Reflexiones en medio de un entorno asimétrico e inestable

Créditos

_{Jeimy Cano (*)}

Introducción

Las tensiones globales que se han generado por cuenta de la emergencia sanitaria internacional y la revelación de nuevos actores en la carrera geopolítica para concretar una vacuna que permita inmunizar a la población mundial, establece los inéditos “normales” emergentes de la dinámica social, económica, tecnológica y política que cambia la aparente calma que se tenía antes del mes de marzo del 2020.

Este escenario asimétrico e inestable plantea desafíos emergentes y novedosos que confunden y retan los mejores pronósticos de los analistas internacionales sobre lo que puede suceder en los próximos años. Mientras el virus continúe sin un mecanismo de contención efectivo, habrá muchos espacios para mantener la desinformación, los inciertos, los miedos y la manipulación de la información en las relaciones sociales, con impactos inesperados y no previstos en los demás sectores de sociedad (Interpol, 2020).

Así las cosas, establecer una marco de trabajo para ilustrar un pronóstico acerca de la seguridad/ciberseguridad para el 2021 resulta una apuesta compleja y ambigua, que más que tratar de acertar en un blanco en movimiento, busca identificar algunos patrones y tendencias que marcan la diferencia en el escenario actual, sin perjuicio de su actualización posterior, dada la volatilidad de las condiciones y los cambios que se van a suscitar en el desarrollo de los próximos 365 días.

La seguridad/ciberseguridad como conceptos complementarios y convergentes en la actualidad, plantean desafíos para los profesionales de seguridad y control tradicionales, comoquiera que rompen con la acostumbrada lectura técnica de los mismos, habida cuenta que el valor de la información se configura cada vez más como ese elemento fundamental que atraviesa la estrategia de las organizaciones, lo cual motiva una transición de habilidades y capacidades basadas en la protección de los datos, ahora centradas en las personas y el tratamiento de la información.

Para realizar este ejercicio se han consultado diversas fuentes de información especializadas, documentos elaborados por centros de pensamiento, artículos científicos, comentarios de expertos en el tema y sobremanera una visualización de líneas de acción que se reiteran al cruzar los datos recolectados hasta la fecha. En este sentido, este documento presenta una propuesta incompleta y limitada de las condiciones y retos que la seguridad/ciberseguridad puede manifestar para el año siguiente.

En consecuencia, las reflexiones que se plantean a continuación representan un mapa incompleto sobre un territorio inestable y cambiante, que trata de ubicar algunos puntos de referencia para construir posturas y tomar decisiones sobre seguridad/ciberseguridad de las organizaciones modernas, ahora más expuestas y abiertas que antes, dada la acelerada digitalización de sus procesos y la transformación digital de su modelos de negocio.

Pronósticos de seguridad/ciberseguridad 2021

A continuación se presentan los cinco (5) pronósticos que se advierten para el 2021 en las temáticas de seguridad/ciberseguridad, así como algunos temas complementarios que apalacan dinámicas particulares que pueden ser de interés para las organizaciones y las naciones en general.

1. El fearware – Un escenario de manipulación social

El uso masivo de redes sociales y mecanismos de acceso a información es una tendencia que confirma el aumento de la conectividad en la sociedad y la democratización de los servicios y productos digitalmente modificados. El uso extensivo a nivel de global de dispositivos “inteligentes” y ecosistemas digitales revela el aumento de flujos de información conocidos y desconocidos que ahora hacen parte de la lectura social del mundo actual (Valdez-de-Leon, 2019).

Con ocasión de la emergencia sanitaria se ha producido un tsunami de información y desinformación que advierte una dinámica de inciertos y contradicciones, la cual termina afectando y reconfigurando los imaginarios de las personas. Dichos cambios generan emociones y sentimientos de miedo, dudas y ansiedad que son capitalizados por agentes nocivos, para crear desestabilización, desconcierto y erosión de la confianza con el fin de marcar una agenda oculta de intereses que pasa desapercibida frente a los titulares de la realidad (Jones, 2019).

El fearware, como estrategia consolidada de la manipulación social, es la base de una guerra social virtual, donde diferentes actores toman posiciones y generan tendencias para movilizar a la población respecto de una temática particular, para desestabilizar naciones, para debilitar o manejar democracias, para concretar operaciones encubiertas que impacten las representaciones sociales y sobremanera, como una nueva amenaza a la integridad de la información, donde el reto y objetivo del adversario, es y será erosionar la confianza y la confiabilidad de una opinión informada (Mazarr, Bauer, Casey, Heintz & Matthews, 2020).

