domingo, 27 de noviembre de 2016

Compartir información: el futuro de la ciberseguridad y la seguridad de la información en un escenario de ataques asimétricos e inesperados

Introducción
Se dice que “sin riesgo no hay innovación posible” (Álvarez, 2016) y es una realidad que está apalancada desde la curiosidad natural del ser humano, donde es necesario abandonar la zona cómoda para experimentar los límites de lo conocido. En este contexto, la seguridad de la información, debe seguir los pasos de su dual la inseguridad, como quiera que todo el tiempo ella está explorando los límites para concretar nuevas opciones, anticipando nuevas posibilidades que la seguridad no habrá de explorar en corto plazo.

En este contexto, el riesgo o exposición que las empresas logran identificar posiblemente no corresponda con la realidad, habida cuenta que las variables y condiciones del entorno varían y evolucionan tan rápido, que éstas no cuentan con los mecanismos requeridos para aumentar la sensibilidad para anticipar situaciones que puedan comprometer sus medidas de seguridad y control.

Esta realidad volátil, incierta, compleja y ambigua demanda de las empresas extender sus capacidades de anticipación crítica que le permitan interpretar mejor las intenciones de terceros o internos contradictores, reconocer y entender el contexto donde la organización opera, percibir las tendencias y alertas veladas en medio del tejido digital, discernir los motivos y actuaciones de los actores del entorno, detectar movimientos inesperados de los contrarios y presentar conclusiones concisas sobre las alternativas que se pueden plantear frente a eventos inesperados (Adaptado de: Robinson y Aronica, 2016).

Para lograr lo anterior, se hace necesario concretar esquemas de colaboración entre los diferentes actores del ecosistema digital, con el fin de potenciar las capacidades de todos los participantes de tal forma que se aumente la resiliencia frente a ataques inesperados e inciertos, se fortalezca el aprendizaje, ubicando aquellos “espacios en blanco” donde es posibles experimentar, aumentar la oportunidad de la respuesta y atenuar los impactos de los acciones que comprometan los activos digitales de las empresas.

Así las cosas, se hace necesario cambiar el paradigma de protección de las empresas, el cual está articulado desde las vista interna de sus necesidades y riesgos, por uno que reconociendo al esfuerzo de seguridad y control que se realiza al interior, sea capaz de reconocerse como parte de un todo superior, donde se sabe parte de una dinámica mayor, para construir nuevas posibilidades y aprendizajes que permitan anticipar acciones más complejas de los atacantes, ahora desde una propuesta de actuación conjunta donde todos suman con su experiencia y las relaciones entre los participantes definen las nuevas opciones de respuesta frente a lo incierto.

Por tanto, este documento presenta un marco de compartir información entre los actores de un ecosistema digital, como premisas de la construcción y movilización de capacidades de respuesta y acción de las empresas frente a ataques informáticos cada vez más sofisticados y menos evidentes, de tal forma que se gesten competencias claves que faciliten un aprendizaje permanente y una resiliencia del ecosistema que sorprenda a los atacantes en sus propios terrenos.

Competencias organizacionales claves para compartir información
Si bien existen múltiples definiciones de competencia, Echeverría (2014, p.77) establece que son “comportamientos creativos, derivados de la puesta en práctica de conocimientos, aptitudes y rasgos de personalidad”, que se caracterizan predominantemente por poner en acción conductas y actos pertinentes en situaciones inéditas.

Lo anterior, sugiere que las empresas deben motivar espacios de aprendizaje, momentos de experimentación e incertidumbre basados en escenarios inciertos sobre la protección de sus activos digitales, para motivar acciones prácticas de los conocimientos previos y así desarrollar nuevas aproximaciones y aptitudes para responder a la inestabilidad del entorno, con la confianza y serenidad requeridas, que genere la misma ambigüedad en el contexto del atacante.

Para ello, la organización debe conceptualizar como un todo el desarrollo de competencias como la curiosidad, la creatividad, la crítica, la comunicación, la colaboración, la proyección, la serenidad y la ciudadanía (Adaptado de: Robinson y Aronica, 2016, p. 187-192).

La curiosidad hace referencia al desarrollo de la experimentación y pruebas, esa capacidad de hacerse preguntas y establecer cómo se pueden crear situaciones de inestabilidad sobre los activos digitales. Una curiosidad que anima la investigación y profundización que revelen aspectos ocultos de la inseguridad, que no solo den respuesta a lo que se requiere, sino que estimulen reflexiones sobre lo identificado que lleven a una espiral de conocimiento que se capitalice en las conversaciones sobre los riesgos de la empresa.

La creatividad busca potenciar la imaginación y explorar posibilidades, expandir las posibilidades planteadas sobre la inevitabilidad de la falla, que lleven a pensamientos más elaborados, que destruyan las restricciones autoimpuestas por los modelos vigentes y rompan con la estabilidad de las prácticas vigentes, no para reemplazarlas de facto, sino para nutrirlas o complementarlas de tal forma que se tengan patrones enriquecidos de entendimiento de la realidad, que anticipen acciones previamente no aplicadas.

La crítica no es solamente el uso de la lógica formal, sino la capacidad de distinguir, revelar alertas veladas, detectar sesgos sobre apreciaciones realizadas, develar motivos de las acciones de terceros, en pocas palabras, desarrollar acciones de inteligencia activa que distingue ente hechos y opiniones, certezas y engaños, de tal forma que reten las posturas vigentes para provocar aprendizajes significativos en el ejercicio de comprender las tendencias y amenazas emergentes identificadas.

La comunicación como fuente de construcción de sentido y no como sólo transmisión de información. Esto es, la capacidad de elaborar y comunicar aquello que cada organización está detectando en su entorno y que puede afectar de manera relevante al ecosistema; un ejercicio de elaboración de realidad colectiva que busca el bien general y progreso colectivo como fundamento de las estadísticas y análisis que son relevantes frente a los inciertos o alertas tempranas detectadas por cada uno de los participantes del ecosistema.

La proyección es el desarrollo de una simulación de eventos ubicándose en la posición de los otros miembros del ecosistema, con el fin de comprender la dinámica de los posibles impactos de un ataque sofisticado y cómo es posible diseñar acciones de protección que permitan una actuación coordinada y asistida por las virtudes de los demás miembros del ecosistema, como expresión de la regla básica de la comunidad: juntos es posible llegar más lejos y hacernos más resilientes.

La serenidad en el escenario de la defensa colectiva, exige un conocimiento de las capacidades de resistencia interna y las posibilidades disponibles en los participantes externos. Esta es una actuación que es contraria a lo que el atacante espera, pues establece un equilibrio al interior del ecosistema digital, que revela la identidad del mismo, haciendo de sus actuaciones, acciones pensadas y claramente diseñadas para contener y aprender de la inestabilidad, sin miedo a los inciertos y juicios (muchas veces injustos) que implica enfrentarse a la inevitabilidad de la falla.

La ciudadanía en este escenario se entiende como la capacidad de implicarse constructivamente en el desarrollo de propuestas y opciones de defensa colectiva en el ecosistema digital, de tal forma que se establezcan claramente los derechos y obligaciones de los participantes, para crear un ambiente de confianza digital que de valor a los activos digitales, equilibre las capacidades disponibles e influyan en el mundo que lo rodea, haciéndose responsable de sus actos y posturas frente a comunidades semejantes.

Marco general para compartir información: Base de la resiliencia organizacional
Si las empresas logran desarrollar las competencias mencionadas en el aparte anterior, se cuenta con una base formal para movilizar un escenario concreto para compartir información, como fundamento de la capacidad de resiliencia organizacional frente ataques informáticos, donde ya no es sólo una empresa la que trata de enfrentar la situación, sino la fuerza de un colectivo que aprende y se reinventa frente a la inestabilidad de su entorno.

