Poder tener control de un equipo sin que la víctima se dé cuenta, es uno de las expresiones y motivaciones más relevantes que experimentan los atacantes para concretar acciones delictivas basadas en el posible anonimato o irrastreabilidad que esto puede llevar (Kardile, 2017).

Los supuestos actuales de la criminalidad digital como son a) el máximo anonimato, con la mínima evidencia, b) la máxima ambigüedad jurídica con el mínimo conocimiento tecnológico disponible y c) la máxima efectividad de su acciones, con el mínimo esfuerzo establecen una economía del cibercrimen que habilitan el desarrollo de capacidades técnicas, sociales y de inteligencia lo suficientemente sofisticadas, para aumentar el nivel de incierto en las personas, las organizaciones y los países, y así motivar acciones ilegales lucrativas que pueden pasar por debajo de los radares de las autoridades oficiales (Interpol, 2020).

El ransomware es una expresión convergente del aprovechamiento por parte del “lado oscuro de la fuerza” de las tecnologías disruptivas, de la sensibilidad y comprensión de los nuevas apuestas de las organizaciones en el contexto digital, y sobremanera de la masificación y multiplicación de los productos y servicios basados en tecnología, que las personas y organizaciones pueden usar para cambiar la manera de hacerlas cosas, particularmente hacerlas de forma más ágil y sencilla.

El aumento de la conectividad y la mayor superficie digital disponible en la dinámica social, fruto de una creciente densidad digital y convergencia tecnológica, hace que los flujos de datos e información, se conviertan en activos fundamentales tanto para los individuos como las empresas (Do, Martini  & Choo, 2018). En este contexto, los datos y la información representan y definen la identidad y la presencia de los seres humanos en esta nueva realidad, lo cual manifiesta y revela una lectura extendida de derechos y deberes que se deben entender y asumir para armonizar las relaciones de las personas ahora conectadas y digitalmente aumentadas en una sociedad tecnológicamente modificada (Bechmann, 2019).

En consecuencia, el secuestro y extorsión de datos establece una agresión digital de especial relevancia para la dinámica social actual, dado que lo que está en juego va más allá de la acción tecnológica que esto lleva, esto es, comprometer y afectar derechos de personas y empresas que pueden tener implicaciones a nivel político, económico, social, tecnológico y hasta ecológico, si lo que se compromete, está asociado con una infraestructura crítica de una nación (Pankov, 2020).

Por tanto, cuando una persona u organización es víctima de un ransomware deberá pensar muy bien sus estrategias de acción, para establecer con cabeza fría y visión holística, el camino a seguir para limitar tanto como se pueda los efectos adversos de esta condición, y analizar si quiere o no, entrar al tablero del juego incierto del agresor, para desde allí, formular estrategias que lleven al adversario a acciones no previstas y así lograr una mejor posición de negociación, sin ningún tipo de garantías ni reglas claras que seguir.

Referencias

Al-rimy, B., Aizaini, M. & Zainudeen, S. (2018). Ransomware threat success factors, taxonomy, and countermeasures: A survey and research directions. Computers & Security. 74, 144-166. Doi: 10.1016/j.cose.2018.01.001

Baykara, M. & Sekin, B. (2018). A novel approach to ransomware: Designing a safe zone system. 2018 6th International Symposium on Digital Forensic and Security (ISDFS), Antalya. 1-5. Doi: 10.1109/ISDFS.2018.8355317

Bechmann, A. (2019). Data as humans: Representation, Accountability, and Equality in Big data. En Jorgensen, R. F. (editor) (2019) Human rights in the age of platforms. Cambridge, MA. USA: MIT Press. 73-94.

Cano, J. (2020). Modelo SOCIA. Una reflexión conceptual y práctica desde la perspectiva del adversario. Actas X Congreso Iberoamericano de Seguridad Informática 2020. Universidad Politécnica de Madrid - Universidad del Rosario. Enero. Doi: 10.12804/si9789587844337.09

Do, Q., Martini, B.  & Choo, R. (2018). Cyber-Physical Systems Information Gathering: A Smart Home Case Study. Computer Networks. 138. 1-12.  doi: 10.1016/j.comnet.2018.03.024

El-Kosairy, A. & Azer, M. A. (2018). Intrusion and ransomware detection system. 2018 1st International Conference on Computer Applications & Information Security (ICCAIS), Riyadh. 1-7, Doi: 10.1109/CAIS.2018.8471688

Herrera Silva, J. A.; Barona López, L. I.; Valdivieso Caraguay, A. L. & Hernández-Álvarez, M. (2019). A Survey on Situational Awareness of Ransomware Attacks—Detection and Prevention Parameters. Remote Sens. 11(10). 1-20. Doi: 10.3390/rs11101168

Interpol (2020). Cybercrimen: Covid-19 Impact. August. De: https://www.interpol.int/es/content/download/15526/file/COVID-19%20Cybercrime%20Analysis%20Report-%20August%202020.pdf

Jiménez, F. (2019). Manual de inteligencia y contrainteligencia. Tercera edición. Sevilla, España: CISDE.

Kardile, A. (2017). Crypto ransomware analysis and detection using process monitor. Master Thesis. University of Texas, Arlington. De: http://hdl.handle.net/10106/27184

Pankov, N. (2020). Lazarus experimenta con un nuevo ransomware. Kaspersky Latam. De: https://latam.kaspersky.com/blog/lazarus-vhd-ransomware/19773

Saydjari, O. (2018). Engineering trustworthy systems: get cybersecurity design right the first time. New York, USA.: McGraw Hill

Sittig, D. F., & Singh, H. (2016). A Socio-Technical Approach to Preventing, Mitigating, and Recovering from Ransomware Attacks. Applied clinical informatics, 7(2), 624–632. Doi: 10.4338/ACI-2016-04-SOA-0064

Superficie de ataque empresarial. Más allá de las probabilidades y las listas de chequeo

Introducción

El aumento de las noticias sobre ataques exitosos y brechas de datos en diferentes industrias y países advierte una importante movilización de esfuerzos y estrategias de los adversarios, para mantener una agenda agresiva e innovadora que aprovecha la inestabilidad y los momentos de incertidumbre para concretar acciones contrarias y desestabilizar a las empresas y naciones, y así encontrar “espacios en blanco” y “lugares inéditos” donde pasar desapercibidos y ganar terreno si ser notados.

