domingo, 13 de agosto de 2017

Salud digital: Los retos de la inseguridad de la información en el sector salud

Introducción
Las amenazas globales relacionadas con ciberataques que han sido portadas de múltiples medios de comunicación a nivel internacional, han modificado de alguna manera la lectura de la protección de la información y de los negocios, en un contexto cada vez más digitalmente modificado. Las organizaciones empiezan a comprender que la dinámica de los negocios actuales está ampliamente marcada por la conectividad, las integraciones y la generación de datos alrededor de aquellos objetos físicos de interés de los clientes, donde es posible crear nuevas oportunidades y experiencias distintas.

Esta nueva realidad digital pone de manifiesto la necesidad de comprender cómo la tecnología de información es capaz de repensar un escenario, producto o servicio, para conectar una expectativa del cliente, con la posibilidad de alcanzar un nivel de entendimiento diferente de su entorno para anticipar decisiones y satisfacer sus propias necesidades. Los dispositivos actuales como las i-glass, los i-watch, los parches electrónicos, la ropa digital, entre otros, muestran que hay un nuevo lenguaje que construye un imaginario distinto sobre el impacto de la tecnología en la sociedad y las empresas.

Lo anterior, recaba en uno de los retos que el Foro Económico Mundial establece frente al reto de la transformación digital (WEF, 2017) a nivel global, donde la seguridad y la privacidad de la información configuran un desafío y una oportunidad para comprender el nivel de incierto que tanto las personas como las organizaciones quieren comprender y aprovechar, así como mitigar y asegurar cuando se modifica tecnológicamente la realidad donde se opera.

Bajo este entendido, los recientes ataques de WannaCry y Petya, han marcado un punto de quiebre en sectores como el de la salud, donde se han venido haciendo grandes inversiones para automatizar el proceso de atención con los pacientes, con el fin de hacer más eficiente y trazable cada uno de los procedimientos que se aplican y así asegurar la información y el seguimiento de cada una de las tareas de los médicos tanto en hospitales como en clínicas especializadas.

Si hay algo particularmente relevante en este ambiente modificado por los avances tecnológico es el aprendizaje. Por tanto, el sector salud, deberá desarrollar rápidamente una cultura orientada al aprender, al experimentar y probar en estos entornos, para concretar de forma ágil las promesas de valor de las incorporaciones tecnológicas que ha venido haciendo de forma sistemática durante estos últimos años, que le permitan priorizar mejor sus prácticas emergentes de seguridad y ciberseguridad (Perakslis, 2014).

En razón con lo anterior, este documento presenta una breve reflexión sobre el “despertar” que está teniendo la medicina moderna, las “cuarentenas” electrónicas que se han creado y sobremanera el llamado a toda la comunidad médica sobre la responsabilidad de educarse alrededor del nuevo escenario de amenazas que tiene este sector, que demanda incorporar una serie de nuevas prácticas que le permitan mantener la “salud digital” de los hospitales y clínicas, como un nuevo concepto de “salud” que amplía y cuida el bienestar de los pacientes ahora en un entorno digitalmente modificado.

Panorama de amenazas informáticas en el sector salud
Tradicionalmente sectores como la banca, los gobiernos y las grandes superficies han sido afectados directamente por ataques a su infraestructura y procesos de negocio, creando desconcierto e inestabilidad en sus operaciones. Frente a esta realidad, estos sectores han incorporado prácticas internacionales referentes de seguridad y control, que le permiten moverse con relativo margen de acción, habida cuenta que estas configuran un marco general de debido cuidado que limita sus responsabilidades frente a la inevitabilidad de la falla.

En el sector salud, si bien la tecnología de información se ha venido incorporando de forma acelerada, no así las prácticas de protección de la información, creando un imaginario generalizado sobre una seguridad inherente o por defecto en las implementaciones de la infraestructura que se incorpora para dar soporte a los procesos de gestión de las instituciones médicas, temática que termina siendo responsabilidad de los profesionales de tecnología de información.

Eventos recientes relacionados con ataques masivos a nivel internacional, que cobraron múltiples víctimas en el sector salud, revelan que dicho sector ha incorporado tecnologías de información, pero poco de las prácticas propias de la gestión de las TICS. Estos hechos manifiestan un escenario de alta exposición en términos de vulnerabilidades de seguridad y control, no solamente en el contexto de los dispositivos médicos, sino de las interfases que se viene integrando en el ejercicio de sistematización propio del sector (HCCSTF, 2017).

Al igual que en otros sectores, los sistemas de administración de salud deben comprender que cualquier incorporación de tecnología de información en su segmento de negocio, debe responder al reto de una transformación digital, que asistida desde la vista de los ejecutivos de primer nivel, establece un cambio en la manera como se concibe la “atención de los pacientes” y la forma como se configura el concepto de “salud”.

En consecuencia, las amenazas propias de otros sectores de la economía, como son la fuga de información, la pérdida de datos, la suplantación de identidad, la denegación de servicios, la modificación no autorizada de datos, el acceso no autorizado a la infraestructura, el secuestro de datos, el malware elaborado a la medida y los atacantes internos, encuentran en el sector salud, una oportunidad para manifestarse, dado un entorno donde la concientización de la protección de la información en el personal médico es baja, y se encuentra delegada en los profesionales de TI que apoyan desde la infraestructura tecnológica (Ponemon, 2017).

Si esta condición permanece y se afianza en el sector, dada la dinámica actual del mismo, la probabilidad de que se manifiesten “cuarentenas informáticas”, es decir, desconexiones de la red de datos de dispositivos o segmentos de clínicas u hospitales para controlar posibles “pandemias informáticas” que comprometen la operación y sobremanera los datos y salud de los pacientes, estaremos advirtiendo un deterioro de la confianza en la atención de los servicios médicos y una mayor exigencia de los pacientes en el cuidado de su información al usar dispositivos digitalmente modificados.

El cuidado de la “salud digital”. El nuevo reto del sector salud
La medicina desde la antigüedad ha sido una práctica permanente, no solamente por cuidar del estado de bienestar de las personas, sino por contar con un plan preventivo y de monitoreo sistemático, que permita mantener un registro cercano de la evolución del cuidado de las personas.

En este sentido, conforme se fue incorporando tecnología de información y comunicaciones a la práctica de los médicos, el concepto de salud igualmente fue evolucionando, sin que los galenos en su práctica lo hubiesen notado. La agilidad y facilidad para contar con la información de las pruebas diagnósticas, la automatización de los laboratorios clínicos, la sistematización de los procesos administrativos, el concepto de expediente electrónico entre otras cosas, establecieron un nuevo entorno y referente de la dinámica de la medicina, que recaban en algunos aspectos fundamentales y claves como son, entre otros: el tratamiento de información sensible, la transmisión de estos datos por canales inseguros, la cultura de protección de la información y la integración entre dispositivos médicos, las personas y la infraestructura tecnológica.

En este sentido, se pasa del cuidado de la salud física y emocional de un paciente, a proteger y asegurar la “salud digital” de una persona, es decir, la aplicación de los conceptos propios de la práctica de seguridad de la información para “cuidar y salvaguardar” la identidad digital de una persona, en el contexto de la dinámica de la administración de la salud. Un ejercicio de “bienestar extendido”, que no solo cuida de la integridad física y mental de un paciente, sino de la “vida digital” de un ser humano, representada en sus datos y la forma como se le da un adecuado tratamiento (ver figura 1).

Figura 1. Conceptualización de la salud digital

Los médicos y demás profesionales de la salud, debe acelerar su “despertar” de la inercia propia del ejercicio de su destacada práctica, para apropiarse, concientizarse y cumplir con las nuevas exigencias de un entorno cada vez más competitivo y digitalmente modificado. Sin perjuicio que los procedimientos médicos cambien y sea repensados con tecnología, es importante advertir la alta responsabilidad de que tienen los galenos en este nuevo milenio cuando de ordenar la incorporación o implante de dispositivos médicos en las personas se trate, sin mediar la gestión de riesgos correspondiente inherente a uso de esto dispositivos.