En este contexto, se establecen cuatro (4) elementos claves para establecer y fortalecer un esquema para compartir información: relaciones de confianza, roles y responsabilidades, estándares y procedimientos, y coordinación y monitorización, como actividades relevantes en medio de la inevitabilidad de la falla, que permita el desarrollo de las competencias claves antes indicadas, que son el fundamento necesario para darle vida al marco general que se expone a continuación.

Figura 1. Marco general para compartir información

Las relaciones de confianza implican crear vínculos de comunicación y responsabilidad compartida donde cada participante del ecosistema es fideicomiso del otro; un ejercicio de esperanza de cumplimiento y cuidado mutuo que construye una vista compartida que no debe ser interpretada como una revelación de mis debilidades, sino como la oportunidad para reinventar y flexibilizar la defensa colectiva. Dentro de las posibles acciones se encuentran:
  • Revelar amenazas y vulnerabilidades en sistemas de misión crítica en reuniones cerradas.
  • Desarrollar conversatorios privados sobre tendencias identificadas.
  • Compartir lecciones aprendidas de incidentes de seguridad de la información.

Tener claridad de los roles y responsabilidades, es procurar un flujo de comunicaciones y acciones debidamente estructuradas, de tal forma que prime en este ejercicio la flexibilidad de las actuaciones, lo que demanda tomar la iniciativa, liderazgo rotativo y tolerancia a la falla. Los roles y responsabilidades no son camisas de fuerza de los límites de la actuación sino ordenadores de la acción y la oportunidad para complementar las acciones previstas ante eventos inesperados sobre alguno de los miembros del ecosistema. Dentro de sus posibles acciones se tienen:
  • Nombrar formalmente representantes de las entidades.
  • Establecer alcance de la participación.
  • Validar alertas o tendencias compartidas en el ecosistema.
  • Correlacionar la información relevante compartida en los escenarios definidos.

Los estándares y procedimientos se vuelven una de las formas claves para asegurar una respuesta coordinada y ajustada con los retos del evento inesperado. Una actuación ajustada con los estándares definidos permite no solo tener claridad de los pasos a seguir, sino la confianza de la respuesta del ecosistema frente la inevitabilidad de la falla, como fundamento de la resiliencia y los aprendizajes que se deben concretar antes, durante y después del posible ataque informático. Dentro de las acciones previstas están:
  • Establecer la estructura y formato de la información a compartir.
  • Definir el nivel de confidencialidad de la información a compartir.
  • Determinar los mecanismos de seguridad y control para asegurar el ciclo de vida de la información.
  • Verificar el cumplimiento de los estándares y procedimientos establecidos.

La coordinación y monitorización termina concretando la dinámica planteada en los otros tres elementos, pues mantiene en el horizonte los objetivos de la defensa activa (Conneran, 2014) del ecosistema, validando el direccionamiento estratégico del ecosistema frente a la resiliencia requerida y asegurando una debida rendición de cuentas sobre las capacidades que se deben desarrollar para cumplir la promesa de valor frente a los interesados o participantes de dicho ecosistema. Dentro de sus actividades se encuentran:
  • Definir y validar escenarios claves de amenazas emergentes.
  • Desarrollar el marco normativo vinculante para los participantes.
  • Adelantar la rendición de cuentas de los resultados de las actividades realizadas.
  • Mantener la alineación y acción con la estrategia de resiliencia organizacional planteada.

Para que este marco de compartir información se haga realidad, se hace necesario por una parte el desarrollo de las competencias claves enunciadas previamente y asegurar que el gobierno del ecosistema digital se funde en los siguientes cinco (5) criterios: (Adaptados de: Robinson y Aronica, 2016)
  • Diversidad: Cualquier aproximación o postura de los miembros del ecosistema es bienvenida, para crear oportunidad de nuevos entendimientos que aumente la variedad de las respuestas disponibles frente a eventos inciertos e inesperados.
  • Profundidad: Contar con espacios de reflexiones más detallas y elaboradas frente a escenarios de amenazas emergentes identificados, que si bien, no ocupen la agenda del cuerpo colegiado, si tengan la posibilidad de revisiones más elaboradas que maduren y delineen contextos relevantes para el ecosistema.
  • Dinamismo: Revisar de forma permanente las tendencias y supuestos de los escenarios y amenazas planteadas, de tal forma que se puedan concretar vistas alternas que nutran los análisis previos, actualizando los saberes previos y creando distinciones nuevas que miren nuevos horizontes posibles y no solo probables.
  • Experimentación: Motivar la generación de espacios para probar hipótesis planteadas sobre escenarios “impensables” hasta el momento para anticipar los errores y aprender rápidamente, para incorporar las lecciones aprendidas y ésta sean comunicadas eficiente y ágilmente a todos los miembros del ecosistema.
  • Transparencia: Cualquier actividad o actuación de los miembros del ecosistema frente a una amenaza identificada, deberá ser oportunidad para concretar posturas conjuntas de protección, que activen y actualicen la práctica de defensa activa (Denning, 2013) que procure un entorno resiliente para los actores del ecosistema.

Reflexiones finales
En una era de sobrecarga de información, de inestabilidades geopolíticas y acciones coordinadas por actores estatales y no estatales, contar con mecanismos tradiciones de protección y aseguramiento de información establece una postura particular y medianamente resistente frente a las incursiones de ataques más elaborados por los atacantes.

En este medida las empresas poco a poco deben comprender que se necesita una evolución del modelo de seguridad y control hasta hora implementado y lanzarse a reconocerse dentro de un tejido de relaciones digitales, con actores igualmente interesados en construir una red de protección extendida que permita respuestas coordinadas, resilientes y estratégicas, que den cuenta de las exigencias de los cuerpos ejecutivos para anticipar escenarios de falla que puedan afectar la dinámica de las empresas.

Por tanto, no sólo es continuar con el proceso evolutivo de la gestión de la seguridad de la información, sino comenzar a estructurar una vista compartida de la protección, reconociendo a otros actores interesados para construir un ambiente de confianza donde es posible creer y crear una capacidad emergente para resistir los ataques y reinventar la inevitabilidad de la falla ahora desde el aprendizaje significativo y permanente de los eventos inciertos, los cuales definen espacios privilegiados para salir de los saberes rutinarios de la seguridad de la información (Johnson, Badger, Waltermire, Snyder y Skorupka, 2016).

Así las cosas, la siguiente evolución de la seguridad de la información y ahora en términos de un mundo digitalmente modificado, de la ciberseguridad, la colaboración se hace una postura estratégica y políticamente correcta para enfrentar las ambigüedades del entorno, como una forma para habilitar las comunicaciones y acuerdos entre los niveles ejecutivos de las empresas, para crear la confianza necesaria que permita alcanzar capacidades de defensa activa (MITRE, 2012) antes inexploradas y así superar la vista individual vigente, que sólo favorece las pretensiones de los adversarios.

Referencias
Álvarez, G. (2016) Sin riesgo no hay innovación posible. Recuperado de: http://www.elartedepresentar.com/2016/11/citas-sin-riesgo-no-hay-innovacion-posible/
Conneran, K. (2014) Cyber security active defense: Playing with fire or sound risk management. Richmond Journal of Law & Technology. 12. Recuperado de: http://jolt.richmond.edu/index.php/cyber-security-active-defense-playing-with-fire-or-sound-risk-management/
Denning, D. (2013) Framework and principles for active cyber defense. Research document. Recuperado de: http://faculty.nps.edu/dedennin/publications/Framework%20and%20Principles%20for%20Active%20Cyber%20Defense%20-%2011Dec2013.pdf
Echeverría, B. (2014) Competencias y cualificaciones. En Echeverría, B. (Coordinador), Isus, S., Martínez, M. y Sarasola, L. (2014) Orientación profesional. Barcelona, España: Editorial Universidad Oberta de Cataluña. 69-123
Johnson, C., Badger, L., Waltermire, D., Snyder, J. y Skorupka, C. (2016) Guide to Cyber Threat Information Sharing. NIST Special Publication 800-150. Recuperado de: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-150.pdf
MITRE (2012) Active defense strategy for cyber. Recuperado de: https://www.mitre.org/sites/default/files/publications/active_defense_strategy.pdf
Robinson, K. y Aronica, L. (2016) Escuelas creativas. La revolución que está transformando la educación. Bogotá, Colombia: Ed. Grijalbo.

lunes, 31 de octubre de 2016

Pronósticos de seguridad de la información 2017. Cinco imperativos para avanzar en un mundo digitalmente modificado.

