Introducción
El ejercicio de pronóstico
supone reconocer condiciones cambiantes en el entorno, detectar patrones entre
las tendencias y ver relaciones novedosas entre los componentes de su objeto de
estudio. En ese sentido, “(…) el estudio exclusivo de la experiencia existente
es insuficiente para prever el futuro. (…)” (VARELA ALFONSO 1999, pág.80) por
tanto se hace necesario lanzarnos en “aguas profundas” para soltar nuestras amarras
conocidas y explorar la novedad que exige apertura de mente y declaración de
que “no sabemos”.
En este sentido, los cambios
permanentes que experimenta la sociedad, el flujo constante de información y
servicios digitales, una humanidad informatizada más proclive a compartir y la
amenaza permanente de vigilancia y
control, nos advierten que estamos en una época de transformaciones aceleradas
y motivaciones diversas que modifican la forma como se hacen las cosas y la
manera como se generan las relaciones entre las personas.
En consecuencia, la sociedad
actual demanda una mayor capacidad para aprender, toda vez, que las
oportunidades y bondades (así como amenazas) que se pueden advertir en medio de
esta dinámica de cambio, sólo se pueden capitalizar (o entender) si
posibilitamos que las personas se desarrollen y sean capaces de contribuir a la
comunidad que hacen parte. (ACKOFF y GREENBERG 2008)
Así las cosas, lanzarnos a
efectuar un pronóstico sobre la seguridad de la información para 2014, en el
contexto del mundo actual es realmente un reto, semejante a tratar de acertar
en un blanco en movimiento, donde múltiples variables pueden afectar el
resultado final y donde la probabilidad de éxito es limitada.
Sin embargo y sin pretender
imponer un punto de vista y consciente de las limitaciones de este ejercicio,
se desarrolla este documento que busca plantear una reflexión entorno de
aquellos temas que en la práctica de seguridad y control pueden ser atractivos
y motivadores para las empresas en el curso de los nuevos 365 días que pronto
inician.
Para desarrollar este texto,
se revisaron algunos informes de seguridad de la información global, tendencias
y noticias que plantean escenarios de análisis novedosos, así como algunas
reflexiones personales sobre aquello que nos puede sugerir la realidad
emergente de la densidad digital (KÁGANER, ZAMORA y SIEBER 2013), esa que está
construida de un flujo de información permanente entre las personas.
Habida cuenta de lo anterior,
sea esta la ocasión para internarnos nuevamente en las aguas turbulentas de la
dinámica actual, para que observando en silencio la realidad emergente, podamos
evitar las provocaciones de los datos y aprender de la maestra que siempre se renueva
y nunca se desespera frente a nosotros, sus estudiantes: la inseguridad de la
información.
A continuación se plantean
algunas meditaciones sobre tendencias actuales y emergentes sobre la seguridad
de la información, donde se privilegia no sólo los datos que la soportan, sino
las posibilidades que se pueden plantear, para retar el entendimiento actual de
lo conocido y seducir la “inteligencia”, esa habilidad propia del ser humano
para aprender y desaprender.
Tensiones emergentes entre el compartir y el proteger –
La nueva realidad de la cultura de seguridad de la información
En un mundo donde las redes
sociales, la computación en la nube, la computación móvil y la información son
parte natural del entorno social con una alta densidad digital, la información
entra en un modelo de contradicciones: compartirla con otras personas para
mantener ese vínculo de relación, o protegerla, para evitar que poderes
superiores o personas no autorizadas puedan tener acceso a ella y usarla de
manera indebida.
Son frecuentes las noticias
donde se materializan robos de identidad, suplantación de perfiles,
manipulación de documentos y archivos, exposición de fotos comprometedoras,
publicación de videos y toda clase de actividades, donde la realidad de las
personas es superada por un tratamiento inadecuado de la información.
Sin bien la conciencia de que
la información que circula en internet sobre una persona la define y detalla no
es la más adecuada, tampoco lo es que tengamos prácticas sencillas para evitar
ser parte de las estadísticas de la inseguridad de la información. Hacer una
copia de respaldo, contar con un antivirus o un software antiespía y tener un
cortafuegos personal, son elementos básicos que toda persona conectada a
internet debe tener, sin embargo, existe un particular manto de confianza sobre
las conexiones cotidianas, que sugiere una mayor exposición de las personas en la red.
En este sentido, durante el
2014 se estima una mayor presencia de las personas en internet, dada la alta
penetración de la movilidad, de las aplicaciones en este medio y la promoción
decidida de muchos gobiernos para contar con mejores índices de conectividad
nacionales. Así las cosas, habrá contradicciones que motiven bien a las personas
a compartir y otras a proteger, y allí estará el nuevo vector de ataque
esperando para revelarse.