En este sentido, las organizaciones más allá de sus límites corporativos, hoy se encuentran más conectadas que nunca, lo que habilita una mayor visibilidad de su infraestructura y un mayor flujo de información, que revela tanto sus estrategias de seguridad y control, así como sus limitaciones y posibles debilidades las cuales podrán (y serán) probadas por terceros, los cuales con intenciones no definidas, tendrán oportunidad de ver cómo se comportan los mecanismos de atención y control de eventos no deseados dispuestos por las empresas.

El riesgo de una brecha de seguridad y exposición de datos sensibles (y confidenciales) hoy se hace más evidente que en otros momentos, toda vez que los puntos de ataque disponibles para los adversarios se han aumentado dada la acelerada transformación digital que las organizaciones han debido desplegar para mantenerse operativas y disponibles para sus diferentes grupos de interés. En este escenario, la dependencia de la infraestructura de terceros, los puntos de conectividad entre la empresa y el proveedor, y las prácticas de seguridad y control de unos y otros, se vuelven relevantes para configurar un marco de gobierno y aseguramiento homogéneo frente a la inevitabilidad de la falla (Sharton, 2020).

En consecuencia para tratar de dimensionar esta nueva realidad aumentada y digitalmente modificada, donde la superficie de ataques se ha expandido, es necesario entender que existen diferentes maneras a través de las cuáles las cosas pueden salir por fuera de lo previsto y un contexto organizacional donde pueden ocurrir que incluyen entre otros los servidores, las bases de datos, los switches, los enrutadores, las aplicaciones (estándares, hechas a la medida y móviles), los computadores de los colaboradores, los controladores industriales y los sistemas ciber-físicos disponibles (dispositivos Smart).

Si se cruzan las posibilidades de fallas, vulnerabilidades y errores que se pueden presentar, con el contexto organizacional previamente mencionado, se tiene una malla casi infinita de lugares donde el adversario pude localizar sus esfuerzos y lograr efectos desestabilizadores para la empresa y sus grupos de interés (Banga, 2020). Por tanto, un ataque no es solamente el aprovechamiento de una vulnerabilidad, falla o error, sino la exploración de puntos pivote en la malla, previamente comprometidos, para crear el incierto necesario, que induzca a la confusión y acciones no planeadas por parte de la empresa, para tomar control de activos claves y propagar sus alcances dentro y fuera de corporación, con fines que pueden ser económicos, políticos, sociales, tecnológicos o ecológicos.

Por consiguiente este breve documento plantea una reflexión sobre los retos de las organizaciones modernas frente a sus interacciones en los nacientes ecosistemas digitales y las tensiones que los ciberriesgos exhiben en un tejido digital de nuevos flujos de datos, que con la participación de los terceros de confianza diseñan y configuran nuevas experiencias para sus diferentes grupos de interés.

Comprender el ciberriesgo

Cuando es posible advertir la malla de posibilidades que tiene el adversario para localizar y diseñar sus ataques, es claro que un sentimiento de angustia y agobio se puede apoderar tanto de los ejecutivos de seguridad como los directivos de la empresa. No obstante lo anterior y sabiendo que tarde o temprano el atacante tendrá éxito, es necesario comprender cuál es la postura de seguridad/ciberseguridad que la organización ha desarrollado frente al entorno actual, lo que implica ajustar la visual de riesgos previa y desinstalarla de los supuestos iniciales sobre las cuales fue construida (Cano, 2019).

Lo anterior, implica al menos revisar cinco elementos claves para desconectar las creencias e imaginarios de los diversos actores organizacionales, con el fin de conectar nuevas posibilidades y retos que se encuentran en el escenario vigente, que hablan de una posición de seguridad y control afectada por la incertidumbre que demanda más certezas que antes.

El primer elemento es “desinstalar la creencia de seguridad 100% y riesgo cero”. Si bien antes de entrar en esta situación de emergencia, la afirmación anterior era válida, hoy se hace más visible la malla de posibilidades que es necesario cubrir y monitorizar, para poder atender eventos no esperados y limitar los efectos adversos que se pueden materializar. Cuando se entiende que la seguridad es un umbral de riesgo aceptado mediado por la capacidades claves instaladas y desarrolladas, donde es posible construir una confianza digital imperfecta, es viable establecer estrategia de acción conjunta con los diferentes actores para asumir cualquier evento y responder de forma resiliente (Mee & Brandenburg, 2020).

El segundo elemento es “asumir el error como parte del proceso y no como resultado”. Esta afirmación permite no solo desarrollar una adecuada gestión de incidentes por parte de las organizaciones, sino aumentar la capacidad de resistencia y respuesta de la organización, pues demanda de ella una postura proactiva que busca probar y validar sus esfuerzos de seguridad y control, para anticipar sus respuesta y la forma como evolucionan la amenazas y estrategias de los adversarios. Mientras las vulnerabilidades que se detecten no sean insumos para renovar y repensar la postura de seguridad, la organización creará nuevos puntos pivote que el adversario pueda usar en el futuro.

El tercer elemento es “pasar del proteger y asegurar, al defender y anticipar”. Esta propuesta busca darle el lugar a las buenas prácticas y estándares disponibles a la fecha que son de amplio uso en las organizaciones, como una forma de cubrir los riesgos conocidos y caracterizados, para coordinar nuevos esfuerzos que permitan mirar los riesgos latentes y emergentes (Cano, 2017), con el fin movilizar a la organización al diseño de pruebas y simulaciones que la preparen para defender sus posición en el contexto digital. Esto es, lograr advertir los movimientos del adversario en su propio terreno, para demorarlo y aumentar la capacidad de respuesta y atención de la organización.