Introducción
Adelantar la revisión de los retos y tendencias en seguridad de la información para el año siguiente, no es un ejercicio de consolidación de temáticas revisadas, sino la exigencia de plantear escenarios que permitan anticipar volatilidades o inestabilidades que impliquen una revisión de las prácticas actuales del área que gobierna la seguridad y el control de la información en una empresa.

En este sentido, la realidad de la convergencia tecnológica establece un nuevo marco de actuación de los ejecutivos de la seguridad, como quiera que, en este entorno las prácticas conocidas comiencen a ceder terreno y motivar acciones diferentes respecto de los riesgos y amenazas emergentes que surgen, cuando se advierten nuevas relaciones e interconexiones digitales entre tecnologías, personas, procesos y regulaciones (Bailey, Kaplan y Rezek, 2015).

Los productos y servicios digitalmente modificados constituyen la base de la reflexión que ahora las áreas de seguridad de la información deben considerar, habida cuenta que, la digitalización de los procesos empresariales y la necesidad de concretar negocios innovadores y disruptivos, exige de la protección de la información una apuesta de funcionalidad y control que aumente la confianza de los usuarios y asegure una práctica consistente y confiable en entornos hiperconectados, en la nube, instantáneos y con plataformas móviles.

Así las cosas, establecer una base de pronósticos en seguridad de la información para el año entrante, sugiere un reto asimétrico y discontinuo del entorno, que implica tratar de acertar en un blanco en movimiento y con los ojos vendados. Por tanto, proponer alternativas para revisar bajo estas condiciones, es abrir una ventana de aprendizajes para los cuales no hay preparación previa, pero si una actitud abierta y generosa para aceptar y renovar las prácticas actuales, frente a la inevitabilidad de la falla.

A continuación se presentan algunas tendencias emergentes que se advierten para los próximos 365 días, las cuales prometen mantener fuera de la zona cómoda a los profesionales de seguridad de la información, algunas veces sorprendidos y otras vigilantes, pero siempre aprendiendo y desaprendiendo de su maestra la inseguridad de la información.

1. Revelación de nuevos ecosistemas digitales criminales (EcoDC)
La industria criminal no para de sorprender a las instituciones gubernamentales. La dinámica de la acción delincuencial implica evolucionar tan rápido como las novedades tecnológicas. La apropiación digital y el desarrollo de nuevas capacidades delictivas por parte de actores contrarios a la ley, promueven el desarrollo de ecosistemas digitales criminales los cuales se sustentan en una demanda creciente de servicios como vulnerabilidades inéditas, alquiler de botnets, datos personales robados, información clasificada, malware “a la medida”, denegación de servicio “como servicio”, cibercrimen “como servicio” entre otros.

Estos EcoDC (Cano, 2016b) se fundan en características claves como anonimato, bajo costo, técnicas antiforenses, conocimiento especializado y facilidad de pruebas, las cuales crean un espacio sin competencia en el mercado, pues el acceso a estas posibilidades, no requiere de grandes inversiones, sino de un acceso especial y la motivación necesaria para crear un entorno incierto alrededor de la empresa o personal objetivo. Un caso particular de estos ecosistemas es la “Web Profunda”/ “Deep Web”.

Los EcoDC serán cada vez movimientos y plataformas creadas de forma invisible en la web con el fin proveer capacidades criminales a bajo costo y con alto impacto, de tal forma que se puedan concretar servicios nuevos como pueden ser un “SOC Inverso” (donde se estudie el tráfico de entidades específicas, para que mediante analítica de datos, se puedan concretar perfiles de ataque novedosos y ajustados con la realidad de cada empresa objetivo), armas digitales (malware destructivos, silencios, cifrados y multiplataforma), campañas de engaños dirigidas no rastreables, entre otros.

2. Mayor uso de tácticas disuasivas como prácticas de defensa activa
Las empresas en general mantienen un esquema de protección basado en implementaciones técnicas de dispositivos tecnológicos de seguridad y control, o servicios de monitoreo externo que mantienen una vigilancia estricta sobre el perímetro de seguridad de las organizaciones. En este sentido, se plantea y mantiene una tensión permanente entre ataque y defensa, que implica un desgaste de la doctrina de seguridad y control, lo cual implica una visión ejecutiva de la seguridad como “algo de nunca acabar” y un “gasto necesario” que se debe mantener.

Si bien la seguridad informática corre el riesgo de convertirse en un “commodity”, es importante repensar las estrategias que se tienen a la fecha para revertir la tendencia de centro de costo que cada vez se confirma en los niveles de gobierno corporativo. Para ello, se advierte una tendencia para crear técnicas y tácticas disuasivas que motiven a los posibles atacantes a desistir de sus intenciones sobre la infraestructura tecnológica o personas de la organización.

Lo anterior significa jugar en el mismo terreno de los atacantes publicitando ataques de día cero, creando entorno de desinformación y siendo solidario otras víctimas de ataques. Esto implica, estudiar los movimientos de los adversarios, crear señuelos especializados para desviar la atención hacia objetivos distintos al de la organización que se protege. (CEB, 2016) La disuasión como estrategia de seguridad y control, se funda en técnicas militares que buscan comunicar y cambiar la percepción del entorno sobre el aseguramiento de la información en la empresa y así tratar de invisibilizarse en medio de la dinámica de alertas y ataques.

3. De la continuidad tecnológica a la resiliencia digital
Durante mucho tiempo las áreas de tecnología de información han sido las garantes del concepto de continuidad tecnológica, un esfuerzo permanente para asegurar que ante eventos inesperados, los componentes de tecnología que soporta el negocio sigan funcionando. En este escenario, se tienen múltiples estándares que han sido desarrollados a nivel internacional indicando las diferentes etapas y entregables que se deben construir para configurar el plan de continuidad y las respectivas pruebas de dichos planes.

De acuerdo con el ISO 22316 Seguridad y Resiliencia – Guías para la resiliencia organizacional, (ISO, 2016) la resiliencia organizacional es la habilidad de una organización para responder y adaptarse al cambio. La resiliencia habilita a una organización para anticiparse y responder a las amenazas y oportunidades, que se surgen de cambios graduales o inesperados tanto en su contexto interno como externo.

En este sentido, desarrollar esta habilidad en el entorno digital, implica cambiar el paradigma de protección de la información y del negocio, por implementaciones flexibles y dinámicas que se reconstruyen conforme ocurren los eventos, acelerando el aprendizaje de la organización respecto del evento o amenaza informática, para continuar operando bajo condiciones adversas y recuperarse en la medida que se confirman los impactos y alcances del ataque exitoso.

4. Aceleración de ataques sistémicamente comprometedores
La dinámica empresarial, las inestabilidades geopolíticas, los inciertos asociados con los derechos fundamentales en internet y las distintas expresiones de las discontinuidades tecnológicas nutren la complejidad inherente de las relaciones del ecosistema digital de una organización, anticipando crisis inesperadas, no sólo causadas por efectos de ataques de tipo tecnológico, sino por compromisos de la vida digital de las personas, donde su información personal, financiera o médica estará implicada en el tsunami digital de una realidad digital y modificada.

