Introducción
Conforme evolucionan los negocios
y las exigencias de los consumidores y clientes, nuevas oportunidades de
servicios y productos, particularmente apalancados con tecnología, se hacen
presentes. Los nuevos dispositivos inteligentes y conectados como los
“vestibles”, las novedades de servicios de inteligencia en la nube y la
analítica de datos consolidados para efectos de pronóstico, nos indican que
estamos sólo ad portas de una nueva ola de elementos disruptores en los
negocios actuales.
Sin perjuicio de lo anterior, la
capacidad de absorción de estas novedades disminuye dada la gran cantidad de
las mismas, haciendo más lento los impactos de aquellas en el contexto social,
toda vez que su incorporación requiere contar con el tiempo y el espacio para
potenciarlas y encontrarles posibilidades diversas en el escenario de las
necesidades globales y renovadas de las empresas y los individuos (Moschella,
2015).
Por tanto, sabiendo que vamos a
encontrarnos con algunas meseta tecnológicas y condiciones menos
desequilibrantes en las dinámicas de los mercados, el ejercicio de pronóstico
de nuevas amenazas de seguridad y control de las organizaciones no dejará de
ser retador, como quiera que la presión por la innovación y creación de valor
estarán nutriendo el hambre de diferenciación y posicionamiento de las
empresas, frente a las condiciones y realidades de los clientes.
En razón con lo anterior, se
plantea esta breve reflexión sobre las tensiones emergentes identificadas sobre
la seguridad y control en el contexto empresarial y personal, que nos advierten
los compromisos y retos que los ejecutivos de seguridad de la información
deberán confrontar y tratar para dar cuenta de las prácticas necesarias para
conjurar los niveles de exposición de las amenazas identificadas y las posturas
claves que deben anticipar tanto empresas como individuos para hacer en el
presente, una lectura del futuro.
De productos y servicios estáticos a realidades dinámicas – un ecosistema
digital abierto e inteligente
De acuerdo con Porter y Heppelman
(2015) los nuevos productos y servicios que vienen articulados con tecnología
tienen tres elementos principales: un componente físico (partes electrónicas y mecánicas), uno inteligente (sensores, microprocesadores, almacenamiento de datos,
controles, software, sistema operativo embebido e interfase digital de usuario)
y otro de conectividad (puertos,
antenas, protocolos y redes que posibilitan la comunicación entre el producto y
su complemento en la nube, que corre en servidores remotos).
Si lo anterior es correcto, la
seguridad y control del dispositivo y sus flujos de información se convierten
en la base fundamental de la lectura de valor que se le va a entregar a sus
clientes. Un producto posibilitado y nutrido de relaciones tecnológicas, debe
ser por definición confiable para su uso, cuidadoso de la realidad del usuario
y preventivo ante posibles formas de fuga de información y cuidando aquellos
datos agregados que puedan derivarse de esta conectividad.
Lo anterior demanda de la
infraestructura tecnológica la formalización de capacidades necesarias y
suficientes como monitorización
(reportes de condición del producto o servicio), control (hacer resistente la operación del mecanismo frente a las
amenazas identificadas) y optimización
(mejoramiento del desempeño de los dispositivos y tiempo de disponibilidad)
(Porter y Hepelmann, 2015). La combinación de los tres anteriores permite
revelar la cuarta capacidad como lo es la
autonomía, donde los productos pueden aprender, adaptarse al ambiente y
operar bajo su propia dinámica.
Este nuevo contexto digital
habilita y activa la dinámica delincuencial como quiera que querrá participar
de las nuevas formas de obtener utilidades, impactar al mayor número de
personas y mantenerse en el anonimato. Por tanto, el ecosistema digital debe
tener como requisito base la creación de nuevas bases de confiabilidad y
seguridad, ahora entendidas como una práctica de comunidad reconocida que
habilita una respuesta conjunta de los participantes y no solamente la voz
perdida de uno de ellos.
De los flujos de información conocidos, a los flujos de información
emergentes y desconocidos – Computación oscura
No cabe duda que los flujos de
información van a cambiar en no solo en su forma sino también en la práctica.
Mientras en la actualidad los procesos debidamente establecidos y formalizados
establecen los vasos comunicantes entre las diferentes áreas de las empresas,
las personas configuran formas alternas de movilizar la información, para crear
oportunidades nuevas de negocio y agilizar las condiciones que permitan una
empresa más diferencial y asistida con información útil y valiosa.