El cuarto elemento es comprender que “las vulnerabilidades crecen y se invisibilizan más hacia los activos de información sensible, que hacia las infraestructuras tecnológicas de seguridad y control”. Cuando se revisan los reportes internacionales sobre amenazas y vulnerabilidades, las empresas especializadas hacen especial énfasis en las fallas técnicas, en los errores de los programas o en problemas de configuración de dispositivos los cuales terminan en recomendaciones concretas que los clientes de dichas soluciones deben instalar de forma periódica o inmediata dependiendo de la criticidad o sensibilidad del caso. Sin perjuicio de lo anterior, pocas veces se hace énfasis en los comportamientos de las personas y su propensión al error en el tratamiento de la información, que de alguna forma debería ser la norma para mantener una operación estable y confiable, lo que reitera lo comentado en el elemento dos.

El quinto elemento es “habilitar el pensamiento sistémico y prospectivo para desarrollar capacidades” que complementen las prácticas vigentes basadas en certezas y asociadas a riesgos conocidos. La ciberseguridad es una disciplina emergente e interdisciplinar. No está basada en discursos disciplinares ni cuenta con un marco de saberes a la fecha estandarizado. Es una disciplina en formación que reconoce la convergencia de los retos y peligros del mundo físico y sus impactos, así como las oportunidades y amenazas del ecosistema digital en el cual se encuentra envuelta la empresa (Dupont, 2013). De esta forma, no son los estándares actuales lo que hacen realidad la postura de seguridad y control, sino la capacidad de reconocer las relaciones y amenazas emergentes que se advierten el entorno, sabiendo que es posible “ver las acciones del agresor” y actuar en consecuencia antes de que tenga éxito. No siempre se va a lograr y por lo tanto tendrá que estar preparada para asumir un incidente.

Cuando se comprenden y se apropian estas cinco distinciones el ciberriesgo deja de ser un problema de tecnología y de especialistas de seguridad y control, para traducirse en una lectura de riesgos empresariales de negocio donde lo que está en juego no es solamente la recuperación de la empresa frente a un evento no deseado, sino la capacidad de la organización para anticipar condiciones inesperadas, limitar los impactos de los ataques cibernéticos y asumir la responsabilidad digital empresarial (Wade, 2020) que concreta la confianza digital imperfecta con cada uno de sus grupos de interés.

Entender el ecosistema digital

Las organizaciones a la fecha están más conectadas que antes, ofreciendo un mayor número de productos y servicios, que logren concretar nuevas experiencias en sus clientes. Esta realidad permite optimizar múltiples procesos internos, catalizar iniciativas claves para crear nuevas apuestas de valor y sobremanera aumentar el apetito de riesgo de la compañía respecto de su modelo de negocio y las apuestas estratégicas que se desarrollan en el marco de su visión de negocios.

Un ecosistema digital está compuesto de infraestructura, aplicaciones, usuarios y servicios, los cuales interactúan de forma coordinada para lograr un cambio de expectativa o percepción en las personas respecto de una experiencia previa sobre la manera de tener acceso a un producto o servicio. Esta realidad, implica un diseño de un sistema socio-técnico donde se advierten flujos de información entre los diferentes componentes del ecosistema y una convergencia de tecnologías para configurar un escenario diferente donde el cliente encuentra respuestas más ágiles a sus requerimientos.

Este ecosistema enriquecido ahora con sensores, dispositivos inteligentes, pagos no tradicionales, uso de analítica de datos y marketing dirigido, crea una realidad aumentada donde habitan ahora los clientes, lo que necesariamente exige el desarrollo de una confianza digital que le permita adquirir, utilizar y movilizar sus intereses y expectativas de forma confiable, en términos semejantes o mejores a los que tenía en un contexto físico. Bien anota Porter & Heppelmann (2014) que un producto digitalmente modificado no tendrá éxito sino cuenta con elementos de seguridad, privacidad y aseguramiento por parte del proveedor del producto o servicio.

En los nuevos ecosistemas digitales los ciberriesgos adquieren la característica de riesgos sistémicos, es decir, riesgos que se manifiestan en fallas, accidentes o interrupciones individuales que producen efectos en cascada, para lo cual es necesario comprender y analizar el nivel de acoplamiento e interacción de los componentes del sistema. Este tipo de riesgos tienen las siguientes características: (IRGC, 2018)

• Riesgos altamente interconectados con relaciones causa-efecto no lineales,
• Riesgos que implican poco conocimiento acerca de las interconexiones en entornos interdependientes,
• Riesgos donde no se cuentan con controles específicos.

Si las organizaciones siguen empeñadas en mantener sus modelos de riesgos actuales, basados en la sabiduría convencional de la gestión de riesgos como son: (Funston & Wagner, 2010)

• Los factores que afectan los acontecimientos no cambian,
• Los eventos son ligeramente aleatorios,
• Los eventos extremos son raros,
• Los pronósticos son exactos y fiables,
• Los eventos son independientes unos de otros,
• Los mercados son eficientes y racionales,

estarán más expuestas a eventos no deseados comoquiera que en la dinámica de las relaciones e interdependencias que sugiere y establece un ecosistema digital, pueden surgir relaciones emergentes o flujos de información diferentes a los previstos, lo que puede generar un entorno de operación y negocios más incierto, donde la empresa puede ser objeto de la inevitabilidad de la falla con mayor facilidad, mancillando o deteriorando la relación de confianza digital que viene construyendo con su cliente.

En un ecosistema digital comprender y percibir una brecha de seguridad y control no responde a una lectura lineal y conocida de la realidad, es más bien, comprender la dinámica de un ataque como una cadena de eventos algunos probables y otros posibles, que inician con el compromiso de uno de sus componentes, seguido de la propagación del mismo en medio del tejido digital de sus flujos de información para concretar el acceso, uso no autorizado, deterioro o exposición de activos digitales valiosos para la organización, donde están apalancadas las ventajas competitivas y sus promesas de valor.