En este contexto, cualquier evento individual sobre un componente de un ecosistema digital de una organización o de un país, puede causar demoras, rupturas, denegación, discontinuidad o fallas en los productos o servicios, que afecten el tejido digital del cual hace parte, afectando no solamente a sus grupos de interés identificados, sino a comunidades o elementos extendidos en su red de contactos, que ponen de manifiesto la importancia de su participación en esta realidad sistémica de la empresa (WEF, 2016).

Ignorar este tipo de condición base de cualquier empresa en la actualidad, es habilitar a los atacantes para concretar ataques con efectos de difusión amplios y con alcances inesperados, que pueden trascender rápidamente su dominio particular y comprometer realidades externas, asistidas con terceros o participantes no considerados, que establecen rutas críticas para la operación de servicios o productos altamente dependientes de las características del ecosistemas digital del cual hacen parte. Un ejemplo es el ataque reciente a la empresa DYN y en el pasado el ataque a 10 servidores raíz de DNS de alcance global.

5. Mayor alfabetización digital de las juntas directivas
Los cuerpos de gobierno corporativos son siempre un objetivo de cualquier iniciativa organizacional que requiera atención y ubicación de recursos para su desarrollo. En este sentido, la seguridad de la información tiene el reto permanente de entender el imaginario vigente de estos ejecutivos (Cano, 2016) con el fin de ir motivando reflexiones alrededor de este tema, más allá de una rendición de cuentas por inversiones tecnológicas o reporte de incidentes que afectan las operaciones.

Conforme el escenario de las organizaciones demanda habilidades digitales, competencias para comprender y desarrollar productos y/o servicios digitalmente modificados y sobre manera pensar de forma digital, esto es, comprender y explorar la vista convergente de la tecnología como un facilitador de nuevas fronteras de negocios disruptivos, como motivador de experiencias inéditas de los clientes y como creadora de capacidades flexibles y adaptables que soportan estas características (Dörner y Edelman, 2015), se requiere acelerar el entendimiento de dicha dinámica en los cuerpos directivos para desarrollar una postura estratégica distinta, que mitigue el riesgo de deterioro estratégico, por su limitada comprensión del ecosistema digital de la cual ahora hace parte la organización.

En este sentido, la alfabetización digital demanda una mayor sensibilidad de los ciber riesgos, de la vista sistémica de los ataques y sus impactos, no como fenómenos exclusivamente tecnológicos, sino como iniciativas de desestabilización empresariales que buscan crear incertidumbre y la sensación de pérdida de control, con el fin de degradar la imagen de la empresa, disminuir el capital político de los miembros de junta y sobre manera, motivar una posición vulnerable de las organización frente a sus grupos de interés.

Reflexiones finales
Gartner (Perkins, 2016) en una reciente publicación advierte sobre la necesidad de la renovación de las prácticas de seguridad y control en las organizaciones considerando la acelerada transformación digital de las empresas y las naciones. Esta renovación no sólo pasa por el cambio de las estrategias de protección, sino por una vista renovada del control que ahora debe combinar acceso, uso y localización, como fundamento de la movilidad natural de las personas en entornos hiperconectados.

Lo anterior implica establecer una transición hacia unos nuevos normales, que necesariamente exige una alfabetización digital en los cuerpos de dirección, una integración y aseguramiento prácticas con los terceros que soportan las operaciones y la reinvención del ejecutivo de seguridad de la información, que debe pasar de ofrecer soluciones livianas, sencillas y efectivas, a proponer alternativas convergentes, integradas y efectivas.

Si se entiende que “el futuro no es el destino, no está predeterminado” y que las acciones que se toman en la actualidad lo definen, la seguridad de la información tiene un camino de esperanza hacia adelante, donde puede elaborar escenarios o imágenes de futuros posibles proyectivos (extrapolación de datos del presente), utópicos (escenarios deseables), catastróficos (escenarios indeseables) y futuribles (algo cercano a lo utópico, pero factible. Es el futuro deseable y posible) (Valderrama, 2013, p.148), los cuales advierten sobre la invitación para explorar los límites de las posibilidades, más allá del entendimiento de las probabilidades en un entorno volátil, incierto, complejo y ambiguo.

Esto es, superar el miedo al error, las posturas fijas y poco flexibles, los sesgos de los resultados del pasado (Gino y Staats, 2015) y las lecciones aprendidas de los incidentes, para construir una postura de seguridad de la información creativa, tolerante a la ambigüedad y la incertidumbre, inconforme con el statu quo y sensible a los retos y situaciones problemáticas, que destruya los estereotipos creados alrededor de la función y potencie las transformaciones que las organizaciones digitalmente modificadas requieren ahora y en el futuro.

Referencias
Bailey, T., Kaplan, J. y Rezek, C. (2015) Repelling the cyberattackers. Mckinsey Quartely. July. Recuperado de: http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/repelling-the-cyberattackers
Cano, J. (2016) Manual de un CISO. Reflexiones no convencionales sobre la gerencia de la seguridad de la información en un mundo VICA. Bogotá, Colombia: Ediciones de la U.
Cano, J. (2016b) Ecosistemas Digitales Criminales. La nueva frontera de los investigadores forenses informáticos. Blog IT- Insecurity. Recuperado de: http://insecurityit.blogspot.com/2016/03/ecosistemas-digitales-criminales-la.html
CEB (2016) 2016 security Outlook. 10 imperatives for the information security function.
Dörner, K. y Edelman, D. (2015) What ‘digital’ really means. Mckinsey Quarterly. July. Recuperado de: http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means
Gino, F. y Staats, B. (2015) Why organizations don´t learn. Harvard Business Review. November. Recuperado de:  https://hbr.org/2015/11/why-organizations-dont-learn
Perkins, E. (2016) Transform your security team to deal with Digital Business Risk. Gartner Research.
ISO (2016) ISO 22316. Security and resilience – Guidelines for organizational resilience.
Valderrama, B. (2013) Creatividad inteligente. Guía para convertir ideas en innovación. Madrid, España: Pearson.
WEF (2016) Understanding systemic cyber risk. Global Agenda Council on Risk and Resilience. Recuperado de: http://www3.weforum.org/docs/White_Paper_GAC_Cyber_Resilience_VERSION_2.pdf

sábado, 3 de septiembre de 2016

Protección de la información. Un ejercicio de confianza imperfecta

Introducción
En seguridad de la información un incidente es un como un punto negro sobre un lienzo blanco, una marca visible que motiva un juicio de responsabilidades sobre el ejecutivo de seguridad de la información. Si un incidente se advierte como una falla al sistema de gestión de seguridad de la información exclusivamente, la función de seguridad estará restringida en su capacidad de prevención y anticipación, privilegiando una vista de retrovisor que la puede distraer del camino que tiene por delante.

La función de seguridad de la información es un ejercicio permanente de construcción de confianza (Cano, 2012), a partir de una gestión imperfecta del tratamiento de la información de las personas de la información. En este sentido no es posible hablar de una protección en términos absolutos “blanco o negro”, sino en un rango de posibilidades asistido por circunstancias de operación, que establecen un contexto de actuación específico, para actuar o no de una manera particular.

Así las cosas, se requiere establecer el grado de confianza requerido para tomar acciones en escenarios concretos, lo que supone comprender las situaciones inciertas del momento, las contradicciones de las condiciones en que se presentan y sobre manera los objetivos de negocio que están en juego.

En este sentido, este documento presenta un análisis conceptual de la confianza a partir de los desarrollos académicos del concepto de paz de los profesores Muñoz (s.f.) y Jiménez (2014), como punto de partida para comprender la dinámica de la protección de la información en el contexto de las organizaciones del siglo XXI.