Por tanto, las prácticas de gestión de tecnologías de información y comunicaciones, así como la cultura de protección de la información, basada en el ciclo de vida de la información, deberán ser incorporadas rápidamente, para hacer más resistente al sector frente a las amenazas y riesgos propios del aumento de su nivel de densidad digital, es decir creando flujos e interfases de información entre los objetos físicos e infraestructuras tecnológicas, donde información sensible se transmite, sin considerar aspectos claves como la protección de los datos personales y el aseguramiento de los mismos.

Así las cosas, la salud de los pacientes en el contexto actual, no sólo responde a la agilidad y los servicios que éstos puedan derivar de las nuevas propuestas digitales que cambien el paradigma de la atención de los médicos, sino de la forma como se cuide y monitoree la “salud digital” de las personas que saben y confían que su salud física, mental y digital hacen parte de la lectura de su médico de cabecera.

Incorporando prácticas de seguridad y control conocidas en los entornos de la administración de salud
El reciente reporte de la Healthcare Information and Management Systems Society (HIMSS) sobre la ciberseguridad en el sector sanitario en los Estados Unidos de América, ilustra una creciente incorporación de prácticas de seguridad y control en el sector salud, dado el nuevo escenario digital y tecnológicamente modificado, y los frecuentes reportes de brechas de seguridad en hospitales y clínicas a nivel global.

Entre otros temas que indica el mencionado reporte, se pueden observar tendencias que revelan un marcado interés para avanzar en las temáticas de seguridad y control como son las siguientes: (HIMSS, 2017)
  1. Contar con un CISO (Chief Information Security Officer) como parte del apalancamiento de la dinámica de protección de la información sensible del sector.
  2. Contar con un programa de valoración del riesgo del “atacante interno” como una forma de disuadir a los posibles agresores y disminuir aquellas acciones no intencionales que terminen afectando la información de los pacientes.
  3. Adelantar al menos una vez al año una valoración del riesgo de seguridad de la información, así como un entrenamiento de concientización entre todo el personal médico y administrativo de la institución de salud.
  4. Desarrollar pruebas de vulnerabilidades sobre la infraestructura que soporta tanto la gestión administrativa de la institución de salud, focalizado en la “salud digital” de la información de los pacientes, así como de los dispositivos médicos disponibles con los proveedores respectivos.
  5. Incorporar y aplicar marcos de gestión de tecnología de información y seguridad de la información generales (como los ISO, las guías del NIST y COBIT), así como aquellos específicos de la industria como HITRUST (https://hitrustalliance.net/) o HIPAA - Health Insurance Portability and Accountability Act de 1996 (https://www.gpo.gov/fdsys/pkg/CRPT-104hrpt736/pdf/CRPT-104hrpt736.pdf). 
Este panorama habilita un nuevo marco de debido cuidado que las instituciones de salud deben desarrollar, como quiera que no hacerlo, implica arriesgarse a incumplir con las regulaciones que de manera sistemática vienen surgiendo en el sector y lo que es más delicado, perder la confianza de los usuarios de los servicios médicos frente a la protección y cuidado de su bienestar extendido bajo el concepto de “salud digital”, la cual responde a una visión holística del bienestar en el contexto de una sociedad digital como la actual.

En este sentido, se hace imperativo que el sector salud, adopte rápidamente una postura de seguridad y protección de la información acorde con los tiempos actuales y sus riesgos vigentes, que incluya al menos las siguientes prácticas: (Dunlap y Beth, 2017)
  • Definir el gobierno y liderazgo de la práctica de ciberseguridad y seguridad de la información de alcance transversal a la institución.
  • Incrementar la resiliencia digital de las operaciones de la administración de salud, así como de los dispositivos médicos disponibles.
  • Aumentar la apropiación y concientización en el sector de la salud, sobre los retos y riesgos de seguridad y control propios de una práctica médica digitalmente modificada.
  • Diseñar e incorporar mecanismos de seguridad y control para proteger los resultados de la investigación y desarrollo que se hacen en el sector, de los ataques y estrategias de inteligencia o espionaje asistida bien por terceros o pagados por naciones.
  • Compartir información sobre brechas de seguridad, vulnerabilidad y estrategia de mitigación disponibles en el sector, que aumente la capacidad de respuesta y atención de incidentes en el contexto de la salud.
Reflexiones finales
Cuando en 2015 la agencia federal norteamericana de control de alimentos y medicamentos (con su sigla en inglés FDA – Federal Food and Drugs Administration) y el Departamento de Seguridad Nacional con su equipo de atención de emergencias cibernéticas en sistemas de control industrial (en inglés ICS-CERT) alertaron sobre posibilidad de que un atacante pudiese remotamente tener acceso a un equipo de administración de medicación terapéutica como una bomba de infusión y de forma similar en enero de 2017, se advierte sobre la manipulación de la radiofrecuencia de un dispositivo médico electrónico cardiaco implantado (Gordon,  Fairhall y Landman, 2017), la práctica de la salud tradicional, sufre un punto de inflexión que cambia la forma como se concibe la protección de la información de las personas en el contexto de la salud.

De igual forma, el 12 de mayo de 2017, cuando un profesional del servicio de nacional de salud del Reino Unido abre un correo electrónico habilitando la ejecución de un código malicioso que explota una vulnerabilidad conocida en un sistema operativo de Microsoft, denominado “WannaCry”, cifrando los datos de su computador, bloqueando a otros usuarios y expandiéndose por la red de dicho servicio nacional (Clarke y Youngstein, 2017), cambia la manera como la medicina moderna entiende la digitalización de sus procesos y procedimientos, para recabar ahora en nuevas prácticas de aseguramiento de información e infraestructura tecnológica que antes no eran visibles al ejercicio de la salud de los pacientes.

La seguridad de la información, representada en la práctica de protección de la información y controles tanto tecnológicos como procedimentales marcan una nueva frontera en la gestión de la salud en sus diferentes ámbitos. De igual forma, la ciberseguridad empresarial e industrial, recaba de igual forma en este sector, advirtiendo sobre los nuevos riesgos y amenazas que se tienen cuando se habilitan dispositivos médicos terapéuticos que generan interfases y flujos de información, hacia sistemas de información a través de conexiones alámbricas o inalámbricas, creando entornos más vulnerables cuando allí se carecen de las mínimas condiciones de operación confiables requeridas para estos casos.

Así las cosas, el sector sanitario al aumentar su conectividad y digitalización, no solo incrementa las oportunidades para crear inteligencia en el hardware y otros objetos, que permitan cerrar la brecha entre lo digital y el mundo físico (WEF, 2016), sino que desarrolla un nuevo ecosistema digital donde los flujos de información sensible, la medicación electrónica sobre el cuerpo humano y el monitoreo remoto sobre la condición de los pacientes, son la base para conceptualizar un cuidado inteligente y responsable por cada una de las personas.

Bajo este entendido, la conectividad se convierte en un aliado de la promesa de valor digital de la salud y al mismo tiempo un reto de marca mayor, donde la protección de la información de las personas se configura como un activo digital clave para fundamentar la confianza de los clientes del sistema de salud actual y futuro.

Por tanto, ser requiere un “despertar” por parte de los profesionales de la salud en sus diferentes especialidades, para observar y advertir las nuevas realidades de su profesión, donde no solamente los saberes disciplinares son los que hacen la diferencia, sino el ejercicio de construcción transdisciplinar que exige el mundo digital, donde lo que está en juego no es un servicio de prestación de salud tradicional, sino la vida de una persona que ahora está conectada a un ecosistema digital en el cual hay que cuidar no solo su salud física y mental, sino su “salud digital”, entendida desde el cuidado de la persona en su bienestar físico y digital asociado con un dispositivo digitalmente modificado y sus integraciones tecnológicas.