Reflexiones finales

Es claro que los métodos tradicionales de evaluación de vulnerabilidades y gestión de riesgos presentan limitaciones frente a la malla de posibilidades que se tiene en la superficie actual de posibles puntos vulnerables en una organización. En consecuencia, en una situación como la actual donde hay un: (Gul & Slipsky, 2020)

• aumento del flujo de datos privados y públicos en la red,
• aumento de las descargas locales de información (pública y sensible),
• aumento de equipos sin parches aplicados,
• aumento de conversaciones con información propia del negocio fuera de la empresa,
• aumento de patrones de actividad inusual en las redes,
• aumento del uso de redes WIFI sin seguridad,
• aumento del uso de equipos personales (muchas veces sin medidas de seguridad básicas),
• aumento de los engaños basados en los inciertos de la crisis,
• aumento de comportamientos inadecuados de las personas,

los esfuerzos ahora se concentran en la detección y reacción frente a posibles eventos adversos que puedan afectar a la organización, para lo cual las inversiones en tecnología de monitorización y análisis de patrones como son los tradicionales SIEM (Security Information and Event Management) y los SOC (Security Operation Center) cobran gran relevencia pues permiten tener indicadores de actividades maliciosas o no autorizadas, para que las empresas actúen bien de forma autónoma o en conjunto con el proveedor del servicio.

Así las cosas, las listas de cumplimiento de controles, las listas de chequeo de seguridad y las validaciones frente a estándares conocidos y probados, no logran dimensionar los nuevos niveles de exigencia que los ciberriesgos les imponen a las organizaciones. La falsa sensación de seguridad que se puede generar al “cumplir con los estándares” se ve contrastada con el poco o bajo entendimiento de los especialistas en temas de seguridad y control del nuevo escenario de ataques, que habilitado por un tejido creciente de conectividad y leído desde las cegueras cognitivas de sus prácticas conocidas, pueden llevar a materialización de sorpresas predecibles (Watkins & Bazerman, 2003).

Por tanto, la gestión de riesgos de seguridad/ciberseguridad debe dar un paso adelante en entornos de alta incertidumbre y complejidad para aprender y desaprender de forma acelerada para dar cuenta con las capacidades, motivos, métodos e intenciones de los adversarios y así tener de forma permanente algunas preguntas en mente, que le permita caminar y seguir los pasos de sus agresores, y así mantener una postura vigilante y proactiva:

• ¿Conoce con certeza los puntos de integración de sus fuentes de datos, las aplicaciones y servicios? ¿Se hicieron pruebas de mal uso?
• ¿Sabe usted cuál es su nuevo perímetro de seguridad? ¿Cuenta con el listado de sus terceros y sus niveles de aseguramiento?
• ¿Qué acciones seguiría si se compromete la integridad de la configuración de un active digital? ¿Ha efectuado simulaciones al respecto?
• ¿Cómo sabría si luego de contener un ataque, el adversario no sigue ahí?
• ¿Con qué apoyo externo/interno contarías frente a un ciberataque? ¿Sabe a que autoridad debe reportar el evento y sus impactos?

Referencias

Banga, G. (2020). Why is cybersecurity not a human-scale problema anymore? Communications of ACM. 83(4). 30-34. Doi: 10.1145/3347144

Cano, J. (2017). The AREM Window: A Strategy to Anticipate Risk and Threats to Enterprise Cyber Security. ISACA Journal. 5.

Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 63-73. Doi: 10.29236/sistemas.n151a5

Dupont, B. (2013). Cybersecurity Futures: How Can We Regulate Emergent Risks? Technology Innovation Management Review, 3(7). 6-11. Doi: http://doi.org/10.22215/timreview/700

Funston, F. & Wagner, S. (2010) Surviving and Thriving in Uncertainty. Creating the risk intelligence enterprise. Hoboken, NJ. USA: John Wiley & Son

Gul, S. & Slipsky, M. (2020) The Top 10 Employer Cybersecurity Concerns For Employees Regarding Remote Work. Security Magazine. De: https://www.securitymagazine.com/articles/91999-the-top-10-employer-cybersecurity-concerns-for-employees-regarding-remote-work

IRGC (2018). Guidelines for the Governance of Systemic Risks. Lausanne: International Risk Governance Center (IRGC). De: https://infoscience.epfl.ch/record/257279/files/IRGC%20Guidelines%20for%20the%20Governance%20of%20Systemic%20Risks.pdf

Li T., Horkoff J. (2014). Dealing with Security Requirements for Socio-Technical Systems: A Holistic Approach. In: Jarke M. et al. (eds) Advanced Information Systems Engineering. CAiSE 2014. Lecture Notes in Computer Science, vol 8484. Springer. https://doi.org/10.1007/978-3-319-07881-6_20

Mee, P. & Brandenburg, R. (2020) Digital Convenience Threatens Cybersecurity. Sloan Managemen Review. Abril. De: https://sloanreview.mit.edu/article/digital-convenience-threatens-cybersecurity/

Porter, M. & Heppelmann, J. (2014). How Smart, connected products are transforming  competition. Harvard Business Review. Noviembre. De: https://hbr.org/2014/11/how-smart-connected-products-are-transforming-competition

Sharton, B. (2020) How Organizations Can Ramp Up Their Cybersecurity Efforts Right Now. Harvard Business Review. Mayo. De: https://hbr.org/2020/05/how-organizations-can-ramp-up-their-cybersecurity-efforts-right-now

Wade, M. (2020) Corporate Responsibility in the Digital Era. Sloan Management Review. Abril. De: https://sloanreview.mit.edu/article/corporate-responsibility-in-the-digital-era/

Watkins, M. & Bazerman, M. (2003) Sorpresas predecibles. Los desastres que deberías haber visto venir. Harvard Business Review. Abril.

Cocinando la seguridad/inseguridad en las empresas: ¿Quién es quién?

Introducción

La gastronomía como disciplina interdisciplinar, más allá de “la preparación y operación de productos alimenticios” es una apuesta que mezcla tanto ciencia como arte, para lograr comprender e impactar el entorno donde sus productos y acciones se hacen realidad. En este sentido, la gastronomía es un fenómeno sociocultural, que conecta las expectativas de las personas y sus raíces culturales, para crear experiencias que le otorgan identidad a territorios locales, regionales y globales, de tal forma que una preparación deja de ser un proceso eminentemente técnico y procedimental, para transformarse en un significado e imaginario lleno de conocimiento e historia (Reyes, Guerra & Quintero, 2017).