Cuatro definiciones sobre la paz
Siguiendo los análisis efectuados por académicos internacionales (Muñoz, s.f., Jiménez, 2014) en temas de paz, se habla de cuatro tipos de “paces”: Paz regulatoria, paz perfecta, paz imperfecta y paz neutra, las cuales serán el fundamento para repensar la confianza en la práctica de protección de la información en las empresas.

La paz regulatoria es la paz construida sobre las bases y fundamentos de los gobiernos. Es un ejercicio normativo y de estabilidad fundamentada en una declaración de un estado para formalizar un tipo de comportamiento requerido y sancionar aquellos que no se encuentren ajustados con aquellos esperados.

La paz perfecta, de acuerdo con el profesor Muñoz (s.f.), “es el resultado de una construcción consciente de una paz basada en la justicia, generadora de valores positivos y perdurables, capaz de integrar política y socialmente, degenerar expectativas, y de contemplar la satisfacción de las necesidades humanas”, en otras palabras, un estado ideal donde todas las personas cumplen sus expectativas y el estado asegura sus promesas de bienestar y protección.

La paz imperfecta establece reconocernos como seres imperfectos e inacabados que continuamente vivimos en conflicto, dados los contextos históricos, sociales, culturales, biológicos que nos definen y moldean. En este sentido, se hace necesario construir desde la diferencia aspectos relevantes que generen una convivencia autoorganizada que balancee aquellos aspectos positivos y otros limitantes que permitan una construcción más abierta de un entorno “más pacífico” (Muñoz, s.f.).

La paz neutra, anota el académico Jiménez (2014), busca “procurar que la convivencia cotidiana se asiente en valores como la empatía, la tolerancia, la diversidad, la solidaridad, etc.”, es no acelerar o motivar acciones de conflicto, sino identificarlas y actuar de acuerdo con los valores previamente mencionados.

Estas cuatro aproximaciones sobre la paz rompen el paradigma vigente sobre el concepto mismo permitiendo revisiones que superan los ejercicios de posiciones extremas, para habilitar un escenario de conversaciones enriquecidas, donde la construcción y reconocimiento del otro suman para desarrollar contextos más participativos e incluyentes.

Repensando la confianza en la protección de la información
Considerando estas posturas sobre la paz, podemos hacer una lectura isomorfa de lo que significa la confianza en el ejercicio de seguridad de la información, en el entendido que la esencia de la práctica de protección siempre se encuentra en conflicto natural con la dinámica del negocio y los nuevos retos que traen la implementación de tecnologías emergentes.

Por lo anterior, se detallan a continuación cuatro distinciones de confianza: confianza regulatoria, confianza perfecta, confianza imperfecta y confianza neutra.


Figura 1 Cuatro tipos de confianza (Autoría propia)

La confianza regulada, es el resultado de un contexto de cumplimiento regulatorio y normativo que induce un comportamiento específico. Las normas y guías de actuación se convierten en focos de verificación, cuyos resultados pueden tener consecuencias favorables o desfavorables para los individuos, como quiera que el gobierno de la seguridad de la información tiene la capacidad de afectar aspectos personales y variables propias del desempeño de los empleados.

La estabilidad de esta confianza está basada en el ejercicio de control y verificación que establece la organización, que generalmente es una indicación de mando, donde el error es causal de posturas restrictivas y acciones que imponen una sanción. La confianza se asume como predictibilidad de comportamientos, los cuales están asistidos por la adhesión a la norma, que es lo que normalmente se espera de un empleado dentro de una organización.

La confianza perfecta es el ejercicio de consciente y concreto que las personas efectúan para proteger la información. Una declaración de apropiación real y clara del entendimiento de la información como activo, situación que hace que los comportamientos esperados sobre la protección de las personas se dan de manera natural y cualquier falla o falta se reporta como parte esencial de la práctica de seguridad, la cual reconoce el error como una oportunidad de aprendizaje, que potencia y nutre el imaginario de seguridad de la información propio de la empresa.

La estabilidad de esa confianza se da en el ejercicio de la pedagogía del error, donde la fuerza de la práctica se encuentra en los aprendizajes y desaprendizajes que las personas tienen en situaciones y contextos distintos, lo que permite un proceso de enriquecimiento de saberes previos de los individuos sobre la seguridad, que finalmente se ve reflejado en un fortalecimiento del cortafuego humano.

La confianza imperfecta es el reconocimiento que los comportamientos de las personas son inestables. Es comprender que las circunstancias, los contextos y contradicciones motivan actuaciones que pueden ser contrarias a lo esperado, una lectura de umbrales de tolerancia a fallas que sabe de la naturaleza limitada de las personas y la tendencia al error, que invita más a la reflexión y confrontación de sus propias actuaciones, para construir en conjunto con otros y cerrar cada vez más los umbrales de falla, hasta definir aquel que es aceptado y tolerado por la empresa.

La estabilidad de esta confianza está en el entendimiento y estrategias que tiene la organización para actuar cuando los umbrales se superan y cómo desarrolla su capacidad de recuperación y resistencia ante la inevitabilidad de la falla. La estabilidad no se ve como un rango estático de compromiso de la organización, sino como una vista dinámica de la evolución del imaginario de protección que la empresa moldea con sus decisiones y aseguramiento de prácticas de acuerdo con sus propias necesidades.

Finalmente, la confianza neutra es una postura preventiva que advierte la condición insegura de forma anticipada y toma las acciones necesarias para evitar o distanciar la materialización de los eventos no deseados que se provocarán por actuar de forma insegura. Esta confianza, define un comportamiento natural de monitoreo y valoración de riesgos, que mantiene un mínimo de paranoia bien administrada en la persona, que pueden inhibir actuaciones de las personas ante situaciones inestables o dinámicas.

La estabilidad de la confianza neutra es el nivel tolerancia que tienen los participantes de la comunidad frente al tratamiento de la información. Una apuesta por conectar y sintonizar expectativas de los participantes sobre las brechas de seguridad de la información posibles, las cuales son conversadas y compartidas para construir saberes enriquecidos que son leídos y ajustados desde las posturas particulares, haciendo una red de conocimiento que se fortalece con las lecciones aprendidas, más que con las sanciones aplicadas.

Estos cuatro tipos de confianza establecen un marco de análisis de las apuestas que las organizaciones hacen respecto de la protección de la información. Por un lado, cada una de ellas tiene como centro los comportamientos de los individuos y la forma como los resultados de los mismos afectan la esencia misma de la protección. Es posible asumir una postura de la pedagogía del éxito donde el error es un resultado que deben ser evaluado o juzgado según el impacto que se ha ocasionados o tomar la falla como parte del proceso que permite sintonizar una práctica respecto de lo que la organización espera.

Los cuatro tipos de confianza revelan la tolerancia que las empresas deben construir para mantener o elevar la apropiación de las prácticas como quiera las personas tendrán una tendencia natural al error. En este sentido, las organizaciones definen y aceptan un nivel de riesgo concreto, para el cual preparan su estrategia de respuesta ante la materialización del mismo. Lo anterior supone una postura de aprendizaje que no solo sabe y conoce sus propias limitaciones, sino que se enriquece los saberes de los individuos para que, ante situaciones inciertas, puedan tomar decisiones ajustadas con los fundamentos de la protección y las expectativas de la corporación.

Implicaciones para la función de seguridad de la información
Si la función de seguridad de la información se debe a la construcción de confianza, las empresas y sus definiciones de seguridad deben establecer qué tipo de confianza quieren construir, para poder afinar la estrategia de seguridad y control que responda con esa condición particular esperada de los comportamientos de las personas.

Ignorar la naturaleza normal del error, creer que es posible un aseguramiento ciento por ciento, aceptar que la respuesta a la seguridad es eminentemente tecnológica y aceptar que en seguridad las cosas son blanco o negro, es condenar las organizaciones a una vista estática, predecible y estable, la cual dista de la realidad vigente, creando crisis internas innecesarias cuya respuesta natural es la sanción y el castigo ejemplarizante como estrategia para modificar comportamientos de las personas.