2. La cadena de suministro – Los terceros de des(confianza)

Los adversarios han venido observando y analizando que las empresas cada vez más dependen de terceros para operar. Con el escenario actual, muchas de ellas tuvieron que migrar rápidamente para contar con proveedores de servicios en la nube y algunos otras, ampliar sus contratos con los terceros para manejar, entre otros temas, servicios de monitoreo y control de sus plataformas (Europol, 2020).

Los atacantes han evidenciado que las empresas han fortalecido sus perímetros de seguridad y control, así como sus estrategias de monitorización y analítica, lo cual no les permite concretar parte de su estrategia natural para “pasar desapercibidos” y crear el incierto en los modelos de protección vigentes. En esa lectura, saben que deben continuar buscando aquel sitio que puedan ubicar con el menor nivel de aseguramiento y desde allí, establecer el pivote requerido para apalancar sus acciones contrarias (Ponemon-CyberGRX, 2020).

Casos recientes demuestran que los terceros que apoyan las organizaciones, cuentan con prácticas de seguridad y control que no están armonizadas con las de sus clientes, mantienen una visión de “isla” independiente basada en los términos y condiciones del contrato, y pocas veces se hace seguimiento sobre la realidad misma de sus estándares y posturas de protección de sus infraestructuras. En este sentido, se convierten en los nuevos focos de atención de los atacantes, como estrategia para llegar a organizaciones claves para ingresar sin ser notados y basados, muchas veces, en conexiones autorizadas desde aplicaciones debidamente registradas por sus clientes.

3. El secuestro de datos – Una amenaza vigente y latente

Los datos y la información se han convertido en uno de los activos más importantes de las organizaciones en la actualidad. Reconocer donde se ubican aquellos que resultan más valiosos y saber cómo se están protegiendo, debería ser una prioridad para las organizaciones del siglo XXI. Sin embargo, muchas veces la información de mayor relevancia termina en los lugares menos indicados o más inesperados, comoquiera que su uso resulta de manejo diario o muchas veces compartido entre diferentes personas.

En este contexto, los activos críticos de información terminan expuestos a las prácticas propias de las personas que son sus custodios naturales y por lo tanto, no es la probabilidad de la materialización de un evento adverso, lo que cuenta, sino la posibilidad concreta de una brecha o un secuestro de los mismos con ocasión de un “click” o una “descarga” de un archivo que venía adjunto a un correo electrónico, un enlace a un sitio no conocido o un mensaje en un sistema de mensajería con una url maliciosa (Vuggumudi & Wang, 2020).

El ransomware como ese código malicioso que se descarga e instalada en el sistema informático, sólo tiene que ser paciente para esperar su oportunidad, para concretar el pivote que necesita para desplegar las acciones necesarias que permitan tomar el control del dispositivo, para deshabilitar las medidas de seguridad, establecer posiciones en la infraestructura donde está conectada la máquina y ejecutar sus rutinas de cifrado escalonado que termina con el temible anuncio del pago de una extorsión (Europol, 2020).

4. El modo “radar” y el modo “crisis” – Dos capacidades claves

Considerando las inestabilidades actuales a nivel global y local, los ejecutivos de seguridad poco le ayudan contar con la implementación de prácticas y estándares internacionales para anticipar o pronosticar nuevas formas de ataques o estrategias emergentes para comprometer las medidas de seguridad vigentes en las empresas. En este sentido, debe activar el modo “radar” que le permitan no solamente revisar lo que le indican las alertas de eventos conocidos, sino comenzar a establecer patrones de amenazas en medio de los datos hasta ahora consolidados tanto por el servicio de SOC (Security Operation Center), como por los mecanismos instalados en su perímetro de seguridad (Ponemon-CyberGRX (2020).

El modo “radar” lo que le  permite es establecer un marco de revisión y exploración que lo habilita para monitorizar sus contornos, buscando inconsistencias, rarezas y contradicciones que le indiquen que algo fuera de lo común ocurre y que deberá revisar para establecer el nivel de atención que merece tal “anormalidad”. En consecuencia, las organizaciones deben tener claridad de lo que significa que algo funciona de forma “normal” con lo cual cualquier evento que se revele más allá de los umbrales definidos, sea catalogado como “inusual” y luego de su revisión y validación, pasar a ser “sospechoso” para su exploración en profundidad.