En este sentido, el gastrónomo en su formación a parte de dominar las técnicas propias de los cortes, el tratamiento de los productos, los métodos y técnicas de presentación y decoración, métodos de cocción, planeación de menús, la cocina fusión o la cocina molecular, deben conectarse con la dinámica del entorno y la cultura que los rodea, para reconocer la identidad de su contexto y poder recrear preparaciones relevantes y renovadas para comensales y solicitudes que den cuenta tanto de la visión del profesional de gastronomía como de las sensaciones que se esperan (y las novedosas) que se pueden concretar en esa realidad (Reyes, Guerra & Quintero, 2017).

De otro lado tenemos al Chef, una palabra de origen francesa, que revela a aquella persona hecha en la acción de la cocina. De acuerdo con la literatura, para ser Chef no se estudia, se gana el título con años de experiencia y liderazgo en ese espacio vital donde los alimentos, ingredientes y bebidas se transforman en experiencias concretas para comensales de diferentes paladares y gustos (Alonso, 2019). Un chef es un aprendiz permanente, que se enfrenta a la incertidumbre de la preparación de cada plato, que si bien conoce como se debe lograr, cada vez que lo hace tendrá un sello particular para resolverlo con ingredientes distintos disponibles en su espacio vital: la cocina.

Así las cosas, un gastrónomo, formado en la esencia misma de la visión general y particular de la preparación de los alimentos, que domina las técnicas y adquiere maestría en la gestión de los diferentes momentos del proceso de transformación de ingredientes en una apuesta de un plato; se encuentra con un chef, que en su realidad específica y particular sabe como funcionan los detalles y secretos a la hora de concretar un plato. Estas dos figuras, más que entrar en el engaño de la confrontación o comparación (Vincent & Hitch, 2019), buscan crear espacios de colaboración y sintonía donde el efecto final requerido se haga realidad en la experiencia de un comensal en términos de técnica, presentación y sabor.

Si llevamos estas dos figuras al escenario de la seguridad de la información y la ciberseguridad, donde tanto adversario como analista, deben cocinar un plato para sus comensales (grupos de interés), tendríamos que desarrollar en detalle los aspectos de técnica, presentación y sabor que cada uno debe imprimirle a su preparación para lograr la experiencia requerida en sus públicos objetivos, pensando claramente en las sensaciones que quieren crear a partir de ingredientes, utensilios y recetas innovadoras en ese espacio vital denominado empresa, nación o mundo.

Gastrónomo/Chef

Técnica (Práctica/Destreza)

Presentación (Venta/Marketing)

Sabor (Experiencia/Sensaciones)

(I)ngredientes (Calidad/Frescura) (R)eceta (Creatividad/Precisión) (U)tensilios (Funcional/Adecuado)

Tabla 1. Marco conceptual de la cocina. Elaboración propia (basado en Reyes, Guerra & Quintero, 2017)

Cocinando las sensaciones de la seguridad/inseguridad

Cuando hablamos de técnica, hacemos relación a la práctica y destreza del cocinero. Si el cocinero lo vemos desde la perspectiva del analista, este deberá alcanzar práctica y conocimiento profundo de los estándares y marco de trabajo en seguridad y control, como base de la preparación de la sensación de seguridad que quiere lograr. Si el cocinero es ahora el adversario, este buscará aprender, reconocer y replicar los efectos de los ataques conocidos, establecer algunos patrones que se pueden reutilizar, y como un chef, recabar detalles y secretos a la hora de concretar la elaboración de un plato especial que busca crear inestabilidad e incierto.

El estudio de la técnica, tanto para el analista como para el adversario, es un momento que contrasta la formalidad con la experiencia. Dos situaciones que se nutren de conocimiento concreto y del desarrollo de competencias; unos buscando certezas para dar respuestas concretas y otros, abrazando el incierto y la sorpresa de los pasos de otros, para desarrollar una ventana de aprendizaje donde el error no es ocasión de señalamientos o sanciones, sino de posibilidad y reto consigo mismo. Cuando alguno de los dos personajes cae en la tentación de la comparación, entran en el engaño de sí mismos, olvidando la esencia de sus propios servicios y platos.

El tema de la presentación está asociado con la venta y el marketing de sus productos finales. De acuerdo con la literatura tanto la venta como el marketing responden a emociones y sensaciones que se producen en el comprador, para se más exactos en la mente de las personas. Se comenta en la sabiduría popular que la “comida entra por los ojos”, en este caso por la experiencia que se tiene frente a las prioridades organizacionales y sus efectos en las apuestas estratégicas de las empresas (Kaplan, Bailey, O’Halloran, Marcus & Rezek, 2015).

Desde la perspectiva del analista, la presentación de sus preparaciones está asociada con sus indicadores de desempeño y su lectura de las expectativas de sus comensales ejecutivos, quienes muchas veces están atrapados en el imaginario de la seguridad/ciberseguridad “del 100%” o del “cero riesgo”. La presentación o venta de las preparaciones de este cocinero por lo general son estándares, con baja creatividad y mucha técnica. Generalmente los comensales terminan degustando un plato que sabe bien (por lo general) pero que no los transporta o conecta con sensaciones distintas que los enganchen y los motiven.

De otro lado, cuando el cocinero es un adversario, la presentación de sus platos responde a un impacto y visibilidad esperado. Esto es, conocer muy bien el paladar de sus comensales y crear con su propuesta, una experiencia que lo conecte con una realidad distinta, inédita e inestable, que le permita captar su atención y asegurar, que de ahora en adelante tiene un cliente más, conectado con su sazón y los sabores que quiere posicionar en su imaginario. Ya no es un plato más, sino una narrativa de amenazas (Parenty & Domet, 2020) que se encuentra en el paladar de sus clientes.