Referencias
Clarke, R. y Youngstein, T. (2017) Cyberattack on Britain’s National Health Service – A wakeu-up call for modern medicine. The New England Journal of Medicine. 1-3. Doi:10.1056/NEJMp1706754.
Dunlap, S. y Beth, L.  (2017) Healthcare cybersecurity is due for a checkup. New Hampshire Business Review. Recuperado de: http://www.nhbr.com/July-21-2017/Healthcare-cybersecurity-is-due-for-a-checkup/
Gordon, W.,  Fairhall, A. y Landman, A. (2017) Threats to Information Security — Public Health Implications. The New England Journal of Medicine. 1-3. Doi: 10.1056/NEJMp1707212
HCCSTF – Healthcare cybersecurity task force (2017) Report on improving cybersecurity in the health care industry. Recuperado de: https://www.phe.gov/Preparedness/planning/CyberTF/Documents/report2017.pdf
HIMSS (2017) 2017 HIMSS Cybersecurity Survey. Survey Report. Recuperado de: http://www.himss.org/2017-himss-cybersecurity-survey 
Perakslis, E. (2014) Cybersecurity in Health Care. The New England Journal of Medicine. 395-397. Doi: 10.1056/NEJMp1404358.
Ponemon (2017) 2017 Cost of Data Breach Study. Global Overview. Benchmark research sponsored by IBM Security. Survey Report. June. Recuperado de: https://databreachcalculator.mybluemix.net/

jueves, 13 de julio de 2017

Fraude digital y cibercrimen ¿Estamos perdiendo la guerra?


“Una cosa nunca es completa en sí misma, sino en relación con lo que le falta”.
Jacques Derridá.
Introducción
En una realidad donde se aceleran los cambios tecnológicos y las tendencias y expectativas se vuelven volátiles e inciertas, las organizaciones se encuentran en una carrera incesante por mantener su posición privilegiada en un segmento de mercado, tratando de “sensar y responder” (Bradley y Nolan, 1998) primero que otros o buscando nuevos horizontes para conquistar “tierras inexploradas”, asumiendo los riesgos que este ejercicio conlleva, como quiera que no hay un mapa concreto del territorio y su construcción tomará tiempo y posiblemente muchas lecciones por aprender (Calvo, 2016).

En este escenario, las organizaciones criminales ha sabido capitalizar rápidamente las condiciones cambiantes del entorno, su capacidad para detectar anticipadamente las nuevas variantes de sus “negocios”, han permitido una evolución rápida adaptación que les permite una movilidad y agilidad, que desconcierta a muchos entes de policía judicial en el mundo.

Esta condición de ductilidad frente a la incertidumbre, hace que las redes delincuenciales, sean capaces de enfrentar la inestabilidad que supone navegar sobre algo que no conocen, mucha veces con temeridad y osadía, para concretar luego estrategias más concretas que los lleven a realizar con mayor tranquilidad, e incluso invisibilidad, sus acciones contrarias al ordenamiento jurídico nacional e internacional.

Frente a esta realidad, la comunidad internacional viene aumentando su capacidad de monitoreo y detección con el fin de leer con mayor claridad las tendencias que las actividades de estos “facinerosos” generan a fin de establecer escenarios que les permitan actuar frente al marco legal y así dar cuenta de los resultados de dichas acciones al margen de la ley.

Esta lucha asimétrica planteada entre “policías y ladrones”, gravita sobre un modelo causa-efecto que asiste las reflexiones de aquellos que generan políticas públicas al respecto. Un paradigma mecánico que se concentra exclusivamente en las prácticas reconocidas y los marcos validados que permiten cierto margen de acción, que supone un contexto conocido y donde el Estado en su función preponderante tiene la capacidad de influir, disciplinar y castigar.

Así las cosas, cuando el marco de acción del analista o de los cuerpos de acción policial se mantienen bajo los paradigmas conocidos y probados, pocas oportunidades para pensar diferente se van a plantear y las propuestas o soluciones que se generen estarán rodeadas de las mismas condiciones que los estándares sugieren. Por lo tanto, su capacidad de “sorprenderse con la realidad”, de “pensar en el margen de las hojas” quedará limitada, abriendo espacios para que los delincuentes capturen “mayor valor” en sus acciones, creando la inestabilidad que compromete la confianza de los ciudadanos.

En consecuencia, la guerra que se libra a nivel internacional frente a la delincuencia y el fraude, ahora en el contexto digital, requiere una revisión conceptual, habida cuenta que los métodos y técnicas que los “amigos de lo ajeno” desarrollan, no solo llevan implicaciones de comportamiento y conocimiento concreto de la realidad que quieren conquistar, sino la apertura y capacidad de reinventarse en cada instante para lograr el factor sorpresa que destruye la zona cómoda de los analista y revela la limitada capacidad de anticipar, requerida en esta nueva realidad digital, por parte de los entes policiales y organismos multilaterales que asisten estas actividades.

Observar el sistema, no es entender el sistema
Cada vez que una analista de fraude o un investigador policial se enfrenta al reto de la delincuencia transnacional y digital, lo hace desde sus conocimientos y reflexiones previas, un ejercicio que recaba en sus supuestos propios de la realidad, los cuales son resultados de sus procesos internos que usa para construir su percepción o cognición particular (Vanderstraeten, 2001).

Por lo tanto, la capacidad de observación y distinción de rarezas, inconsistencias y contradicciones (Charan, 2015) que debe desarrollar un “agente de la ley y el orden” en un escenario asimétrico como el actual, supone mantener una visión ampliada de su realidad, que implica cuestionar sus supuestos de base, para quebrar sus lentes actuales con los cuales se enfrenta al mundo y así tener mayor oportunidad para ver lo que los “bandidos digitales” pueden llegar a ver.

Muchas veces los entrenamientos y capacitaciones sobre seguridad y control, que generalmente están fundados en currículos establecidos, competencias requeridas y didácticas de repetición y memorización (Cano, 2016), a los cuales asisten los analistas de fraude y de la delincuencia digital, establecen un marco de actuación que permiten una participación conocida y estándar de estos profesionales, que da cuenta de las actividades naturales y propias de los procedimientos criminalísticos.

En consecuencia, la necesidad de estar ajustados a un protocolo particular y al mismo tiempo comprender la inestabilidad que provoca la acción criminal, enfrenta a los profesionales antifraude y entes del estado, a un dilema de acción que compromete su margen de actuación habida cuenta que, su sesgo particular de orden y estructura, entra en tensión con la entropía, volatilidad y ambigüedad que subyace en una actividad criminal, la cual buscarán encuadrar dentro de los patrones de razonamiento estructurales que estos agentes de la ley tienen en su formación.

Lo anterior, demanda desarrollar un cambio de aproximación conceptual y cognitiva, que invite no a observar la acción criminal como algo puntal con sus resultados, sino a construir y revelar el sistema que lo contiene. Esto es, establecer las redes que conectan los hechos, lo que necesariamente demanda superar la vista lineal de una investigación, para armonizar los contrarios inherentes a las propuestas de los criminales: lo regular y lo irregular, lo sincrónico y lo asincrónico, lo ofensivo y lo defensivo, lo global y lo local.

Esta aproximación, que si bien reta los procedimientos actuales de los agentes del orden, establece una posibilidad de actuación enriquecida como quiera que no es solamente conocer los alcances de una acción delictiva digital, sino entender y develar el flujo que se genera entre la legalidad y la ilegalidad, como una vista extendida del actuar del delincuente que expone las distinciones y detalles que previamente ha elaborado para concretar su acción contraria al orden.