Si bien el modo “radar” es relevante y clave, pueden pasar desapercibidos eventos que terminen comprometiendo el modelo de seguridad y control de la organización, por lo tanto deberá tener listo el modo “crisis”, que lo que conlleva es un tratamiento de riesgos que no solo busca mitigar los impactos del eventos, sino moverse de forma coordinada para evitar caer en el juego del atacante, y responder con un “libro de jugadas” (playbook) claro (Bollinger, Enright & Valites, 2015), que cierre la brecha de inciertos que la situación pueda ocasionar.

5. Aceleración digital – Mayor superficie de ataques

No hay duda que la emergencia sanitaria internacionales aceleró la transformación digital de las empresas, muchas de ellas de forma accidentada y por lo tanto, con muchos vacíos desde la perspectiva de seguridad y control. Se pasó de forma urgente de un modelo centralizado de operaciones y aseguramiento, a uno ampliamente basado en terceros (desconectados del marco de seguridad empresarial), con una cultura organizacional de seguridad de la información basada en personas informadas (algunos más conscientes que otras) y con un marco de trabajo en casa que responde a la práctica individual de higiene informática vigente en el hogar.

Este escenario plantea una superficie de conectividad e interacción digital que privilegia la funcionalidad sobre los mínimos de seguridad y control requeridos para un trabajo remoto. Lo anterior, habilita el escenario para crear un tejido digital con numerosos puntos de acceso y posibilidades, que un adversario puede aprovechar desde la inherente y natural forma de actuar de los individuos, hasta las vulnerabilidades técnicas de las plataformas utilizadas por los terceros o sus protocolos, los cuales pueden no estar actualizados o no parchados, lo que sugiere múltiples puntos candidatos para ser pivotes de un ataque, que generalmente termina siendo silencioso y encubierto por conexiones habilitadas y autorizadas (Culot, Fattori, Podrecca & Sartor, 2019).

Si bien la transformación digital es un proceso que habilita una dinámica ágil y eficiente de las experiencias de las personas, dadas las condiciones y necesidades actuales y futuras (HBR, 2019), es necesario que se incorporen y analicen los retos y capacidades requeridas, para dar cuenta con el apetito de riesgo de la empresa, para incorporar las innovaciones que demandan sus clientes, y así  conectar con los exigentes objetivos estratégicos empresariales, que buscan posicionar a la empresa en un lugar privilegiado de su mercado definido.

Propuestas para enfrentar los pronósticos 2021

1. Cultura organizacional de seguridad de la información – COSI

Si hay un año donde las personas tendrán  más relevancia en el contexto de la seguridad y el control será a partir del año entrante dada la alta dependencia de las acciones humanas para el desarrollo de las operaciones de las empresas. Un mayor trabajo remoto, el uso masivo de medios de comunicación, las reuniones bajo la modalidad de videoconferencia, los sitios para compartir información, entre otras actividades, harán evidente el nivel de compromiso, conocimiento, entendimiento y apropiación que los individuos tienen sobre el valor de la información de la empresa.

Tener claridad sobre el nivel de madurez de la COSI deberá ser un indicador clave en la gestión y gobierno de la ciberseguridad/seguridad de la empresas, dado que en la medida que la madurez no avance, la posibilidad que se estanque o retroceda será el riesgo más relevante que se deberá mitigar y anticipar, para continuar incubando los nuevos pivotes que los atacantes van a aprovechar por cuenta del eslabón más fatigado de la cadena: las personas (Cano, 2019).

2. Desarrollo de Playbooks o “libros de jugadas”

Dado que tarde o temprano el atacante tendrá éxito se hace necesario desarrollar estrategias distintas para el tratamiento de los riesgos. Más allá de establecer medidas de mitigación técnicas, es necesario reconocer una vista holística de la dinámica que representa la materialización de un evento adverso, para no actuar de forma errática, que es lo que pretende en últimas el atacante (Bollinger, Enright & Valites, 2015).

Por tanto, diseñar, desarrollar y simular un playbook establece una forma alterna de atender el incierto que generar dicho evento lo que lo define en sí mismo como:

• una estrategia para actuar de forma coordinada,
• una estructura para la toma de decisiones,
• una respuesta a escenarios conocidos y latentes,
• una forma de gestionar riesgos.

3. Aseguramiento de API – Application Program Interfase

La transformación digital que se adelanta por las organizaciones a nivel global está habilitada técnicamente hablando por terceros de confianza clave y por el uso de API, como fuente de interconexión entre los dispositivos y mecanismos en manos de las personas, y las infraestructuras de los terceros o las organizaciones. En este sentido, el aseguramiento y resistencia a los ataques que deben surtir las API deberán ser parte de la pruebas de mal uso que éstas deben soportar para concretar un nivel de confiabilidad mayor al que se tiene en la actualidad (Ponemon-CyberGRX, 2020).