El estudio de la presentación para estos dos roles contrasta dos mundos. Uno el del seguimiento de pautas reconocidas y esperadas, con el de propuestas alternas, muchas desconocidas y arriesgadas, que pueden ser leídas de forma diversas por los comensales. Mientras el analista reconoce la dinámica y expectativas de los ejecutivos, para lo cual configura estrategias de comunicación conocidas y probadas, con las cuales puede crear un canal de comunicación con este cuerpo directivo; el adversario se concentra en crear situaciones desconocidas, desde patrones conocidos, creando combinaciones que no se han probado, sabiendo que las cosas pueden salir bien o tener efectos inesperados favorables o desfavorables.

El tema del sabor esta relacionado con la experiencia y las sensaciones que se producen en el cliente del plato que se sirve. Cuando se analiza esta variable desde la condición de analista, se habla del programa de seguridad/ciberseguridad que se tiene en la organización. Es decir, de cómo los diferentes comensales perciben y se sienten con el servicio, la sazón y el sello del gastrónomo que lo ha desarrollado. Es una lectura que se construye desde la experiencia práctica de la seguridad en la dinámica de la organización, que sabe a objetivos estratégicos, que tiene ingredientes autóctonos de la cultura empresarial y que usa el lenguaje y realidad cotidiana como utensilios básicos en sus preparaciones.

Desde la postura del adversario, el sabor se concreta en las experiencias de sus platos novedosos, llenos de la emocionalidad del vértigo para concretar una acción, y sus efectos en las empresas, en las naciones o en globo. El sabor del adversario siempre lleva un toque de ingredientes inciertos e inéditos (y algunas veces secretos) que hace de sus apuestas en los comensales, experiencias que pueden sorprender o dejar dudas, de acuerdo con la calidad de sus productos, que en este caso son las vulnerabilidades, fallas o errores, donde hace especial énfasis para lograr la sazón que desea imprimir en su preparación.

El estudio del sabor, tanto en el analista como el adversario, tensiona dos realidades: la lectura de la realidad empresarial y la novedad del reto ante lo inesperado. Cuando el analista le imprime un sello y sabor a la ciberseguridad/seguridad de la información desde la confianza, busca concretar espacios para construir con ingredientes conocidos e reconocidos en la cultura de la organización, no para sorprender ni protagonizar, sino para degustar y posicionar un sabor especial en sus comensales, y desde ahí crear preparaciones distintas y novedosas para sus clientes.

De otro lado, el adversario apuesta por sabores distintos, llenos de magia y sorpresa que exigen romper el status quo de la dinámica empresarial y revelar experiencias y texturas que no se habían visto. Esta postura, puede crear una demanda insaciable de novedad que termina cansando a sus comensales, o una práctica necesaria para salir de lo tradicional y mantener siempre la sorpresa del cliente por nuevos sabores.

A manera de resumen se detalla la siguiente gráfica que condensa las vistas tanto del analista como del adversario, frente a la técnica, la presentación y el sabor.

Tabla No.2 Cocinando la seguridad/inseguridad en las empresas. Elaboración propia

Reflexiones finales

Sea un gastrónomo o un chef, un analista de seguridad/ciberseguridad deberá no sólo atender en detalle las técnicas, la presentación y el sabor de sus preparaciones, sino reconocer el fenómeno sociocultural que representa la experiencia de su labor, para que, en la elaboración de sus platos, se advierta la identidad de cada uno, y de esta manera se reconozcan las expectativas de las personas y sus raíces culturales.

Estas dos figuras, para lograr capturar las expectativas de sus clientes y concretar experiencias memorables, deben nutrirse de ingredientes de primera calidad que permitan aplicar las técnicas necesarias de cocción, las propuestas claves para su presentación y el sazón necesario, enraizado en sus costumbres y lecturas particulares de su entorno, para crear sensaciones que conecten a sus comensales con sus propuestas y productos específicos.

La seguridad/ciberseguridad, al igual que la cocina, es un mundo tanto de técnica como de arte. De técnica asociada con la formalidad de los estándares y el uso de tecnologías particulares de protección, y de arte, por la forma como se presenta y se concreta el sabor en la experiencia de sus comensales.

De esta manera, tanto analista como adversario, que hacen parte de una misma lectura del reto de proteger y anticipar, deberán conectar sus propósitos y objetivos sobre una base cultural equivalente, donde cada cliente tendrá expectativas y condiciones previas, que no podrán ser ignoradas, para resolver todo el tiempo el reto natural de una organización o un estado: ¿cómo generar confianza digital a pesar de que un ciberataque es inevitable?

Referencias

Alonso, E. (2019). ¿Chef o Gastrónomo? Universidad del Claustro de Sor Juana. Recuperado de: https://www.elclaustro.edu.mx/claustronomia/index.php/mundo-foodie/item/307-chef-o-gastronomo

Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. & Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.

Parenty, T. & Domet, J. (2020) A leader’s guide to cybersecurity. Why boards need to lead and how to do it. Boston, MA. USA: Harvard Business Review Press.

Reyes, A., Guerra, E. & Quintero, J. (2017). Educación en gastronomía: su vínculo con la identidad cultural y el turismo. El periplo sustentable, (32), 00009. Recuperado de http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S1870-90362017000100009&lng=es&tlng=es

Vincent, J. & Hitch, J. (2019). Winning not fighting. Great Britain, UK. Penguin Random House.

El CEO Moderno y el CISO Vigilante: del deber ser al poder ser

Introducción

En un contexto de inestabilidad e incertidumbre permanente, las organizaciones tratan de establecer patrones acción que les permitan encontrar nuevas oportunidades para posicionarse y tomar un lugar privilegiado en su segmento de negocio. Para hacerlo, deben estar atentas a los cambios y tratar de “establecer relaciones en un contexto caótico” (Calvo, 2017). Por tanto, reconocer las amenazas emergentes y posibles eventos inciertos, es un reto constante de las empresas que aspiran generar nuevas experiencias y ventajas competitivas basadas en su apetito de riesgo.

El incremento de la densidad digital revela y define los nuevos patrones de acción de las corporaciones modernas (Sieber & Zamora, 2018). Esto es, configura una serie de condiciones de arquitectura tecnológica que habilitan posibilidades digitales, para luego hacer distinciones novedosas desde las expectativas de los clientes, como un experimento permanente, donde este hace parte de la construcción de aquello que espera tener y utilizar. No es una apuesta segura de condiciones estables, sino una propuesta que explora aspectos antes ignorados por la realidad, donde es claro que no siempre se tendrán los resultados esperados.