Esta condición dinámica, propia
de las necesidades de uso de la información, manifiesta una tensión clave entre
las necesidades del área de tecnología con el área de seguridad de la
información. La literatura nos informa que la descarga de “apps” es la fuente
principal de código malicioso (Rozalén, 2014) y de igual forma es el
comportamiento más recurrente y natural entre los usuarios de teléfonos
inteligentes, que constantemente están buscando nuevas experiencias y servicios
novedosos para sus equipos.
Estas dos realidades, manifiestan
nuevas reglas de competencia que amplifican las posibilidades de crear ataques
emergentes y disruptivos que, aprovechando la excesiva confianza de los
usuarios en las tiendas de aplicaciones, crea un vector de ataque que se puede
rápida y naturalmente mimetizar en las acciones cotidianas de los participantes
de esta dinámica personal.
Del acceso a la información en el mundo físico, a la explotación de los
errores humanos en el mundo digital.
Hablar de un contexto de
inseguridad de la información no es posible sin conversar de sus protagonistas
principales, las personas. Estudios recientes confirman que el “hacking visual”
(Ponemon, 2015) aquel que se motiva desde el mundo físico, mirando por encima
del hombro, teniendo acceso a los escritorios de las personas y a aquellos
sitios de disposición de desechos, mantiene su nivel de efectividad sobre
oportunidades de tipo tecnológico.
Sin perjuicio de lo anterior, la
necesidad de estar conectados y enviar información, establecen prácticas que
suelen no ser las más adecuadas, dada la presión e inmediatez que generalmente
está presente en la dinámica de las empresas. Reconocer que la información
fluye desde un punto a otro, muchas veces sin medidas de protección básicas, es
exponerla a miradas de terceros no autorizados que pueden usarla de formas
inesperadas y afectar la organización no sólo desde el punto de vista legal,
sino su reputación y posicionamiento empresarial.
En este sentido, si bien se sigue
confirmando el eslabón más débil de la cadena, ahora se agrava la situación por la necesidad de la
información empresarial para la toma de decisiones, el valor de la misma en
contextos particulares y su movilidad para ubicarla donde se requiere, en el
formato y contenido preciso, con la agilidad exigida. El usuario final entra en
una encrucijada que le demanda por un lado asegurarse de estar conectado y
asistido por tecnología, y por otra, verificar que sus comunicaciones responden
a estándares de seguridad y control acordes con la información y su
clasificación.
De los errores de programación y validación de programas, a campañas y
prácticas inseguras en la web.
Mucho se ha hablado sobre las
pobres prácticas de seguridad y control que los programadores de aplicaciones
tienen, las cuales se refrendan en los criterios de aceptación de las mismas en
las organizaciones. Esta realidad nos advierte sobre una población desconocida
de fallas de seguridad y control que se entretejen en la maraña de componentes
de software disponibles en las organizaciones, las cuales cultivan la
inevitabilidad de la falla que pueda comprometer la operación de la empresa en
cualquier momento.
No bastando lo anterior y como
herencia de las prácticas corporativas, los desarrollos en el web han sido
depositarios de esta tradición y abren posibilidades de falla que tienen mayor
alcance, como quiera que es un punto de conexión entre el exterior y el
interior, que cuenta con diversos espacios para incorporar prácticas novedosas
de ataques y que, aprovechando tanto los componentes de programación como de
interacción son capaces de lanzar malware que se instale de manera sigilosa,
sin advertir riesgo alguno para los usuarios.
El aprovechamiento de las
campañas publicitarias de los portales web internacionales, la baja penetración
de práctica de seguridad y control en los hogares, la confianza excesiva de la
tecnologías entre las personas, preparan un escenario de amenaza complejo y
emergente que plantea un desafío de protección, que exige revisiones más
exhaustivas que las actuales obligando tanto al área de tecnología, como de
negocio a concertar espacios dedicados para contar con productos menos
inseguros.
Del espionaje y la guerra fría del pasado, al cibercrimen, el ciber
espionaje y las ciber armas del futuro.
Pareciese que estamos volviendo a
vivir una condición propia de la lucha por el control del mundo y sus
realidades. La necesidad de control propia y natural de los estados-nación, es
una condición base del reconocimiento de un grupo social, sus creencias e
imaginarios. Si esto se contextualiza en una sociedad de la información y el
conocimiento, donde los activos se miden en función del conocimiento y
aplicación del mismo, es claro que no será bien visto por la comunidad
cualquier actividad que comprometa su utilidad o potencia para el desarrollo
del mismo.