Como se puede observar el concepto de confianza no es único como el de la paz, se tienen matices que procuran un entendimiento diferenciado. Así como la paz no es necesariamente ausencia de conflicto o confrontación, la confianza no es ausencia de error o inestabilidad, todo lo contrario, es un ejercicio que se construye a partir de la falla y del reconocimiento de la capacidad de mejora continua y discontinua de las personas, para hacerse más resistente a la inevitabilidad de la falla.

Confiar en que otra persona va asegurar un adecuado tratamiento de la información, no supone una confianza perfecta, sino una práctica imperfecta o perfectible, en la medida que es posible prevenir o actuar con un margen de error conocido y unos impactos delineados, como pilares de la formulación de umbrales de riesgo para los cuales tanto individuos como empresa deben estar preparados para continuar su espiral ascendente de aprendizaje o desaprendizaje.

Si lo anterior es correcto, la confianza es una propiedad emergente de la ejecución de las prácticas de seguridad y control de las personas en la organización, es decir un tejido de expectativas conocidas y renovadas, desde las conversaciones para la acción de los grupos de interés, que  entiende que la protección de la información es un ejercicio de confianza imperfecto, que no busca la invulnerabilidad, sino el aprendizaje permanente de los involucrados para alcanzar en cada momento un nivel de cumplimiento de acuerdo con el mandato de los cuerpos colegiados.

Así las cosas, en todo aquello que se confía, tendrá de forma inherente la semilla de la vulnerabilidad, como quiera que si dejamos de sospechar o preguntarnos sobre eso en lo que confiamos, se creará el entorno natural para que crezca la inevitabilidad de la falla y cambie la lectura del entorno. 

Por tanto, las prácticas de seguridad y control deben leer y afinar los tipos de confianza que se quieren desarrollar, habida cuenta que de no hacerlo se podría comprometer la imagen de la empresa, generar comportamientos ocultos, lectura no apropiadas de la normatividad y sobre manera un ambiente de inestabilidad jurídica y práctica que no comunica a los grupos de interés un mensaje homogéneo y sincero.

Reflexiones finales
Hablar de la confianza en un escenario empresarial, es una condición básica para la actuación de los empleados y los ejecutivos en el desarrollo de su modelo de generación de valor. No es un concepto utópico, es decir, irrealizable o inalcanzable, sino eutópico, que es posible y que puede ser realizable (Calvo, 2016), una apuesta no por el proceso, sino por la capacidad de las personas para aprender y desaprender ante situaciones inciertas e inestables, como fundamento de una práctica imperfecta en su hacer, pero perfectible en su diseño.

Hablar de la protección de la información es concretar una distinción de confianza imperfecta, donde las personas habilitan su capacidad creativa en un contexto definido, para actuar de acuerdo con las expectativas de aseguramiento que la empresa espera. Es claro que no siempre se tendrán las mejores decisiones, pero lo que sí es posible lograr, es superar la ilusión de la certeza, motivando novedosas aproximaciones de protección de los datos que estén fuera de los referentes conocidos.

De otro lado, una confianza regulada, basada en la repetición no razonada de reglas, resultará estéril. Este tipo de confianza entiende a las personas como un repositorio de información, que deben utilizar actuar ante ambientes ciertos donde la respuesta está dada; una apuesta que no contempla umbrales de error para los empleados, creando ambientes donde aprender no es una opción. En este escenario, no es posible pensar de forma diferente dada la necesidad de asegurar un comportamiento esperado, que permita a la empresa una posibilidad cierta de control sobre las acciones de sus procesos y resultados.

En consecuencia, proteger la información en un mundo volátil, incierto, complejo y ambiguo (Johansen, 2009), consiste en “respetar y promover el derecho a equivocarse”, una alternativa novedosa y discontinua que implica crear un tejido fino de “relaciones holísticas y sinérgicas” (Calvo, 2016) para armonizar los estándares conocidos de aseguramiento, con la necesidad de aprender y desaprender propia de las organizaciones y los seres humanos.

Así las cosas, la protección de la información demanda un ejercicio de balance entre “contrarios”: “saber-ignorancia”, “orden-caos”, “confusión- comprensión”, “inseguridad-seguridad”, para definir una vista que privilegie un flujo de reflexiones del uno al otro, donde, como afirma el profesor Calvo (2016, p.54) “lo distinto es acogido en su diferencia, antes que excluido por su oposición”.

Referencias
Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
Jiménez, F. (2014) Paz neutra: Una ilustración del concepto. Revista de Paz y Conflictos. Instituto de la Paz y los Conflictos. Universidad de Granada. 7. 19-52. Recuperado de: http://revistaseug.ugr.es/index.php/revpaz/article/view/1806/2627
Muñoz, F. (s.f.) La paz imperfecta ante un universo en conflicto. Instituto de la Paz y los Conflictos. Universidad de Granada. Recuperado de: http://www.ugr.es/~eirene/publicaciones/Imperfecta.pdf
Cano, J. (2012) El negocio de la seguridad de la información. Revelando la potencialidad de un concepto. ISACA Journal. Vol. 4. Recuperado de: http://www.isaca.org/Journal/archives/2012/Volume-4/Pages/JOnline-El-Negocio-de-la-Seguridad-de-la-Informacion-Revelando-la-Potencialidad-de-un-Concepto.aspx
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA: Berrett-Koehler Publishers.

domingo, 24 de julio de 2016

La inevitabilidad de la falla y la transformación digital. Realidades convergentes en un mundo digitalmente modificado

Introducción
El mundo digitalmente modificado es una expresión que cada vez más estará en el lenguaje de los gerentes de tecnología de información y de los ejecutivos de seguridad de la información. Mientras los primeros buscarán aumentar la presencia automatizada de los procesos empresariales y capturar toda la información posible para hacer de la experiencia del cliente algo inolvidable, los segundos deberán comprender y alinear la estrategia digital de la empresa, frente al reto de proteger los activos de la empresa ahora un escenario hiperconectado, en la nube, virtualizado, de redes sociales y móvil.

Esta transformación digital toma por sorpresa a algunas organizaciones y a otras, alineadas con las exigencias de unos clientes altamente informados, demandantes de servicios novedosos y sobre manera ávidos de contenidos y apuestas emergentes que cambien su forma de hacer las cosas. En este sentido, el flujo de información corporativa y personal se incrementa dada la convergencia tecnológica que se advierte y la modificación digital de servicios y productos que ofrece una mayor cercanía con los gustos y perfiles de sus usuarios.

En este contexto, la transformación digital no solo debe consultar los retos y apuestas estratégicas de las empresas, sino la forma como la protección de la información se traduce en fundamento básico de la interacción y la promesa de valor para el cliente que quiere aprovechar las nuevas propuestas, con la confianza y transparencia necesarias, que dé cuenta del compromiso ético digital de la compañía frente al tratamiento de sus datos.

En consecuencia, la transformación digital de las empresas del siglo XXI debe indagar en los retos de la seguridad y control en un mundo digitalmente modificado, para explorar y anticipar los retos propios de la inseguridad de la información, como factor clave que permita crear y proteger el valor de las iniciativas digitales empresariales, así como motivar una práctica de aseguramiento de datos en los clientes, como efecto emergente de su participación en la nueva dinámica de los negocios.

Por tanto, adelantar una transformación digital ignorando los desafíos inherentes de la inseguridad de la información en esta nueva realidad digital, es caminar en medio de un fuego cruzado, donde tanto empresa como cliente estarán sobre terrenos inestables, creando con cada interacción inciertos que afectarán tanto la experiencia del cliente, como los planes de negocio de la compañía.