Con esta lectura de la realidad, tanto las corporaciones y sus promesas de valor, como los adversarios, plantean los nuevos escenarios que buscan sorprender a sus contrapartes, con el fin de configurar un imaginario que desestabilice su ecuación de riesgos, y de esta forma ganar terreno frente a las expectativas inicialmente planteadas para invertir la carga de prueba hacia el receptor y no en el iniciador (Saydjari, 2018).

Así las cosas, los encargados de la seguridad de la información y sus ejecutivos deberán desarrollar la visión de un líder vigilante (Day & Schoemaker, 2019), que le permita no sólo poder identificar amenazas y riesgos emergentes, sino anticipar los movimientos de sus adversarios, comoquiera que es desde la inestabilidad y las señales débiles del entorno, es desde donde se construyen las tendencias y se identifican las incertidumbres propias de las prácticas de seguridad y control.

En este contexto, los ejecutivos de seguridad y/o ciberseguridad deben desarrollar características claves, que les permitan posicionarse como asesores estratégicos de los presidentes de las empresas (CEO – Chief Executive Officer) (Cano, 2011), de tal forma que las capacidades de defensa y anticipación, se conviertan en los referentes naturales de la estrategia corporativa, que traducida en el lenguaje de los negocios, se presente bajo la distinción de confianza digital.

Retos de los CEO Modernos

La confianza digital como distinción emergente en las relaciones de negocios ahora en ecosistemas tecnológicos, requiere comprender tanto la dinámica de los participantes en las plataformas tecnológicas disponibles, así como las necesidades de los consumidores respecto del uso y tratamiento de sus datos. De esta manera, articular las nuevas experiencias de los clientes, resulta en una apuesta de riesgos compartidos, donde la empresa sabe cómo puede ser afectado sus grupos de interés y cómo la organización debe responder ante posibles eventos que surjan de relaciones emergentes o inciertas que se pueden presentar.

Frente a este nuevo ambiente de cambios acelerados, los CEO enfrentan el desarrollo de un gobierno y gestión corporativo más complejo, donde en la práctica, no es claro como navegar en este mar de inciertos para lograr capitalizar ventajas competitivas y posicionarse en un lugar estratégico, desde donde poder advertir las nuevas disrupciones en los negocios. Por tanto, se hace necesario alejarse de la orilla de las estrategias conocidas, para romper con las certezas y habilitar la organización para aprender ágilmente.

En este sentido, los CEO modernos enfrentan cuatro (4) retos fundamentales, los cuales ponen a prueba las habilidades y capacidades de los ejecutivos para estimular el debate, descubrir señales débiles en el entorno y pensar de manera abierta e inclusiva. Los retos son: (De Yonge, 2019; Bryant, 2019)

• Transformación digital: crear y anticipar nuevas experiencias en los clientes.
• Plataformas digitales
• Ecosistemas digitales
• Confianza digital: construir una relación basada en sinceridad, simetría y reciprocidad.
• Ciberseguridad
• Privacidad
• Aprendizaje ágil: Habilitar cualidades y atributos en las personas para ganara flexibilidad, crecer a partir de los errores y así enfrentar una amplia gama de desafíos (Flaum & Winkler, 2015).
• Quebrar silos
• Experimentación
• Apetito al riesgo: Comprender que riesgos está dispuesto a tomar y cuáles no.
• Cumplimiento
• Resiliencia

Estos cuatro retos revelan una necesidad de contar con una visión clara y pensamiento flexible para no apegarse a lo que funciona, ni desechar aquello que ha resultado valioso para la organización. Encontrar este punto medio, con un blanco en movimiento, implica danzar con la inestabilidad y sentirse cómodo con los inciertos, para descubrir caminos inéditos que configuren las experiencias novedosas para sus clientes.

El CISO Vigilante

Si a lo anterior, le sumamos que los adversarios digitales reconocen el mismo escenario, con retos semejantes para concretar sus acciones para retar (o desacreditar) el ordenamiento legal vigente, estamos en una dimensión de conocimiento y reto complementaria que las organizaciones por lo general tratarán de atender, siguiendo las recetas conocidas y proporcionadas por los estándares y buenas prácticas.

Mientras las empresas están escolarizadas, esto es, parafraseando al profesor Calvo (2017), se mueven en el ámbito del deber ser; los atacantes, más abiertos a los inciertos, navegan en el escenario del poder ser. “El deber ser impera obligando a hacer lo que dice la norma”, en cambio en el “poder ser, todo el proceso queda abierto a lo emergente, a lo que podría ocurrir si pasara tal o cual situación o tal vez no ocurre de ningún modo o de uno inesperado” (Calvo, 2017, p.51).

Lo anterior, conlleva la reflexión que moviliza tanto a las empresas como a los adversarios: el riesgo. Mientras más certezas, aparentemente menos riesgos, y a mayor incertidumbre necesariamente más riesgo. Establecer el lado de la distinción que se quiere llevar, funda la postura que se requiere para dar cuenta de la situación a la que se enfrenta y las implicaciones a futuro de las decisiones que se tomen al respecto.

Si bien no existen fórmulas establecidas para saber qué tanto arriesgar y cuanta prudencia se debe tener, si se disponen de estrategias que permiten abordar la realidad para aprender y desaprender, no con la velocidad que se quisiera, pero si con el espacio requerido para concretarlo. Dos conceptos pueden ser de utilidad en este sentido: los errores deliberados (Schoemaker, 2011) y el análisis de escenarios (Chermack, 2011), técnicas claves que habilitan para fallar anticipadamente y por ende, aprender y tratar de sorprenderse antes que las cosas ocurran.

Llegados a este punto, la pregunta es ¿qué tipo de CISO (Chief Information Security Officer) requieren los CEO modernos para navegar y sobrevivir en un contexto digital donde la única constante es la inevitabilidad de la falla?