Disuadir y enfrentar, distinciones complementarias en la lucha contra el crimen y el fraude digital
Si se logra concretar el entendimiento de la armonía de los contrarios en el actual de los profesionales antifraude y especialistas en crimen digital, es posible cambiar las acciones que se emprenden para comprender y anticipar las propuestas de los bandidos en un entorno digitalmente modificado.

El ciberespacio, como creación humana y maleable, está en constante cambio y requiere de mentes abiertas para poder observar las posibilidades que se pueden plantear tanto para movilizar ideas novedosas, como para consolidar conductas abiertamente contrarias a la ley (Fischerkeller y Harknett, 2017). Este escenario, ausente de gobernabilidad central y resiliente a situaciones adversas, funda un entorno natural para que aquellos con mente disruptiva, pasión y conocimiento establezcan reglas novedosas que se contagien y creen tendencias que muchos no fueron capaz de movilizar.

Si lo anterior es correcto, las tendencias de la cibercriminalidad y el fraude abundan en acciones estratégicamente dirigidas y algunas veces inesperadamente logradas, donde el sabotaje, el espionaje y la corrupción (ídem) son parte del discurso que estos conglomerados delincuenciales configuran, para crear escenarios que comprometan la estabilidad de la sociedad y creen el incierto que destruye la confianza de los ciudadanos respecto de sus posibilidades en un entorno como el ciberespacio.

Con el sabotaje, se concretan acciones que debilitan o destruyen los logros económicos y afectan la infraestructura clave de las organizaciones o naciones. Con el espionaje incursionan dentro de los linderos de las empresas o naciones para extraer información sensible para desarrollar sus acciones criminales y con la corrupción debilitan la autoridad y el buen juicio sobre las decisiones, capturando la soberanía de la acción empresarial o nacional, despejando el terreno para actuar con mayor libertad y menos supervisión.

Si entendemos que el escenario de actuación de los criminales no puede ser objetivamente representado dentro del contexto social (Vanderstraeten, 2001)  y que por lo tanto, cada analista o profesional antifraude o especialista en criminalidad digital no puede ser entrenado para distinguir con claridad estas actuaciones, es claro que los sólo podemos observar y distinguir tanto como la capacidad de comprensión colectiva que podamos construir. Esto es, desarrollar una ventaja estratégica superior que disuada a los contrarios en su propio terreno y deconstruya la acción de la fuerza y el control estándar, frente a lo que esperan los delincuentes.

La disuasión como estrategia de lucha contra la delincuencia establece un referente práctico que debe ser creíble y validado por el escenario social donde se construye. Disuadir al atacante informático o a un defraudador empresarial, requiere crear un entorno de imaginarios sociales reforzados desde las creencias, valores y actitudes, que confirmen que la organización o la nación conocen sus métodos y sus acciones opacas, por lo cual cualquier movimiento o sugerencia en este sentido tendrá un reflector que alerte sobre aquel actuar que puede motivar una acción contraria que deteriore la confianza imperfecta (Cano, 2016b).

Es claro que la delincuencia cuenta con recursos ilimitados para crear contextos de contrainteligencia que son capaces de envolver a los investigadores forenses o analistas de fraude más expertos, para confundirlos y llevarlos fuera de su alcance, sin embargo, en la medida que el tejido social se haga más resistente a las sugerencias de la delincuencia, habrá menos espacio para concretar labores tan elaboradas como operaciones totalmente normales y lícitas, que ocultan una estrategia de corrupción que pasa desapercibida frente al más escéptico de los profesionales antifraude o especialista en crimen digital, sin que los controles vigentes se enteren de dicha transacción.

Por tanto, la disuasión combinada con una estrategia de controles internos debidamente probados y articulados en los puntos de mayor riesgo (ver figura 1), establece un continuo de monitoreo y revisión que define patrones y condiciones que se pueden cambiar frente al posible infractor, como quiera que los controles no van a ser estáticos, así como sus niveles de sensibilidad para generar las alertas. Un control dinámico genera mayor incertidumbre para el agresor.


Figura 1. Disuadir y enfrentar. Conceptos complementarios

Entre mayor inestabilidad pueda generar el sistema de seguridad y control, frente a la forma, sensibilidad y alcance de sus acciones, esto es, ajustes dinámicos de fuentes de verificación, inclusión de observadores de disciplinas distintas, cambios de patrones en la validación y control previsto y un permanente aprendizaje/desprendizaje de las tendencias de los comportamientos de las transacciones y las personas, mayor será la variedad que los analistas van a tener para comprender los siguientes movimientos de los atacantes o defraudadores.

En este sentido, los avances tecnológicos establecen alternativas de interés basadas en algoritmos de aprendizaje profundo (Marr, 2016), que ya no solamente correlacionan información, sino que dan pautas y pistas de siguientes movimientos, con el fin de despertar la imaginación de los analistas y especialistas en fraude y crimen digital, para entrar en el mismo territorio de los atacantes y delincuentes, donde es posible observar y distinguir posibilidades de acción más que probabilidades de éxito de las mismas.

Amén de lo anterior, el disuadir y el enfrentar son parte del continuo de opciones que los analistas y entes de policía judicial deben comprender, pues al final del día no es doblegar al adversario lo que se requiere, es concretar una posición privilegiada en el mismo entorno donde este opera, para poder actuar de forma efectiva, es decir, disuadirlo de la acción que planea o ejecuta, identificando y superando las causas raíces que motivan y habilitan dicho actuar.

Reflexiones finales
Cuando observamos los esfuerzos en la lucha contra el fraude y la delincuencia digital desde el paradigma causa-efecto, la sensación que se obtiene es que estamos perdiendo la guerra y que el enemigo cada vez se fortalece y mejora sus técnicas para sorprender a la sociedad de formas inesperadas.

Sin embargo, cada vez más los entes de policía judicial comprenden que en un escenario de confrontación donde las capacidades del enemigo no se conocen, donde este puede mimetizarse de formas amigables e inciertas, incluso a la vista de los mismos especialistas, se hace necesario superar la vista mecanicista del entendimiento de la delincuencia y el fraude en el contexto digital y migrar hacia un entendimiento más relacional que ofrezca pistas sobre el escenario donde actúan y crean sus propios modelos.

En consecuencia, crear una estrategia de disuasión y control que no responda a un parámetro determinado, sino a una evolución de “sensar y responder”, que habilite una rápida adaptación de los saberes previos de los analistas y especialistas en fraude y crímenes digitales, es una exigencia propia del contexto actual, habida cuenta que la inestabilidad del territorio donde opera ahora la delincuencia, exige mayores niveles de anticipación y acción que balancee el tablero de operaciones entre los participantes: policías y ladrones.

Para ello, la información se convierte en un activo estratégico (Bebber, 2017) para confrontar aquello que se conoce y crear marcos de actuación que anticipen los movimientos de la criminalidad, y así tratar de sorprenderla en su propio territorio, superando el enfrentamiento estéril y desgastador entre buenos y malos.

El reto por tanto consiste en armonizar las posturas inestables de los asaltantes y estafadores digitales, dentro de escenarios prospectivos y disruptivos que se puedan crear con los nuevos adelantos tecnológicos, que permitan ver de forma distinta la evolución de una confrontación que continúa desde la antigüedad, donde el forajido es capaz de pensar distinto y sin restricciones para llevar a cabo sus acciones criminales, y el analista o agente del orden, sólo puede actuar dentro de los cánones de que le dicta el ordenamiento jurídico establecido.

Así las cosas, entender este enfrentamiento irregular, inestable, asincrónico, ofensivo y asimétrico donde los medios se convierten en los fines, demanda demarcar un nuevo terreno de análisis y acción, donde los observadores y agentes (analistas y delincuentes) son capaces de reinterpretar sus propias actuaciones de forma independiente, con el fin de mantener un mínimo de paranoia bien administrada como soporte fundamental de la confianza imperfecta que cada empleado y ciudadano asume, al ser partícipe de una realidad volátil, incierta, compleja y ambigua.