Así las cosas, articular la transformación digital en una empresa demanda un constante aprendizaje, una interacción ágil con los productos y servicios, antes y después de su lanzamiento, así como la renovación flexible de usos y características ajustadas a los cambios de expectativas, lo cual aumenta la responsabilidad digital empresarial, para proteger los flujos de información entre la empresa y sus clientes. En este sentido, este documento plantea algunas reflexiones sobre la transformación digital y la seguridad de la información como base para repensar la práctica de seguridad y control en las organizaciones digitalmente modificadas.

Transformación digital. Una vista práctica
De acuerdo con Rogers (2016) desarrollar una transformación digital implica al menos considerar cinco elementos claves: clientes, competencia, datos, innovación y valor, los cuales en una interacción permanente logran capitalizar una lectura diferencial de la realidad, donde se crean flujos de valor en doble vía y los datos se convierten en cada momento en activos valiosos que conectan puntos antes aislados del contexto de los clientes con la dinámica de la empresa.

La transformación digital, es una transmutación empresarial que altera la cultura organizacional donde se pasa del mundo de las tecnologías de información a los productos y servicios digitalmente modificados, una apuesta de las plataformas tecnológicas para crear cooperación entre áreas, clientes, competidores y todo aquel que quiera crear activos estratégicos valiosos para el ecosistema digital de la compañía.

En este ejercicio de cambio digital, se motiva tomar riesgos en una zona psicológicamente segura, donde fallar no es una calificación del proceso, sino un insumo que acelera la nueva práctica que la organización quiere crear para consolidar una vista renovada de sus negocios; una oportunidad, no para encontrar la solución correcta, sino para confrontar y superar el problema correcto.

Desarrollar una transformación digital implica reconocer a la organización en una dinámica de relaciones propias de un ecosistema digital, donde las conexiones definen la identidad digital de la empresa, que no es otra cosa, que la capacidad de modificar de forma anticipada su modelo de negocio para mantenerse en sintonía con la red de expectativas de los clientes y así amplificar su presencia en el entorno y confirmar su compromiso digital.

En una metamorfosis digital una empresa debe entender que se revelan comportamientos de los clientes, aquellos propios de las redes de comunicación y significados emergentes relativos a los contextos donde se encuentran inmersos. Dichas conductas apalancan los cambios digitales deseados y requeridos, para darle sentido a la estrategia digital. El acceder, el enganchar, el personalizar, el conectar y el colaborar son los procederes básicos que las empresas deben leer en los clientes para concretar las propuestas digitales que se desarrollen en la esfera de la realidad modificada.

A continuación, un breve resumen de las temáticas relevantes a tener en cuenta con cada uno de los comportamientos mencionados: (Rogers, 2016)

Comportamiento
Temáticas claves a tener en cuenta por las organizaciones
Acceder
Simplicidad, conveniencia, ubicuidad y flexibilidad
Enganchar
Conocer al cliente, crear contenido relevante, irresistible y útil, sorprender con experiencias inéditas
Personalizar
Identificar las necesidades del cliente, disponer de una plataforma de fácil uso y configuración, crear experiencias únicas
Conectar
Motivar el uso de redes sociales para conectar los clientes con la solución de problemas, los aprendizajes de las tendencias del mercado y estar más cerca de sus gustos y expectativas
Colaborar
Entender las motivaciones para participar de los clientes, para que, desde su propio nivel de habilidad y experiencia, ofrezca sus contribuciones y con la adecuada orientación, le dé forma a su objetivo final

Como se puede observar cada comportamiento establece una movilidad del cliente y plantea un sentido particular de su interacción. En esta lectura, lo que es transversal a todos los comportamientos detallados es el flujo de información y las emociones que se pueden crear dependiendo de la situación de negocio que se plantee en un momento específico.

En consecuencia, cada persona respecto de los comportamientos anunciados crea una dinámica de alineación o desalineación con el negocio, que debe estar asistida por las prácticas de seguridad y control, no como una tarea adicional, sino como apalancador de la relación creada entre el cliente y los servicios o productos. Lo anterior procura una madurez de la práctica de protección digital, que se traduce en confianza y transparencia, valores que ocupan mucho de la agenda de la creación de valor de aquello digitalmente modificado.

Entendiendo algunas relaciones relevantes de la transformación digital y su encuentro con la protección de la información
Existen múltiples conexiones que se pueden revelar en el ejercicio de pensar el futuro. Los escenarios (Phadnis, Caplice y Sheffi, 2016) como fuente natural de pensamientos divergentes y como cadena de apoyo para moldear el razonamiento y las decisiones de los ejecutivos, establece una forma que sintetiza aquello que parece incierto y ambiguo en un marco de análisis de posibilidades y no de probabilidades.

Dichos escenarios revelan el potencial de las oportunidades que el ecosistema digital puede tener disponibles para todos los actores. Dentro de las posibles contribuciones que se pueden desarrollar tenemos: (CEB, 2016)
  • Integración fácil y rápida
  • Incremento de la recolección de datos
  • Mejoramiento del poder de cómputo y almacenamiento
  • Interacción superior con la tecnología de información
  • Alta movilidad
Estas posibilidades, en lectura de la infraestructura tecnológica, demandan un nivel de aseguramiento de la misma, así como de la información que va a transitar entre dispositivos móviles o productos digitalmente modificados, habida cuenta que es de esta forma como los clientes, establecen sus propios esquemas de uso y apropiación para sacarle el mayor provecho de la oferta disponible y así capitalizar el valor esperado.

De otra parte, Porter y Hoppelman (2015) confirma estos planteamientos a través de la distinción de “Niveles tecnológicos” (en inglés technology stack), donde se indica la manera como se modifica digitalmente un producto o servicio, para lo cual es necesario entender sus elementos básicos y aquellos complementarios que los modifican y nutren como son:
  • Elementos básicos: a) Conectividad, b) el producto y c) el soporte en la nube
  • Elementos complementarios: los elementos de seguridad y control (que afectan a todos elementos básicos), las fuentes de información externas (que afectan a b) y c)), y la integración con los sistemas de negocio.

En este modelo conceptual de los académicos de Harvard (Porter y Hoppelman, 2015), la seguridad es un elemento transversal que debe proteger la promesa de valor del producto o servicio digital e inteligente que se propone. Dada su alta conectividad y exposición en un contexto hiperconectado se hace necesario validar e identificar la inseguridad de la información propia de su diseño, con el fin aumentar la confiabilidad del producto, la seguridad de sus datos y la confianza del cliente.

En palabras de los mencionados académicos, “la seguridad de la información se convierte en una fuente clave de valor y un diferenciador potencial”, palabras que confirman que toda transformación digital demanda un entendimiento de la dinámica de la información y sus flujos, para lo cual las empresas bien pueden asumir los mecanismos de seguridad y control u ofrecer opciones particulares para que sea el mismo cliente quien configure la forma como será transmitida, recolectada o utilizada toda su información (Porter y Hoppelman, 2015).

Así las cosas, la transformación digital de las empresas supone un ejercicio previo de conceptualización de los flujos de información que se van a desarrollar, comprender la relevancia o nivel de sensibilidad de los datos y las estrategias más adecuadas para balancear la efectividad y facilidad del uso del producto modificado, de tal forma que tanto el cliente, como la organización sean digitalmente responsables, esto es, asegurar una relación de confianza y transparencia que configure el valor como una propiedad emergente donde ambos se benefician.

La inseguridad de la información y la transformación digital. Una vista de retos emergentes.
Si perjuicio de lo anterior y de las conversaciones convergentes que existen entre la transformación digital y la seguridad de la información, la inseguridad establece la vista complementaria que demanda, tanto de la organización como del cliente, una postura de riesgos, que atendiendo el contexto inestable e incierto donde se van a usar los productos o servicios digitalmente modificados, sea capaz de aumentar la resistencia a los fallas o ataques de los cuales será objeto.