Para tratar de dar respuesta a este interrogante, es importante comprender que no es lo mismo digitalización, que ser digital. Mientras la digitalización habla de las herramientas tecnológicas utilizadas para mejorar la eficiencia de la operación y habilitar la flexibilidad para responder a los retos e inestabilidades; “ser digital” es habilitar un diseño holístico de personas, procesos y tecnología para definir una propuesta de valor posibilitada por las capacidades de las tecnologías digitales disponibles (Ross, Beath, & Mocker, 2019).

Si lo anterior es correcto, el CISO debe mantener una postura vigilante y de anticipación, que recomiende y asesore la estrategia corporativa desde la custodia de la promesa de valor, dado que la organización hará apuestas de productos y servicios novedosos, donde su apetito al riesgo será probado, y las implicaciones de sus resultados (positivos o negativos) debe atender, de cara a la confianza digital que demandan sus diferentes grupos de interés.

En este sentido, el ejecutivo de seguridad/ciberseguridad tendrá que hacerse preguntas estratégicas en dos sentidos: de afuera hacia dentro de la organización, así como de dentro hacia fuera de la empresa, para mantener una vista, que no solamente advierta algunas señales débiles del entorno, sino una comprensión de qué significan (lo que demanda conectar los puntos identificados) y cómo actuar de manera prudente en un contexto amplio y concreto para la organización (Day & Schoemaker, 2019).

Las reflexiones desde el exterior al interior son:

• ¿Cómo han venido evolucionando las técnicas y tácticas de los adversarios?
• ¿Qué adversarios están anticipando y usando estás nuevas técnicas y tácticas?
• ¿Qué nuevos ataques pueden afectar a la organización?

Las reflexiones desde el interior hacia el exterior son:

• ¿Cómo podemos mejorar y aumentar la identificación de nuevos patrones de amenazas?
• ¿Qué más podemos hacer con nuestras capacidades actuales?
• ¿En qué somos buenos actualmente?

Las respuestas a las primeras tres preguntas, establecen las nuevas capacidades requeridas para dar cuenta con los riesgos que la organización debe tomar para hacer realidad su estrategia digital y crear los escenarios necesarios para movilizar nuevas apuestas de valor en un escenario digitalmente modificado. 

Las respuestas a los siguientes tres interrogantes, definen el nivel de madurez de la organización para enfrentar los inciertos de la inseguridad de la información, y cómo las tecnologías emergentes pueden potenciar aquellas capacidades existentes para defender y anticipar los movimientos de los posibles adversarios.

Reflexiones finales

Los temores naturales para darle vida a una estrategia digital, las nuevas apuestas disruptivas que puedan generarse en su sector de negocio y las amenazas emergentes que pueden surgir de un mayor acoplamiento de las plataformas digitales y las necesidades de los clientes, deben ser los insumos básicos del ejecutivo de seguridad/ciberseguridad para tomar riesgos inteligentes con su CEO. Esto es, definir un umbral reforzado de tolerancia a la falla, que visto desde los impactos estratégicos, las afectaciones tácticas, las lecciones aprendidas y los grupos de interés que se pueden ver afectados, refine el camino incierto que la organización ha decidido tomar.

La incertidumbre no es un juego de azar que aparece y desaparece sin razón aparente, es una tendencia propia del entorno que se manifiesta, en palabras de Charan (2015), como rarezas, inconsistencias y contradicciones, las cuales deben ser identificadas y leídas, como insumo para avanzar y proponer alternativas que hagan del “incierto”, una oportunidad para crear incentivos y motivaciones, que quiebren el status quo y revelen aquello que no era posible ver previamente.

Así las cosas, el CISO que requieren los CEO modernos necesita entender la turbulencia digital y cómo se movilizan los adversarios allí, para anticipar y defender la organización. Por lo tanto, deberán aprender del pasado, interrogar el presente y anticipar futuro como las premisas bases de sus aportes y recomendaciones para explorar y conocer mejor las prácticas y normas de los adversarios, cambiando su ecuación de riesgos, es decir, “vulnerar la distancia que exista entre el funcionamiento del sistema y sus usos no intencionados” (Snowden, 2019, p.79) para aprovechar sus posibles errores, y así crear consecuencias inesperadas para ellos.

Referencias

Bryant, A. (2019). How to think like a CEO. Strategy+Business. Recuperado de: https://www.strategy-business.com/blog/How-to-think-like-a-CEO

Calvo, C. (2017). ingenuos, ignorantes, inocentes. De la educación informal a la escuela autoorganizada. La Serena, Chile: Editorial Universidad de la Serena

Cano, J. (2011). La Gerencia de la Seguridad de la Información: Evolución y Retos Emergentes. ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx

Charan, R. (2015). The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.

Chermack, T. (2011). Scenario planning in organizations. San Francisco, USA: Berrett Koehler.

Day, G. & Schoemaker, P. (2019). See sooner act faster. How vigilant leaders thrive in an era of digital turbulence. Cambridge, MA. USA: MIT Press.

De Yonge, J. (2019) Has your C-suite changed to reflect the changing times? EYQ. Recuperado de: https://www.ey.com/en_gl/growth/has-your-c-suite-changed-to-reflect-the-changing-times

Flaum, J. P. & Winkler, B. (2015). Improve Your Ability to Learn. Harvard Business Review. Recuperado de: https://hbr.org/2015/06/improve-your-ability-to-learn

Ross, J., Beath, C. & Mocker, M. (2019). Designed for digital. How to architect your business for sustained success. Cambridge, MA. USA: MIT Press.

Saydjari, O. (2018). Engineering trustworthy systems: get cybersecurity design right the first time. New York, USA.: McGraw Hill

Schoemaker, P. (2011). Brilliant mistakes. Philadelphia, USA: Whartonn Digital Press.

Sieber, S. & Zamora, J. (2018). The Cybersecurity Challenge in a High Digital Density World. European Business Review. November. Recuperado de: https://www.europeanbusinessreview.com/the-cybersecurity-challenge-in-a-high-digital-density-world/

Snowden, E. (2019). Vigilancia permanente. Bogotá, Colombia: Editorial Planeta.