Referencias
Bebber, R. (2017) Treating information as a strategic resource to win the “information war”. Orbis. Foreign Policy Research Institute. Summer. Doi: 10.1016/j.orbis.2017.05.007. 394-403
Bradley, S. y Nolan, R. (Eds) (1998) Sense and respond: capturing value in the network era. USA: Harvard Business School Press.
Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
Cano, J. (2016) La educación en seguridad de la información. Reflexiones pedagógicas desde el pensamiento de sistemas. Memorias 3er Simposio Internacional en “Temas y problemas de Investigación en Educación: Complejidad y Escenarios para la Paz”. Universidad Santo Tomás. Bogotá, Colombia. Recuperado de: http://soda.ustadistancia.edu.co/enlinea/congreso/congresoedu/2%20Pedagogia%20y%20dida%B4ctica/2%209%20LA%20EDUCACION%20EN%20SEGURIDAD%20DE%20LA%20INFORMACION.pdf
Cano, J. (2016b) Protección de la información. Un ejercicio de confianza imperfecta. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2016/09/proteccion-de-la-informacion-un.html
Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.
Fischerkeller, M. y Harknett, R. (2017) Deterrence is not credible strategy for cyberspace. Orbis. Foreign Policy Research Institute. Summer. Doi: 10.1016/j.orbis.2017.05.003. 381-393
Marr, B. (2016) What Is The Difference Between Deep Learning, Machine Learning and AI? Forbes. Recuperado de: https://www.forbes.com/sites/bernardmarr/2016/12/08/what-is-the-difference-between-deep-learning-machine-learning-and-ai
Vanderstraeten, R. (2001) Observing systems: a cybernetic perspective on system/environmental relations. Journal for theory of social behavior. 31, 3. 297-311.

jueves, 6 de abril de 2017

10 principios para liderar la próxima revolución industrial. Una lectura desde la ciberseguridad y la seguridad de la información.

La próxima revolución industrial está a la vista y todos aquellos que no se han anticipado para este evento estarán buscando respuestas en aguas revueltas y situaciones contradictorias, condiciones que no los dejarán leer el entorno con la tranquilidad y claridad que se requiere. Sobre este particular los consultores Schwieters y Moritz (2017) han establecido los 10 principios para liderar la próxima revolución industrial, como una carta de navegación ejecutiva para enfrentar la incertidumbre y la inestabilidad del entorno en los próximos años de manera sistemática y rentable.

Cada uno de estos principios (ver figura 1), leídos desde los retos de la ciberseguridad y la seguridad de la información, dan cuenta de la necesidad de un esfuerzo compartido entre la función de resiliencia organizacional y la de aseguramiento de la información, y no como entes aislados de la dinámica empresarial, sino como engranajes aceitados que anticipan y defienden los planes estratégicos de la organización, a pesar de los inciertos que se puedan presentar.

Figura 1. 10 principios y su lectura desde la ciberseguridad y la seguridad de la información

Principio No. 1 Repiense su modelo de negocio
Este primer pilar informa sobre la necesidad de aumentar la flexibilidad y agilidad de las lecturas del ambiente de negocio, como quiera que no hacerlo o no anticipar las nuevas discontinuidades tecnológicas, implica comprometer la viabilidad misma de la empresa. Identificar nuevas fuentes de valor para los clientes, descubrir nuevos patrones de comportamiento y experiencias útiles fundan los nuevos normales que serán parte de las exigencias para las empresas de la próxima revolución industrial.

Las capacidades del negocio no son ni serán las misma en este nuevo contexto, por tanto la información como fundamento de la interacción y flujo de procesos emergentes, será un activo fundamental que deberá ser cuidado y entendido en el contexto del ecosistema digital naciente, habida cuenta que parte del valor percibido por los nuevos clientes, será la confianza necesaria en los productos y servicios digitalmente modificados, para concretar el cambio de percepción que se espera en la realidad de las personas impactadas.

Principio No.2 Construya su estrategia alrededor de plataformas
De acuerdo con los consultores una plataforma es “una combinación de estándares y sistemas interoperables, que crean una base tecnológica fundada en el paradigma “conecte y juegue” en la que una amplia gama de proveedores y clientes pueden interactuar sin problemas con la misma colección de hardware, software y servicios” (Schwieters y Moritz, 2017). Entender que la organización abandona su tradicional cadena de valor propia de la antigua revolución industrial, anticipa las nuevas reflexiones que los ejecutivos plantean alrededor de la nueva propuesta de valor que se construye desde la lectura de los nuevos ecosistemas digitales basados en infraestructuras tecnológicas ágiles y flexibles.

En este nuevo escenario la ciberseguridad y la seguridad de la información, no sólo deberán articular sus tradicionales estrategias de gestión de accesos, sino diseñar actividades de monitoreo y aprendizaje profundo de los comportamientos de los participantes del ecosistema, como una forma de mantener una defensa activa de este, es decir, una plataforma embebida que cruza la dinámica de clientes y proveedores, que se afina en cada momento, se ajusta, advierte y pronostica movimientos inesperados de los participantes, con el fin de motivar intervenciones cuidadosa y preventivas, que más que limitar, mantienen una postura de aprendizaje que suma en la experiencia del usuario final.

Principio No.3 Diseñe para los clientes
Las nuevas plataformas habilitan una interconexión más fluida entre productores y consumidores. Los datos de las actividades que los usuarios finales realizan sobre estas plataformas establecen los insumos base requeridos para modelar nuevas experiencias que puedan ser transformadoras de la práctica actual de cada uno de ellos. Esta nueva lectura de patrones y aprendizaje permanente, traduce deseos y expectativas en relaciones, contactos y productos que cambian la manera de hacer las cosas para comunidades específicas en la sociedad.

Este fundamento le da un mandato a las prácticas y marcos de ciberseguridad y seguridad de la información, el control de acceso es la puerta de entrada al ecosistema digital, pero es el control de uso, basado en la confianza digital, es lo que hace la diferencia en las interacciones de los participantes de dicho ecosistema. Esto es, tanto proveedores clientes se hacen responsables de la forma como la información fluye y las capacidades que se pueden generar basado en la lectura de los comportamientos y experiencias de aquellos que se benefician de las nuevas propuestas de negocio. Lo anterior se funda en una ética digital, que no es negociable para aquellos que quieran hacer parte del ecosistema digital que se construye.

Principio No. 4 Aumente su visión tecnológica
Este principio implica comprender que significa ser digital. No es comprender y dominar los aspectos técnicos de las nuevas discontinuidades tecnológicas (que claramente se debe hacer los equipos destinados para tal fin), sino habilitar una capacidad de reflexión e innovación que permitan conectar el mundo físico con las posibilidades digitales. Un ejercicio aprendizaje colaborativo, que desconecta la realidad vigente y la integra de forma inédita con posibilidades tecnológicas antes inexploradas, teniendo en cuenta los riesgos emergentes en este nuevo mundo relacionados con la privacidad y los ciberataques (Waslo, Lewis, Hajj y Carton, 2017).

Aumentar la capacidad de una lectura digital del entorno, es aumentar la visual de riesgos y amenazas emergentes, con el fin de tomar riesgos inteligentes, que considerando las exigencias del modelo de negocio, pueda adelantar decisiones informadas en una realidad de propuestas, productos y servicios inestables, que cambian en cada momento los supuestos base para concretar posturas resilientes y confiables que aseguren una postura digitalmente responsable tanto para empresa como para los proveedores, productores y clientes.