La propiedad intelectual, los
pagos electrónicos (basados en criptomonedas (González, 2015)) y la resiliencia
de las infraestructuras tecnológicas se convierten en valores fundamentales
para movilizar la confianza de un comercio electrónico de una élite que está
preparando a una nación para competir en el mundo. Lo anterior se manifiesta en
mayor visibilidad y a la vez mayor exposición que debe sortear cada
organización al dar el paso a la conectividad, sus beneficios y sus riesgos.
Este escenario de movilidad de
información, pagos y servicios en medio de la ola del ecosistema digital no es
ajeno a las motivaciones de los atacantes, los cuales van a configurar un
ecosistemas digital criminal que los asista en sus acciones y actividades para
ganar en agilidad, confiabilidad y precisión de los ataques, aumentando las
utilidades de sus acciones contrarias a la ley y sobre manera, motivando
esquemas cada vez menos visibles y más anónimos que privilegien sus proyectos y
maximicen sus ganancias.
Las naciones ven las tendencias y
amenazas emergentes que afecta sus intereses y actúan en consecuencia para
defender lo suyo, y este juego de fuerzas, entre atacantes, intereses
nacionales e implicaciones internacionales, motiva una nueva carrera
armamentista de mayor alcance que compromete y orienta la investigación y
desarrollo hacia la fabricación de piezas de código y componentes electrónicos
que generen daños sobre el oponente en términos digitales e informáticos, creando
superioridad táctica y técnica que cree la ilusión de la disuasión en el
ciberespacio.
A manera de resumen se presenta el siguiente cuadro que compendia los análisis revisados previamente:
Figura 1. Tendencias de la inseguridad de la información 2016
¿Qué podemos hacer frente a esta incertidumbre estructural?
Si la delincuencia y los
atacantes están cambiado permanentemente de prácticas y creando nuevos “trucos”
sociales y tecnológicos, nuestra actitud frente a esta dinámica debe ser algo
equivalente para evitar la creación de una zona cómoda que comprometa la
confianza que los ejecutivos tiene depositada en la práctica de seguridad y
control de la información vigente en la empresa.
A continuación cinco acciones
para enfrentar los retos que se advierten en el horizonte para los próximos 365
días:
1. Revele el imaginario de la junta directiva sobre la seguridad de la
información y motive la transformación del mismo, si es necesario, para crear
el mínimo de paranoia bien administrado requerido para mantenerse alerta, sin
caer en el análisis por parálisis.
2. Apropie la distinción de seguridad y control en el contexto de los
significados y práctica de las personas, no como una imposición o buena
práctica, sino como una oportunidad para que mis acciones beneficien a otros y
hagan sostenible la fuerza de una cultura basado en la pedagogía del error.
3. Asegure los flujos de información personal que se identifiquen en
el análisis de riesgo basado en la ventana de AREM (Cano, 2014), para que tener
una mirada de 360 grados que nos permita conocer las posibles vías de fuga y/o
pérdida de información. Este sólo es posible si las personas se liberan de sus
tensiones de protección y permiten una construcción colectiva de respeto y
cumplimiento de la privacidad.
4. Repiense lo que ha aprendido hasta el momento de la inseguridad de
la información. Renueve su vista de las amenazas, actualice su programa de
entrenamiento y promueva escenarios novedosos no tanto para conocer qué tan
expuesto está a un riesgo, sino para saber qué tan preparado está para
responder y mantener la operación.
5. Consulte con sus pares y cree una red extendida de contactos y de protección,
donde se privilegie compartir información, para construir esquemas de
protección comunitarios que respondan con mayor rapidez a las tendencias
disruptivas de los atacantes, no para evitarlas, sino para reconocerlas y
aprender rápidamente de ellas.
Reflexiones finales
Los ciberataques continuarán ocurriendo, tratando de minar la confianza
de los clientes, así como para incomodar y cuestionar las medidas propias de
los estados-nación. En este sentido la necesidad de identificar quién es el
responsable de estas actividades ocupará la agenda tanto de organizaciones como
de naciones. Sin embargo, es importante entender que esta atribución de la
ofensa no podrá ser definitiva habida cuenta de los múltiples escenarios y
contextos que los atacantes puede usar, esto es, una actividad que depende de
niveles de complejidad técnica, operacional y estratégica, esta última con una
connotación política, que escapa a sólo un análisis forense especializado sobre
la infraestructura comprometida (Rid y Buchanan, 2015).