En consecuencia, se deben tomar las mejores prácticas disponibles a la fecha como pueden ser las guías del OWASP, el SANS o el CISecurity, combinadas con marcos de trabajo para modelar amenazas con el fin de elevar el nivel de confiabilidad de la ejecución de estos mecanismos, y así mejorar la confianza digital necesaria para motivar mejores experiencia en los clientes.

4. Simulaciones y juegos de guerra

Las organizaciones que mejor estén preparadas para asumir el incierto que genera un evento adverso por cuenta de la acelerada transformación digital, son las que mejor van a mantenerse en un escenario altamente conectado. Por tanto, se hace necesario practicar y exponer con frecuencia a la organización a este tipo de contextos a través de simulaciones y juegos de guerra (incluyendo a los terceros claves en su cadena de suministro), como una forma de preparar las respuestas y habilitar a la empresa para enfrentar las inestabilidades que ocasiona estas situaciones (Cano, 2020).

En estos ejercicios se requiere la participación de toda la organización, con el fin de abordar la totalidad de la dinámica empresarial y de esta manera, todos los diferentes perfiles sabrán qué hacer para mantener una actuar y accionar coordinado de la empresa, haciendo más resistente a la organización como un todo, y limitando la configuración zonas grises o puntos ciegos de respuesta, donde un tercero lo suficientemente motivado y entrenado puede exponer la reputación corporativa por un “no sabía que debía hacer”.

5. Habilitar la resiliencia cibernética

Muchos informes ya no hablan de la probabilidad de un ciberataque, sino de cuándo va a ocurrir. Un ciberataque está diseñado para crear incierto e inestabilidad en el modelo de seguridad y control de una organización, con lo cual ninguna organización está exenta de manejar y superar un acción agresiva como esta. Así las cosas, toda empresa requiere ajustar sus modelos de operación basados en mitigación de riesgos, a una lectura de umbrales de operación que le permitan márgenes de actuación y estrategias de resistencia y recuperación eficientes a pesar de haber sido impactadas (Björck, Henkel, Stirna & Zdravkovic, 2015).

De manera que,  se requiere desarrollar y habilitar la resiliencia cibernética (ciber-resiliencia) como una capacidad organizacional requerida para anticipar, resistir, recuperar, aprender y evolucionar frente a la materialización de eventos cibernéticos adversos, y continuar asegurando la promesa de valor empresarial protegiendo la reputación de la compañía. Lo anterior, demanda comprender la dinámica corporativa de forma holística y ecosistémica para configurar una protección dinámica por capas y así proveer estrategias de “falla segura”, como un requisito básico que reconoce el error como parte del proceso y no como resultado (Bodeau, Graubart, Heinbockel & Laderman, 2015; Denyer, 2017).

Reflexiones finales

Desarrollar reflexiones alrededor de posibles pronósticos de seguridad/ciberseguridad para los próximos 365 días, es siempre una apuesta incierta comoquiera que muchas veces es posible quedar asombrados por una “sorpresa predecible” como la emergencia sanitaria que tenemos en la actualidad, amenazados por “misiles balísticos nucleares” oxidados y sin mantenimiento en algunas zonas del mundo, por una “guerra híbrida” que se desarrolla por debajo del nivel de la fuerza, por un mal uso de tecnologías emergentes que cambian y afectan la dinámica de las sociedades abiertas y democráticas, o por cambios climáticos inesperados que terminan con desastres que afectan una comunidad local o todo el mundo (Cano, 2020; WEF, 2020).

Por tanto, las apuestas desarrolladas en este documento no buscan marcar un camino o convertirse en referente de toma de decisiones, sino convertirse en una excusa académica y práctica que motive un diálogo estratégico al interior de las organizaciones, para darle forma a los escenarios que se pueden plantear a partir de esta propuesta, y así, definir algunas prioridades de acción particulares y propias, para movilizar de forma prospectiva a las empresas en medio de las volatilidades que se ven delante de la curva.

Los pronósticos de seguridad/ciberseguridad son un ejercicio que buscan detectar algunos patrones de actividad relevante para los modelos de seguridad y control de las empresas. Si bien no son exactos, como son los pronósticos del clima, si buscan configurar un mapa parcial de reconocimiento sobre un territorio de inciertos y cambios permanentes para triangular las posibles posiciones de los adversarios y así, crear inestabilidades en sus modelos de gestión de riesgos (Raban & Hauptman, 2018).