Principio No. 5 Innove rápida y abiertamente
Esta declaración establece una nueva realidad para las empresas que quieren posicionarse en el escenario de la nueva revolución industrial. Un cambio de la mentalidad sobre el error, los procesos de producción y la forma de desplegar sus productos o servicios. Un cambio que exige comprender el error como parte del proceso, el cual se articula en la práctica de prototipos y simulaciones, para crear escenarios posibles donde es viable anticipar riesgos y fallas, que abren a situaciones que cambian el statu quo de la industria. Algunos ejemplos: la inteligencia artificial, máquinas autónomas y la cadena bloques.

En seguridad y ciberseguridad este mandato profundiza la práctica ya desarrollada de prototipos y simulaciones, el fundamento de las pruebas y escenarios controlados en laboratorios de prácticas, que ahora se convierte en una fábrica permanente de aprendizajes que asistidas por tecnologías inteligentes, es posible configurar y modificar lecturas de las amenazas existentes, para desarrollar defensas contra asimetrías aún inexistentes, que dan cuenta de una postura resiliente y confiable de la organización, sin perjuicio que la inevitabilidad de la falla concrete una nueva lección aprendida para la empresa y sus relaciones en el ecosistema digital.

Principio No. 6 Aprenda más de sus datos
Reconocer patrones, generar nuevos entendimientos y descubrir nuevas tendencias permite a las empresas hacer elecciones más acertadas y mantenerse avanzando al mismo tiempo. Este principio es una apuesta por un uso estratégico de los datos, de los comportamientos y expectativas de los participantes del ecosistema digital del cual hace parte la corporación. Una práctica que rompe los commodities creados con información, para habilitar nuevos puntos de vista que desconectan la realidad, conectan las nuevas tendencias y crean ganancias teóricas que permiten una vista distinta del entorno.

En ciberseguridad y seguridad de la información la lectura no es distinta. Aprender de los datos es lo que estas dos temáticas deben hacer de forma decidida, no solamente para saber qué ocurre y cómo ocurren los eventos, sino para crear capacidades distintivas de defensa activa, que permita a la organización moverse con mayor claridad en entornos turbulentos y propensos a los riesgos que afecten la información, capitalizando los eventos desafortunados como lecciones aprendidas, que permitan crear escenarios simulados avanzados que ilustren nuevos patrones resilientes en la organización y sus procesos.

Principio No. 7 Adopte modelos de financiación innovadores
Las organizaciones que desean avanzar con celeridad en la próxima revolución industrial deben asegurar estrategias de financiación con retornos de corto y largo plazo, motivando ganancias tempranas basados en modelos de colaboración global y adoptando modalidades de pago, con baja intermediación basada en la tecnología de “cadena de bloques”, con el fin de poder aumentar rápidamente el impacto de sus productos y servicios en comunidades específicas, haciendo uso eficiente de las relaciones creadas a través del ecosistema capitalizando el valor entre empresas y compartiendo el mismo con sus clientes.

En ciberseguridad y seguridad de la información, la estrategia de tercerización y capitalización de infraestructura eficiente y efectiva de capacidades distintivas de anticipación y prevención, se convierte en una forma de fortalecer una postura de seguridad y ciberseguridad concreta, que funda un perímetro de seguridad y control, ya no basado en inversión de infraestructura propia, sino en productos y servicios digital e inteligentemente modificados, que tienen en los registros y sensores instalados, la lectura del umbral de riesgo permitido por la empresa y sus activos digitales más relevantes en el desarrollo de sus actividades de negocio.

Principio No. 8 Enfoque en el propósito, no en el producto
Este pilar recuerda a las organizaciones las razones por la cuales existe, aquella forma particular de atraer a los clientes, esa forma distinta y única por la cual todos se van a acordar de su empresa cuando ella ya no exista. El propósito es la esencia de la promesa de valor, ese cambio de percepción único y excepcional que la corporación concreta en su actuar en el entorno, que le da sentido a su participación en un entorno abierto y competitivo que definen los ecosistemas digitales.

En lectura de la ciberseguridad y la seguridad de la información este fundamento responde al sueño, a la noticia del futuro que define el derrotero de acciones de estos dos conceptos. Es la motivación por el logro de operaciones y acciones resilientes de la empresa, que permiten un flujo de información confiable, que cuida de las expectativas de los clientes y que custodia el valor esta genera para la empresa. El reto al final no es incorporara capacidades claves de anticipación, defensa y respuesta, sino crear el entorno y ecosistema de seguridad que mantenga la promesa de valor de la empresa aun en situaciones de riesgos y amenazas materializados.

Principio No. 9 Asegure y proteja los datos (sea confiable)
Este principio está directamente relacionado con los temas de seguridad y control. Es la apuesta por el concepto de monitoreo y acción inmediata, que implica aprender, destacar y desarrollar patrones de comportamiento, que incrementen la confiabilidad de la plataforma de tal manera, que los diferentes actores saben que las posibles desviaciones que se puedan generar serán alertadas y manifestadas para tomar los correctivos, no solo por la empresa, sino por todos los participantes del ecosistema.

Este principio refleja el concepto de una seguridad colectiva, que comparte información de eventos adversos en el entorno, para aumentar la capacidad de respuesta no de uno de los participantes, sino de todo el ecosistema con el fin de crear una postura de seguridad y control compartida que da cuenta de la responsabilidad digital empresarial y personal, como fundamento de los comportamientos legítimos y transparentes que se deben presentar en las interacciones previstas en dicho ecosistema digital.

Principio No. 10 Humanice antes que automatice
Este principio recaba en el respeto por la persona, por lo que ella significa y sus elecciones que hace día a día. Si bien la tecnología que se incorpora hará más eficiente y efectivo muchos procesos, creando contexto de experiencias distintas y novedosas, es claro que lo más distintivo de las personas más que su capacidad para resolver problemas o lograr resultados, es su empatía, juicio intuitivo y autenticidad, características que no podemos pronosticar o predecir de antemano.

En este sentido, en ciberseguridad y seguridad de la información, siempre habrá espacio para las heurísticas y reflexiones humanas, que considerando aspectos propios de las interacciones entre comunidades, personas, atacantes o experiencias personales, son capaces de superar los análisis más sofisticados de sistemas o tecnologías inteligentes. La suspicacia, la sagacidad, la tolerancia al error y al riesgo, la complejidad del entorno y sus propias ambigüedades, hacen del analista de seguridad, un mundo de respuestas a preguntas que aún no surgen y de interrogantes a situaciones que aún no ocurren.

Reflexiones finales
Estos 10 principios y sus aplicaciones en el contexto de la ciberseguridad y la seguridad de la información, establecen una hoja de ruta de transformación de la práctica de seguridad y control que detalla las reinvenciones y reconfiguraciones que se deben revelar en los linderos actuales de los estándares y buenas prácticas de resiliencia y aseguramiento, como quiera que no hacerlo implica convertir a estos dos conceptos claves del nuevo milenio, en fuentes de roces e inflexibilidad empresarial, que marginen a las organizaciones de las grandes oportunidades y desafíos que se plantean en la actualidad y en el futuro, bajo la mirada atenta de una sociedad digitalmente modificada. 

Referencias
Schwieters, N. y Moritz, B. (2017) 10 Principles for Leading the Next Industrial Revolution. Strategy+Business. Marzo. Recuperado de: https://www.strategy-business.com/article/10-Principles-for-Leading-the-Next-Industrial-Revolution  
Waslo, R., Lewis, T., Hajj, R. y Carton, R. (2017) Industry 4.0 and Cybersecurity. Managing risk in an age of connected production. Deloitte University. Marzo. Recuperado de: https://dupress.deloitte.com/dup-us-en/focus/industry-4-0/cybersecurity-managing-risk-in-age-of-connected-production.html

lunes, 20 de marzo de 2017

Riesgos y seguridad de la información. Una lectura desde las ciencias sociales y las reflexiones sistémicas

Introducción
Por más de cincuenta años se han explorado respuestas al reto de la protección de la información desde la perspectiva técnica, técnico-social, matemático formal, entre otras, las cuales han ofrecido vistas particularmente interesantes, motivando reflexiones que han sido capitalizadas en productos o servicios que hoy son parte integral de las prácticas de las organizaciones modernas.