Cuatro son las tendencias que confirman los retos para la seguridad y el control en un mundo digitalmente modificado:
  • Nuevas tecnologías disponibles
  • Mayor flujo de datos personales y corporativos
  • Acelerada convergencia tecnológica
  • Mayor superficie disponible

Cada una de ellas se materializa en las propuestas tecnológicas actuales: como son la virtualización, la computación en la nube, las redes sociales y la computación móvil, las cuales motivan conexiones que entran y salen del dominio de las personas, habilitando no solamente nuevas opciones para los individuos y empresas, sino posibilidades para la imaginación de los atacantes.

Ahora el perímetro de seguridad no es ni la zona desmilitarizada o la infraestructura de contorno de las organizaciones, ni el dispositivo inalámbrico y móvil que tiene el cliente, sino la persona misma. Al tener un producto o servicio digitalmente modificado es el ser humano el que finalmente se va a ver afectado, como quiera que su información o alguna función vital suya podrá comprometerse si algún fallo deliberado o intencional se presenta sobre aquel.

Así las cosas, la postura de riesgos, ese mínimo de paranoia debidamente administrada, deberá ser parte del entrenamiento que tanto empresa como clientes deberán construir para aumentar la resistencia a los posibles ataques sobre los productos o servicios digitalmente modificados, con el fin no sucumbir a la ansiedad por lo incierto y mantener una vigilancia y monitoreo permanente que asegure un nivel de exposición conocido y administrado.

A pesar de lo anterior, es claro que la inevitabilidad de la falla estará presente, por tanto, se hacer necesario establecer protocolos a nivel de las personas y las funcionalidades habilitadas en los productos o servicios, de tal manera que sea posible actuar frente a estas situaciones imprevistas, particularmente siguiendo los lineamientos de la postura de falla segura, es decir, llevar al ecosistema a una condición conocida y definida cuando se pierde la normalidad de la operación, con acceso restringido e interacción mediada por autenticación fuerte.

Dentro de las amenazas emergentes que se han identificado a la fecha (Ariu, Didaci, Fumera, Giancinto, Roli, Frumento y Freschi, 2016; Mcafee, 2016), que demandan un gran reto en el ejercicio de protección se encuentran:
  • Ataques sin archivos: Código malicioso escrito directamente en la memoria RAM.
  • Infiltraciones con cifrado: Uso de cifrado para tomar control de los archivos en los dispositivos.
  • Ataques bajo el sistema operativo: Afectación y compromiso del firmware, BIOS y Master Boot Record.
  • Interfase de comandos y control remoto: Explotación de debilidades en protocolos de comunicación y toma de control de los dispositivos.

Reflexiones finales
Si bien es claro que, de acuerdo con los resultados de la encuesta de Dimensional Research (2016) los drivers o motivadores que aceleran el mundo digitalmente modificado son:
  • Incrementar la productividad de los empleados
  • Reducir o controlar los costos de TI
  • Conocer la dinámica de las expectativas de los clientes
  • Enfrentar las presiones competitivas
las reflexiones de la seguridad y el control en esta nueva configuración de la realidad digital están llegando tarde y por lo tanto, la funcionalidad de los productos o servicios modificados con tecnologías de información, han salido al mercado con limitadas especificaciones de protección, las cuales tarde o temprano serán reveladas por la inevitabilidad de la falla.

Esta condición particular advierte la falta de madurez de la seguridad de la información del negocio digital (Bobbert, 2010), de tal forma que se deben revisar las actitudes y percepciones de los participantes en el diseño de la estrategia digital de la empresa, habida cuenta que es la información, la conectividad y las tecnologías de información, las que en conjunto materializan la promesa de valor para los clientes que demandan, no solamente una experiencia excepcional y sobresaliente, sino la confiabilidad y aseguramiento de su entorno digital donde él es el protagonista principal.

Por tanto, hablar de transformación digital y su madurez en el contexto empresarial, es entender una serie de barreras según su grado de evolución. Los temas de seguridad y control, son propios de aquellas empresas maduras (es decir con más de 5 años con estrategia digital clara), las cuales han cubierto el camino de la falta de entendimiento de la gerencia, la insuficiencia de habilidades técnicas y las múltiples prioridades para desarrollar proyectos digitales empresariales (Kane, Palmer, Nguyen, Kiron y Buckley, 2016).

La seguridad de la información en el contexto de la transformación digital es un proceso cambio de comportamientos, donde proteger el entorno tecnológico donde se concreta la ventaja competitiva, significa comprender lo que es una capacidad digital: una combinación innovadora del mundo físico y el mundo lógico, donde extraemos información de los recursos físicos y los integramos con los recursos digitales (Rowsell-Jones, 2013).

Así las cosas, parafraseando a los académicos del IESE (Káganer, Zamora y Sieber, 2013) los ejecutivos de seguridad de la información, en el escenario de la transformación digital, deberán ser el puente entre lo viejo y lo nuevo, gestores de lo conocido para salvaguardar las operaciones y la rentabilidad de la empresa, y custodios de las iniciativas digitales, que por ser más vulnerables, exigen una vista de gobierno de la protección de la información para anticipar la inevitabilidad de la falla y aumentar la resiliencia organizacional ante nuevas discontinuidades de negocio.  

Finalmente, recuerde la recomendación del CEO de Visa, Inc, Charles W. Scharf:
Invierta en seguridad antes que en otra temática. Un entorno bien controlado le da licencia para hacer otras cosas. Productos grandiosos e innovadores sólo le ayudarán a ganar y prosperar, si usted tiene un negocio bien protegido. No deje los detalles a los demás, su involucramiento producirá mejores resultados y el mejor entendimiento de la importancia de ésta temática para la supervivencia de organización” (Paloalto – NYSE, 2015, p. vi) en un mundo digitalmente modificado.

Referencias
Ariu, D., Didaci, L., Fumera, G., Giancinto, G., Roli, F., Frumento, E. y Freschi, F. (2016) A (Cyber)road to the future. A methodology for building cybersecurity research roadmaps. En Akhar, B. y Brewster, B. (Editors) (2016) Combatting cybercrime and cyberterrorism: challenges, trends and priorities. Switzerland: Springer Verlag. 53-80.
Bobbert, Y. (2010) Maturing business information security. A framework to establish the desired state of security maturity. Institute for business and information security alignment. Holanda. NPN Press
CIO Executive Board – CEB (2016) Technology ecosystem for the digital enterprise. Infographic.
Dimensional Research (2016) Digital transformation security survey. A survey of IT and Security professionals. Sponsored by Dell. Julio. Recuperado de: https://software.dell.com/whitepaper/global-survey-digital-transformation-security-survey8113164
Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. Tercer trimestre. 18.
Kane, G., Palmer, D., Nguyen, A., Kiron, D. y Buckley, N. (2016) Strategy, not Technology, Drives Digital Transformation. Becoming a digitally mature Enterprise. MIT Sloan Management Review. Research Report. In collaboration with: Deloitte University Press. Recuperado de: http://sloanreview.mit.edu/projects/strategy-drives-digital-transformation/
Mcafee (2016) Mcafee Labs 2016 threats predictions. Recuperado de: http://www.mcafee.com/uk/resources/reports/rp-threats-predictions-2016.pdf
Paloalto – NYSE (2015) Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers. Chicago, Illinois. USA: Caxton Business & Legal, Inc. Recuperado de: https://www.securityroundtable.org/wp-content/uploads/2015/09/Cybersecurity-9780996498203-no_marks.pdf
Phadnis, S., Caplice, C. y Sheffi, Y. (2016) How Scenario Planning Influences Strategic Decisions. Sloan Management Review. Summer.
Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre
Rogers, D. (2016) The digital transformation playbook. Rethink your business for the digital age. New York, USA: Columbia University Press.
Rowsell-Jones, A. (2013) Su empresa también tiene ventaja digital. IESE Insight. Tercer trimestre. No. 18.