Muchos teóricos y académicos coinciden que no es posible “predecir” el futuro, por lo tanto todos aquellos ejercicios que permitan ver opciones y oportunidades en prospectiva serán de utilidad para mejorar la imaginación, aumentar las posibilidades y así darle mejor forma al futuro, desde el presente. En este sentido, los pronósticos que se plantean en este texto sólo son parte de ese insumo para pensar e imaginar, pues ya cada uno de los lectores tendrá el reto de darle forma concreta en las circunstancia de tiempo, modo y lugar en cada una de sus organizaciones.

Referencias

Björck, F., Henkel, M., Stirna, J. & Zdravkovic, J. (2015). Cyber Resilience – Fundamentals for a Definition.  En Á. Rocha et al. (eds.) New Contributions in Information Systems and Technologies. Advances in Intelligent Systems and Computing 353. 311-316. Doi: 10.1007/978-3-319-16486-1_31

Bodeau, D., Graubart, R., Heinbockel, W. & Laderman, E. (2015). Cyber Resiliency Engineering Aid –The Updated Cyber Resiliency Engineering Framework and Guidance on Applying Cyber Resiliency Techniques. MITRE Corporation.  De: https://www.mitre.org/sites/default/files/publications/pr-15-1334-cyber-resiliency-engineering-aid-framework-update.pdf

Bollinger, J., Enright, B. & Valites, M. (2015). Crafting the InfoSec Playbook. Sebastopol, CA. USA: O’Reilly.

Cano, J. (2019). The Human Factor in Information Security: The Weakest Link or the Most Fatigued? ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2019/Volume-5/Pages/the-human-factor-in-information-security.aspx

Cano, J. (2020). Retos de seguridad/ciberseguridad en el 2030. Reflexión sobre un ejercicio prospectivo incompleto. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. No. 154. 68-79. https://doi.org/10.29236/sistemas.n154a7

Culot, G., Fattori, F., Podrecca, M. & Sartor, M. (2019). Addressing Industry 4.0 Cybersecurity Challenges. IEEE Engineering Management Review. 47(3). 79-86. Doi: 10.1109/EMR.2019.2927559

Denyer, D. (2017). Organizational resilience. A summary of academic evidence, business insights and new thinking. BSI-Crandfield University. De: https://www.cranfield.ac.uk/som/case-studies/organizational-resilience-a-summary-of-academic-evidence-business-insights-and-new-thinking

Europol (2020). Internet organised crime threat assessment. Report. https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2020

HBR (2019). IT Talent strategy: new tactics for a new era. CIOs Share How to Compete in 2020 and Beyond. White Paper. Harvard Business Review. Analytic Services

Interpol (2020). Cybercrimen: Covid-19 Impact. August. Report. De: https://www.interpol.int/es/content/download/15526/file/COVID-19%20Cybercrime%20Analysis%20Report-%20August%202020.pdf

Jones, K. (2019). Online Disinformation and Political Discourse. Applying a Human Rights Framework. Research Paper. Chatham House. London, UK. https://www.chathamhouse.org/publication/online-disinformation-and-political-discourse-applying-human-rights-framework

Mazarr, M., Bauer, R., Casey, A., Heintz, S. & Matthews, L. (2020). The Emerging Risk of Virtual Societal Warfare. Social Manipulation in a Changing Information Environment. Rand Corporation. https://doi.org/10.7249/RR2714  

Ponemon-CyberGRX (2020). Digital transformation & cyber risk. What you need to know to stay safe. Sponsored by CyberGRX. https://get.cybergrx.com/ponemon-report-digital-transformation-2020

Raban, Y. & Hauptman, A. (2018). Foresight of cyber security threat drivers and affecting technologies. Foresight. 20(4). 353-363. https://doi.org/10.1108/FS-02-2018-0020

Valdez-de-Leon, O. (2019). How to Develop a Digital Ecosystem: a Practical Framework. Technology Innovation Management Review. 9(8): 43-54. http://doi.org/10.22215/timreview/1260

Vuggumudi, S. & Wang, Y. (2020). Sophisticated tools alone cannot prevent advanced persistent threats: What’s next? ISSA Journal. June. 33-39 

WEF (2020). The Global risk report 2020. World Economic Forum. Report. https://www.weforum.org/reports/the-global-risks-report-2020

(*) Fuente: https://insecurityit.blogspot.com/2020/10/pronosticos-de-seguridadciberseguridad.html