Este ejercicio de la protección de la información, demanda no sólo el conocimiento claro de los comportamientos de los individuos y sus prácticas, sino el reconocimiento de su perfil de riesgos, del entendimiento de los inciertos, ambigüedad, complejidad e historia personal que subyace en la experiencia de las personas, como quiera que es allí donde la acción final de control o aseguramiento tiene el asidero de la práctica que se tiene.

Bajo este entendimiento, se hace necesario recurrir a las ciencias sociales y las reflexiones sistémicas, para abordar la realidad del riesgo, desde un observador externo que reconoce un entorno y la dinámica de las relaciones que las personas establecen frente a la experiencia de lo incierto e inestable, así como desde un observador interno, que asume la complejidad del entorno y las decisiones que debe tomar un individuo en el ejercicio de superar una situación ambigua o contradictoria.

Así las cosas, establecer un marco de protección de la información basado en riesgos, demanda una lectura de doble vía desde el entorno al individuo y viceversa, de tal forma que se pueda balancear las exigencias propias de la dinámica de la persona frente a un entorno inestable, con el fin de que tome las decisiones necesarias y suficientes para estar concentrado en lo que puede ser y no, en lo que no ha sucedido (Carmen, 2015), y así superar el dilema de control (Espejo y Reyes, 2016) que se plantea cuando no tiene la variedad suficiente para dar cuenta de la acción que debe tomar.

Proteger la información en el escenario de un mundo volátil, incierto, complejo y ambiguo, donde cada vez hay menos oportunidad para mantener secretos o información confidencial, implica explorar no solamente las buenas prácticas actuales y estándares de la industria, sino recabar en el imaginario de las personas y sus percepciones particulares de los riesgos frente a la información, como una forma de revelar la esencia de las decisiones que ellas toman para salvaguardarla.

En este contexto, la contraposición entre riesgo y seguridad, establece una vista complementaria que no busca opacar o resaltar alguna de ellas, sino explorar los puntos de conexión existentes en el escenario particular de las decisiones de las personas frente al tratamiento de la información y cómo en este reto de comprensión de relaciones circulares, es posible establecer un marco de acción que oriente a los individuos para superar la esencia misma de la venta de los temas de seguridad basado en el miedo, las dudas y la incertidumbre.

Por tanto, este documento explora un marco conceptual de tratamiento de la información fundamentada en las ciencias sociales y las perspectivas sistémicas, que conecte la realidad del riesgo con los retos de las seguridad y control, de tal forma que ofrezca orientaciones de actuación para los individuos con el fin de habilitar una toma de decisiones situada, aún en escenarios inciertos, complejos y ambiguos.

Recreando el concepto de riesgo. Una revisión desde los estudios sociales
El estudio del riesgo en el escenario de la protección de la información se ha conceptualizado con una vista negativa, como toda situación o acción contraria que puede comprometer alguna de las características claves de la seguridad de la información: confidencialidad, integridad y disponibilidad, generando impacto adverso sobre los intereses personales o empresariales que representa ese particular conjunto de datos procesados.

Basado en este entendimiento, las personas y las organizaciones crearon un imaginario de prevención y advertencia sobre esas situaciones, los cuales hicieron carrera con marcada velocidad en las prácticas de seguridad y control donde el control de acceso, se configura como la práctica de restricción natural para determinar quiénes pueden o no tener conocimiento de una información particular. Estas restricciones responden a declaraciones de los dueños de la información quienes definen como base la tupla: usuario, acción, objeto, que delinea quién puede acceder, bajo que acción: lectura, escritura, modificación y finalmente el componente autorizado a ser afectado: archivo, base de datos, registro, etc.

La violación de las reglas definidas por el control acceso, establecen un atentado directo a la protección de la información, como quiera que cada regla definida corresponde a una forma de disminuir el incierto sobre condiciones claves que se deben cuidar sobre una información específica, lo que en últimas, custodia un interés particular de la organización respecto de los impactos de su revelación o exposición fuera de los límites definidos por la empresa.

Cuando leemos el riesgo desde la orilla de los científicos sociales comprendemos que esta realidad es dependiente del contexto de las personas, cuya valoración positiva o negativa, estará mediada por la experiencia particular de un individuo o conjunto de personas, con el fin de tomar las acciones más adecuadas al medio donde se encuentran (Luhmann, 2006). En este sentido, la historia de la persona, la ambigüedad, la incertidumbre y la complejidad definen el marco general donde el individuo configura su nivel de exposición para establecer que tan tranquilo o inquieto se puede sentir respecto de una situación particular.

La certeza es un estado mental subjetivo (López-Barajas, 2009), que está cimentado sobre conocimientos y experiencias previas, que fundan la forma como una persona entiende una situación particular con el fin de adjudicarle un calificativo de exposición o no, el cual por lo general se encuentra asociado con una brecha de información y saber. Mientras esta brecha sea mayor, mayor será su percepción de incierto e incapacidad de manejar con lo que conoce, creando un dilema de control respecto de su flexibilidad para enfrentar la situación bajo evaluación.

En este escenario, la protección de la información no sólo deberá estar asociado con un mecanismo de control de acceso, que busca disminuir o superar el dilema de control (Espejo y Reyes, 2016), sino con el contexto donde opera la persona, comprendiendo la situación que supera sus saberes y las variables del entorno que generan ambigüedad e incertidumbre para tomar la decisión que se requiere.

Alineando el contexto con las prácticas de seguridad y control
Si bien es claro que por lo general las personas son responsables por el manejo de tareas que son inherentemente más complejas que su propia capacidad para distinguir y actuar, esto es lo que hace retador cada momento de ellas en las organizaciones. En este sentido, muchas de las actividades requieren el apoyo de otros individuos para que se hagan realidad, lo que necesariamente implica un aumento de la variedad y del espectro de posibilidades que le permitan decidir sobre una situación en particular.

Cuando en el ejercicio de protección de la información, las buenas prácticas y estándares no son suficientes para actuar en consecuencia, se entra en el escenario de la incertidumbre, donde se experimenta el estado de indeterminación frente a una causa y sus efectos, que lleva a interpretaciones legítimas de las personas frente significados socialmente aceptados, los cuales son conceptualizados en la historia personal particular basada en momentos e impactos semejantes (Rosa, Renn y McCright, 2014).

Para lograr una alineación respecto de las prácticas y las inestabilidades del contexto en el ejercicio de asegurar la información, es necesario revelar los supuestos e imaginarios de la seguridad de la información en los individuos, para luego efectuar las interpretaciones ajustadas con las expectativas requeridas por la organización. En este sentido, si no posible determinar un estado futuro de una acción, habrá que focalizar la acción más en aquello que puede ser y no en algo que no ha pasado, con el fin de procurar un cierre de la brecha informacional y de saberes que está en juego y motivar una acción informada y ajustada a aquellos estados relevantes que la empresa ha fijado como válidos.

Lo anterior supone el desarrollo de unas capacidades dinámicas (Teece, Peteraf y Leih, 2016) en los individuos, que les permita entre otros aspectos, detección proactiva para crear hipótesis sobre las implicaciones futuras de los eventos y tendencias observadas; acción informada, que entiende la brecha de saber e información para movilizar su actuación y desaprendizaje permanente, que considerando los saberes previos, es capaz de conectar con las inestabilidades del entorno.

En esta línea, la seguridad de la información no se asume con una declaración cierta y estática, sino como un cuerpo de conocimiento que evoluciona con el entorno, el cual se reconfigura en cada instante en la dinámica de la protección de la información, mediada por las capacidades dinámicas que deben ser desarrolladas en los individuos, habida cuenta que cada nueva situación incierta revela nuevas oportunidades para concretar nuevos espacios de conocimiento que permitan una protección ajustada a los escenarios inciertos de las empresas.