Grandes datos, grandes retos y patrones emergentes
El crecimiento exponencial de
los datos, particularmente no estructurados (videos, tweets, mensajería
instantánea, fotos, blogs, entre otros), en internet rebasa cualquier
pronóstico que se hubiese podido tener hace algunos años. De acuerdo con el informe
de CISCO (2013), la Era del Zettabyte, “el
tráfico IP global anual pasará el umbral de los zetabyte a finales de 2015 y
llegará a 1,4 zettabytes por año en 2017. En 2015, el tráfico IP mundial
llegará a 1,0 zettabytes por año o 83,8 exabytes por mes, y el año 2017, el
tráfico IP mundial llegará a 1,4 zettabytes por año o 120,6 exabytes por mes.”
Estas cifras nos hablan de grandes
volúmenes de información y de nuevas capacidades de procesamiento y análisis
que se deben desarrollar para lograr el mejor y mayor uso de la información
acumulada. En este contexto, clasificar tipos de datos se vuelve prácticamente
una ilusión, por lo cual los programas analíticos que se ejecuten sobre esta
masa de información, podrán explorar tendencias y revelar nuevas oportunidades
para superar el entendimiento que tenemos de lo que ocurre en el mundo.
Por otra parte, la
información personal que se encuentre en este mar de información podrá estar
expuesta y sujeta a interpretaciones de los analistas, por lo cual se requiere
instalar nuevas prácticas, no de seguridad, sino de privacidad, que permitan a
las organizaciones explotar las posibilidades de análisis en los datos,
protegiendo las condiciones particulares e individuales de las personas.
Da acuerdo con SOARES (2012,
pág.84) las empresas deben tomar al menos tres acciones básicas para proteger
la información de las personas:
·
Imposibilidad de
vincular
Las empresas
deben tomar las precauciones razonables para desvincular los datos de las
personas. Esto incluye eliminar o modificar los campos, adicionar “datos basura”
o utilizar información agregada o sintetizada.
·
Imposibilidad de
distinguir
Las empresas
deben tomar las acciones necesarias para evitar que se pueda identificar una
persona en particular y asegurar, que cualquier intento de volver a enlazar los
datos con los individuos, no sea viable o pueda ser totalmente limitado.
·
Mantener los
datos desvinculados
Las empresas
contractualmente deben prohibir tanto a proveedores de servicios como a
terceras partes, tratar de intentar vincular nuevamente los datos con las
personas, toda vez que esta prácticas atentan contra el derecho de auto
determinación informática de los individuos.
Así las cosas, los grandes
datos serán protagonistas de primera línea en los retos de la seguridad de la
información con dos vistas, una positiva, que procura mayor capacidad de
anticipación de riesgos y amenazas emergentes (a través de técnicas forenses y
estrategias de análisis) que permiten aprender más rápido a las empresas para
reconocer los patrones de mal uso y técnicas novedosas de los atacantes y otra
menos positiva, que permite caracterizar, individualizar y analizar modelos de
comportamiento, gustos o incluso personalidades que pueden atentar contra la
dignidad de la persona humana.
Ataques virtuales, consecuencias reales.
Cada vez más los ataques que
se reportan buscan accionar consecuencias en el mundo real. Los atacantes saben
que en medio de la malla de conectividad, existe un punto donde los bits y los
bytes, se vuelven átomos reales y realidades concretas.
En este sentido, con el
creciente mundo del internet de las cosas, las incorporación de las condiciones
de la vida real en el mundo virtual, el consumo incremental de ancho de banda y
las tendencias de sociales relacionadas con el “siempre conectado”, abren la
posibilidad para que mente criminales elaboren acciones que terminen recreando
conductas del mundo offline en el mundo online.
Lo anterior lo denomina MIRÓ
LINARES (2012, pág.68) como ciberataques réplica, es decir “(…) el ataque no se realiza a un terminal informático, ni tampoco es
el contenido el objeto de la ilicitud, sino que la Red es el nuevo medio a
través del cual se comete una infracción que utilizaba anteriormente otros
medios para llevarse a cabo. (…)”
Este nuevo tipo de ataques,
crea en el espacio virtual una nueva serie de condiciones emergentes y
diferentes para intimidar, comprometer y escapar, que superan al mundo real,
provocando en las personas mayor sensación de incapacidad e indefensión, que
puede disminuir la confianza y su seguridad cuando navega en la red y pone de
manifiesto, una marcada incapacidad del Estado para comprender y perseguir este
tipo de conductas abiertamente contrarias a la ley.
En palabras de MIRO LINARES
(idem, pág.119) los ciberataques resultan “(…) de una simbiosis en gran parte de los comportamientos ilícitos
realizados en el ciberespacio (…)”, esto es una mutación y adaptación
genética de la delincuencia en el contexto de lo digital, que utilizando las
tecnologías de información, son capaces de modelar y acompañar a la inseguridad de
la información, para crear entornos inestables pero atractivos para concretar
las víctimas y provocar no solamente un beneficio económico, sino afectar otros
bienes como la intimidad, la seguridad de los sistemas de información y redes,
y hasta la vida misma.