De otra parte, el atacante interno continuará presente en
los próximos años como quiera que su conocimiento y capacidad de acción dentro
de las organizaciones seguirá avanzando, aún existan mecanismos que traten de
desestimar sus actividades. El abuso de privilegios, el acceso a información
clave y la computación oscura serán sus mejores aliados para continuar
sorprendiendo al sistema de control interno de la empresa (Meyer, 2015). En esta
misma línea, las operaciones de inteligencia estratégica y táctica a nivel de
naciones seguirán avanzando para tener una mejor posición de respuesta, cuando
fuerzas contrarias intenten comprometer activos estratégicos de los países y
habiten escenarios de confrontación que motiven lo que pudiese llamar en el
futuro “un acto de guerra” en el ciberespacio (Steiberg, 2015).
En un ecosistema digital, las terceras partes se convierten en elementos
claves para lograr una postura de seguridad y control adecuada frente a las
amenazas emergentes. En este contexto las exigencias de protección de la
información que circula por sus infraestructuras frente a temas como
privacidad, continuidad y resiliencia serán temas fundamentales para motivar
estrategias más ajustadas a la complejidad y volatilidad del entorno de
negocios actuales (CEB, 2015).
La digitalización y la importancia estratégica de los datos establecen
una nueva frontera de revisión y análisis para los esfuerzos de los ejecutivos
de la seguridad de la información. En este escenario, las estrategias de
protección que se diseñen no podrán sólo estar articuladas en iniciativas
propias y alcances empresariales, sino fundadas en el ecosistema digital
donde operan las otras empresas, como quiera que “el lado oscuro de la fuerza”
hará lo propio para manifestarse de ahora en adelante sobre una plataforma
digital criminal (ecosistema digital criminal) donde amplificará su actuaciones
y tratará de evadir cualquier intento de seguimiento y/o identificación
posible.
Finalmente y no menos importante,
tarde o temprano las organizaciones serán
sorprendidas por la inevitabilidad de la falla, momento en el cual se
valida el “liderazgo, valentía y creatividad de los directivos de una organización” y la esencia misma de su
imaginario respecto de las crisis (De la Cierva, 2015, p.89). Por tanto, “sólo cuando las organizaciones deben
afrontar un acontecimiento inesperado al cual no saben cómo responder, es
cuando sale a flote su verdadero objetivo en la sociedad” (ídem), en este
sentido las empresas no sólo deben limitarse a responder frente a un
ciberataque, sino reconocer las implicaciones de lo sucedido y aceptar el deber
de reparar el daño causado a sus diferentes grupos de interés.
Referencias
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y
táctica para visualizar la incertidumbre. Actas
de la XIII Reunión Española de Criptología y Seguridad de la Información.
Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
CEB (2015) 2016 Audit Plan Hot Spot. CEB Audit Leadership Council.
Recuperado de: http://www.cebglobal.com
(Con suscripción)
De la Cierva, Y. (2015) Comunicar
en aguas turbulentas. Un enfoque ético para la comunicación de crisis.
Navarra, España: Ediciones Universidad de Navarra.
González, P. (2015) ¿Y si los griegos se pasan al bitcoin? Ventajas y
peligros de la criptodivisa. Recuperado de: https://cripto-pay.com/2015/07/y-si-los-griegos-se-pasan-al-bitcoin-ventajas-y-peligros-de-la-criptodivisa/
Meyer, C. (2015) Addressing Cybersecurity and the Insider Threat.
Recuperado de: http://www.securitymagazine.com/articles/86534-addressing-cybersecurity-and-the-insider-threat
Moschella, D. (2015) The Myths and Realities of Digital Disruption.
Recuperado de: https://d2b327ve0duguu.cloudfront.net/media/assets/The_Myths_and_Realities_of_Digital_Disruption_-_An_Executives_Guide_Executive_Summary.pdf
Ponemon (2015) 3M Visual Hacking Experiment. Sponsored by 3M and the
Visual Privacy Advisory Council. Recuperdo de: http://multimedia.3m.com/mws/media/1027626O/vhe-study-findings-pdf.pdf?fn=FINAL%20VHE%20Full%20Study.pdf
Rid, T. y Buchanan, B. (2015) Attributing Cyber Attacks. Journal of Strategic Studies, 38, 1-2,
4-37. Recuperado de: http://dx.doi.org/10.1080/01402390.2014.977382
Rozalén, R. (2014) La descarga de apps de Android en tiendas de
terceros, un foco de malware. Recuperado de: http://www.siliconnews.es/2014/04/21/la-descarga-de-apps-de-android-en-tiendas-de-terceros-un-foco-de-malware/
Steinberg, J. (2015) 6 Emerging CyberSecurity
Risks You Should Be Aware Of. Recuperado de: http://www.inc.com/joseph-steinberg/6-emerging-cybersecurity-risks-about-which-you-should-be-aware.html