El ejercicio de alineación del contexto con las prácticas, no supone acciones exclusivamente de restricción para aumentar las certezas, sino un ejercicio de amplificación de la variedad existente, como quiera que se requiere alcanzar una estabilidad dinámica en un entorno particular y relevante que permite colaborar con otros, para asumir las diferentes expresiones de la complejidad que supone proteger la información en un entorno cambiante y con discontinuidades tecnológicas permanentes (Espejo y Reyes, 2016).

Esto es, desarrollar una postura sistémica de la realidad, que reconoce que el mapa que se ha construido desde los supuestos y creencias, donde se validan las decisiones humanas, es una imagen borrosa e incompleta del territorio. Lo anterior supone descubrir en cada momento, aspectos complementarios de las interpretaciones efectuadas, reconociendo que no se tiene la variedad requerida o conocimientos necesarios para abordar una situación particular y por tanto, reconocer que no se sabe, es la experiencia más valiosa que se puede experimentar para poder “desaprender” y descubrir oportunidades inexploradas.

Un marco conceptual para el tratamiento de la información. Aportes desde las ciencias sociales y las reflexiones sistémicas
Para plantea un marco de acción para el tratamiento de la información, en un escenario volátil e incierto, es necesario comprender que las partes interesadas en proteger la información no son perfectas y que harán su mejor esfuerzo para concretar un nivel de exposición acordado, sin perjuicio de los posibles eventos adversos que se pueden presentar por efectos de la inevitabilidad de la falla.

Esto supone entender que riesgo y seguridad son un continuo de experiencias de confianza imperfecta, una confianza que se funda en los comportamientos y decisiones inestables de las personas. En palabras de Cano (2016):

Es comprender que las circunstancias, los contextos y contradicciones motivan actuaciones que pueden ser contrarias a lo esperado, una lectura de umbrales de tolerancia a fallas que sabe de la naturaleza limitada de las personas y la tendencia al error, que invita más a la reflexión y confrontación de sus propias actuaciones, para construir en conjunto con otros y afinar dichos umbrales, hasta definir aquel que es aceptado y tolerado por la empresa.

La estabilidad de esta confianza está en el entendimiento y estrategias que tiene la organización para actuar cuando los umbrales se superan y cómo desarrolla su capacidad de recuperación y resistencia ante la inevitabilidad de la falla. La estabilidad no se ve como un rango estático de compromiso de la organización, sino como una vista dinámica de la evolución del imaginario de protección que la empresa moldea con sus decisiones y aseguramiento de prácticas de acuerdo con sus propias necesidades.”

Bajo estos fundamentos, sólo cuando entiendo con claridad el resultado incierto de lo que está en juego, puedo comprender el nivel confiabilidad que se puede tener frente a la decisión de protección y de igual forma, sólo retando el nivel de confiabilidad actual disponible para los propósitos e intereses de las personas y de la empresa, puedo conocer el resultado de incierto que puede generarse con la decisión que se toma.

Lo anterior, supone que el ejercicio de comprensión de doble vía (riesgo-seguridad) (Ver figura 1), habilita a las personas para desarrollar las capacidades dinámicas (detección proactiva, acción informada y desaprendizaje permanente) con el fin de encontrar el rango de exposición que se acuerda frente al resultado de la acción que se ejecuta. Es decir, la confiabilidad no está en el riesgo cero o la protección ciento por ciento, sino en el cumplimiento de los umbrales definidos por las partes y las acciones resilientes establecidas para enfrentar los inciertos y la materialización de vulnerabilidades latentes o emergentes.


Figura 1. Riesgo y seguridad: una relación de doble vía (Autoría propia)

De esta forma, el riesgo no se configura como un elemento negativo per se, ni la seguridad como una función estática que busca el 100% de efectividad de sus acciones, sino como un continuo inestable que negocia rangos de tolerancia a la falla, donde los individuos y las empresas construyen distinciones y prácticas de forma permanente para reconstruir las prácticas conocidas y renovar los entendimientos de la protección más allá de la reducción de la incertidumbre reflejada en los controles tradicionales expuestos en los estándares ISO.

Reflexiones finales
La práctica de seguridad y control que se tiene en la actualidad responde a una lectura de la protección como restricción de eventos o inestabilidades, en procura de alcanzar confiabilidad y estabilidad que satisface el imaginario de cero incidentes requerido por las organizaciones.

Lamentablemente este imaginario se debilita en el escenario de volatilidades e inestabilidades que se presentan actualmente, como quiera que la inevitabilidad de la falla es la constante que la inseguridad de la información utiliza para materializarla de forma inesperada, ocasionando percances a nivel personal y organizacional que sacan de la zona cómoda tanto a ejecutivos como a los profesionales de la seguridad de la información.

En consecuencia y dado que se hace necesario avanzar en medio de un entorno incierto y vulnerable, tanto las personas como las organizaciones debe tomar riesgos de forma inteligente esto es, en un continuo de confianza imperfecta, que leído en términos prácticos supone ver los impactos estratégicos, las afectaciones tácticas, las lecciones aprendidas y los grupos de interés que se pueden ver afectados” para formular “escenarios, prototipos, simulaciones y pruebas que permitan desconectar los supuestos de los conceptos actuales para reconectarlos y crear nuevas ganancias teóricas y prácticas antes inexistentes.” (Cano, 2017).

En este sentido, si bien las normas, buenas prácticas y estándares permiten un cuerpo de conocimiento base, se hace necesario dominar las capacidades dinámicas presentadas previamente, en el contexto de los riesgos que se deben tomar de manera inteligente, habida cuenta que no es la reducción de la incertidumbre lo que cuenta, sino el entendimiento del flujo continuo de certezas e inciertos que supone el riesgo y la seguridad para una persona y una organización.

Por tanto, el imaginario actual de seguridad y control deberá evolucionar de la invulnerabilidad como fuente de confianza perfecta, a la vulnerabilidad y los umbrales de falla, como nuevo referente que se construye sobre la base de la confianza imperfecta, la cual hace parte natural de los comportamientos y decisiones inestables que las personas toman frente a contextos y situaciones distintas.

Referencias
Cano, J. (2016) Protección de la información. Un ejercicio de confianza imperfecta. Blog IT Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2016/09/proteccion-de-la-informacion-un.html
Cano, J. (2017) Riesgos inteligentes. Blog Frase de la Semana. Recuperado de: http://frasedelaseman.blogspot.com.co/2017/03/riesgos-inteligentes.html
Carmen, A. (2015) La ley del quizás. Cómo transformar la incertidumbre en posibilidad. Barcelona, España: Editorial Urano.
Espejo, R. y Reyes, A. (2016) Sistemas organizacionales. El manejo de la complejidad con el modelo del sistema viable. Bogotá, Colombia: Ediciones Uniandes, Universidad de Ibagué.
López-Barajas, E. (2009) Antropología, epistemología e innovación en educación permanente. En López-Barajas, E. (Coord.) (2009) El paradigma de la educación continua. Reto del siglo XXI. Madrid, España: Narcea, S.A. 15-56
Rosa, E., Renn, O. y McCright, A. (2014) The risk society revisited. Social theory and governance. Philadelphia, Pennsylvania. USA: Temple University Press.
Teece, D., Peteraf, M. y Leih, S. (2016) Dynamic Capabilities and Organizational Agility: risk, uncertainty, and strategy in the innovation economy. California Management Review. Summer. 58, 4. 13-35
Luhmann, N. (2006) Sociología del riesgo. México, México: Universidad Iberoamericana - Instituto Tecnológico y de Estudios Superiores de Occidente, A.C (ITESO).