Podemos concluir que ahora
tenemos una vista espacio-temporal diferente, donde las distancias se acortan,
dada la alta interconectividad y flujo de información permanente que existe
entre las personas. Por tanto, la densidad digital plantea una vista emergente para
analizar y estudiar, donde no es solamente la persona, sus actividades o la
tecnología son las que hacen parte de la acción delictiva, sino una estructura
superior que combina las tres y genera efectos concretos en cada uno de ellos.
2014 será una año de mayor
madurez en los ataques, es decir, un espacio de tiempo donde se harán evidentes
nuevos vectores de ataque en esta capa de análisis (la densidad digital), que necesariamente
afectará la manera como vivimos en el entorno digital.
Espionaje, inteligencia y control. Prácticas conocidas,
motivaciones inesperadas.
El espionaje y los grupos de
inteligencia no son elementos nuevos para los habitantes del siglo XXI. La
historia nos ha mostrado que dichas prácticas se han venido realizando a nivel
de gobiernos y naciones para mantenerse adelante de los hechos y no reaccionar
ante algún evento que pudo ser prevenido o detenido en su misma elaboración.
Así las cosas, internet como
base de datos de conocimiento abierto, establece un referente básico para las
labores de inteligencia y espionaje, toda vez que las condiciones esenciales de
éstas, se sustentan en la capacidad de influir en el entorno y conocer todo
aquello que está oculto o reservado.
Las noticias divulgadas
durante 2014, mostrarán nuevas capacidades, manuales y procedimientos que los
gobiernos, así como entidades privadas, son capaces de desarrollar para mantener
un mapa actualizado de amenazas y acciones que puedan afectar su posición privilegiada
en un entorno estratégico o táctico de negocios o defensa. Esto es, un
despertar de la conciencia cómoda de los ciudadanos, que no sólo esperan de sus
gobernantes estabilidad y protección, sino respuesta ante situaciones
inesperadas que comprometan su bienestar particular y general.
Triangular información disponible
en internet y recolectada por sensores hábilmente ubicados, muchos de ellos sin
conocimiento de los afectados, es parte de la “normalidad” del mundo actual. Un
simple dispositivo de comunicaciones, un ipod,
un ipad o cualquier elemento con
capacidad de transmitir, será susceptible de modificaciones técnicas para constituir
un vector de monitorización, para conocer aquello que se requiere en
situaciones particulares.
Durante el año entrante los
cuerpos de inteligencia y control de las naciones, deberán tener más cuidado y
sigilo, pues la ecuación de bienestar y respuesta a intrusiones que despejarán
los ciudadanos deberá responder a una confianza inteligente, es decir, “(…) la capacidad de confiar con sabiduría en un
mundo que parece pedirnos que no confiemos en nadie, y nos conduce a un círculo
virtuoso ascendente de prosperidad, energía y alegría. (…)” (COVEY, LINK y
MERRILL 2013, pág.114)
Disrupción digital, inseguridad disruptiva
De acuerdo con MCQUIVEY
(2013, pág.8) crear una disrupción significa “encontrar una mejor manera de satisfacer una necesidad fundamental que
un cliente tiene, no solamente reemplazando un proceso o resultado existente
con algo similar pero ligeramente mejor”, esto es creando las condiciones
que permitan desarrollar y materializar un nuevo mercado, una capacidad para
sorprender de manera reiterada a sus clientes.
La disrupción digital supone
la existencia de plataformas digitales que facilitan el despliegue de nuevos
productos rápidamente, creando y manteniendo relaciones digitales con sus
clientes. Esto hace que las barreras de entrada y espacios exclusivos queden al
margen y se potencialice la explotación de dicha plataforma donde los clientes
se relacionan con la menor intermediación posible, con bajo costo y gran flujo
de información.
En este orden de ideas, se
encuentran disponibles plataformas gratuitas para desarrollar vulnerabilidades
o fallas de seguridad y control, las cuales pueden ser utilizadas para cambiar
radicalmente la forma como se generan vectores de ataque y reinstalar los
ataques conocidos con variantes novedosas, es decir, posibilidades adyacentes
que muchos quisieran ver.
Las mentes de los atacantes,
en el contexto de la disrupción digital, cuentan con un razonamiento motivado
por la posibilidades y no por las probabilidades, lo que genera una capacidad
para desequilibrar y proponer escenarios de falla que distan de lo que un
analista de seguridad puede anticipar. Esto es, son capaces de pensar “fuera de
la caja” aprovechando los recursos disponibles de manera disruptiva, es decir, “creando una renovada sensación de inestabilidad e indefensión”.
La disrupción digital como
tendencia marcada en esta nueva realidad empresarial, acelera la generación de
nuevos perfiles de atacantes y de víctimas de sus acciones. Mientras los primeros
persisten en el camino de la innovación (creando posibilidades y jugando con su
imaginación), los segundos se repliegan y aumenta su capacidad de resistencia,
para enfrentar las nuevas amenazas.
Así las cosas, en el 2014 las
organizaciones deberán alinear sus expectativas de protección y control de la
información con la realidad de una empresa basada en lo digital, aceptar y
esperar la inevitabilidad de la falla, con una postura proactiva, pues sólo ahí
pueden reconocer nuevas oportunidades para mantener la confiabilidad de las
operaciones, que no es seguridad de las mismas.
Durante el año entrante habrá
cambios en las experiencias de los usuarios en internet, más allá de la
realidad aumentada, del uso del movimiento de los ojos como forma de
interacción con los dispositivos electrónicos, entre otras innovaciones, de los
ataques a los sistemas de control y dispositivos inalámbricos embebidos en
vehículos y seres humanos para darle paso, a una realidad superior que surge de
un entendimiento colectivo de las personas basado en sus relaciones digitales.
Reflexiones finales
Se plantean cinco pronósticos
de seguridad de la información para 2014 que buscan sugerir y provocar
reflexiones en los ejecutivos de seguridad de la información. Estos pronósticos
recaban en la dinámica de las relaciones actuales de la tecnología, las
personas y los retos empresariales, con el fin de advertir posibles efectos y
condiciones de riesgo que pueden impactar y afectar la ventaja competitiva de
las empresas, los derechos de las personas y la gobernabilidad de una nación.
Los pronósticos no buscan ser
realidades verificables o medibles, sino apuestas de situaciones posibles
basadas en datos actuales e inferencias de comportamientos esperados. Así las
cosas, los comentarios que se plantean en este documento, son ensayos académicos
de posibles escenarios, que se pueden descubrir sobre la base de “(…) valoraciones
de expertos, extrapolación (continuación condicional en el futuro de las
perspectivas y tendencias) y un modelo del estado futuro de un proceso o
fenómeno. (…)”(VARELA ALFONSO 1999, pág.80)
En consecuencia, la suma de
las tensiones inherentes entre el compartir y proteger, los grandes datos y sus
retos, los ataques virtuales y sus consecuencias reales, el espionaje y la
inteligencia, así como la disrupción digital, establecen un caldo de cultivo
nutritivo y particularmente generoso para la inseguridad de la información,
toda vez que cada uno de los pronósticos en sí mismo, representa una red
compleja de conversaciones para la acción que favorece la innovación y procesos
de colaboración sobre una realidad abierta e incluyente.
Por tanto, durante el año
2014 comenzará a rasgarse el velo de la era digital con toda su magia y
extensión, para renovar la experiencia de los usuarios y clientes, más allá de
unas condiciones económicas y de acceso favorables, para darle paso a un curso
de lecciones permanentes sobre la inevitabilidad de la falla, como fuente
disruptiva de pensamiento estratégico en seguridad de la información, que se no
se concentra en enseñar, sino en aprender y desaprender.
Referencias
VARELA ALFONSO, O. (1999) Orientaciones pedagógicas contemporáneas.
Cooperativa Editorial Magisterio.
ACKOFF, R. y GREENBERG, D. (2008) Turning learning right side up: putting
education back on track. Pearson Education.
KÁGANER, E., ZAMORA, J. y
SIEBER, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre.
SOARES, S. (2012) Big data
governance. An emerging imperative. MC Press Online.
CISCO (2013) The Zettabyte era. Trends and analysis. Disponible en: http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/VNI_Hyperconnectivity_WP.html (Consultado: 16-11-2013)
MIRÓ LINARES, F. (2012) El cibercrimen. Fenomenología y criminología
de la delincuencia en el ciberespacio. Marcial Pons. Ediciones Jurídicas y
Sociales S.A
COVEY, S. M. R., LINK, G. y
MERRILL, R. (2013) Confianza inteligente.
Editorial Paidos
MCQUIVEY, J. (2013) Digital
disruption. Unleashing the next wave of innovation. Forrester Research.
El presidente Juan Manuel Santos pidió a los Ministros de Defensa, Justicia y TIC crear una comisión de alto nivel para fortalecer la seguridad cibernética en Colombia. Y es que estamos en pañales en el tema de seguridad en la información, estamos expuestos a todo tipo de ataques. En Colombia las empresas están muy vulnerables, y aún no han comrendido la dimensión de la seguridad en la información. Hoy ya no hay fronteras sobre estos temas y necesitamos empezar a crear conciencia.
ResponderEliminar