• Buscar

Gobierno y gestión de la seguridad y la ciberseguridad. Una agenda complementaria a los estándares vigentes y las buenas prácticas

Global Strategy Report, 32/2020

Resumen: En una sociedad cada vez más digital y tecnológicamente modificada, las organizaciones compiten para concretar mayores y mejores experiencias para sus clientes. En este sentido, los flujos de información y los objetos inteligentes se convierten en elementos claves para desarrollar sus promesas de valor y cumplir con las expectativas de las personas. Por tanto, el gobierno y gestión de la seguridad y ciberseguridad empresarial, vista de forma complementaria, desde la curiosidad, la gestión de la incertidumbre y las prácticas estratégicas, como se propone en este reporte, configura los elementos claves para concretar la confianza digital imperfecta necesaria para movilizar a las organizaciones y los ejecutivos de seguridad y control en un entorno cada vez más volátil y ambiguo, y con un adversario no actúa de forma lineal y siempre toma posición frente al incierto.

“Deja que los adversarios se suban al tejado y luego retira la escalera” ([1])

Introducción

La ampliación de la superficie de ataque con una mayor exposición digital de las empresas, crea un escenario incierto para los responsables de seguridad y ciberseguridad, dado que ahora más infraestructura tecnológica se hace visible, existe un aumento de comportamientos no deseados de las personas y un incremento del flujo de información sensible, no solamente por las redes informáticas, sino a través del uso más frecuente de memorias USB (Mühlberg, 2020).

Esta realidad demanda de los ejecutivos de seguridad y ciberseguridad desarrollar estrategias y habilidades claves que le permitan entender y aprovechar esta situación, para posicionar las capacidades necesarias para mejorar la comprensión del contexto, la interrelación y acoplamiento de los diferentes componentes de su modelo de seguridad y control, así como el reconocimiento de las interdependencias de sus acciones con la protección del valor del negocio y la confianza digital para sus clientes (Clearfield & Tilcsik, 2018).

Por tanto, es necesario reconocer algunos tipos de incertidumbre a los cuales se ven enfrentados con frecuencia los profesionales de seguridad, con el fin de establecer un marco de referencia de sus actuaciones, no para evadir el reto del incierto o la complejidad, sino para entrar en sus detalles y establecer acciones concretas que le permitan avanzar en medio de aquello que desconoce o no sabe, y tomar posiciones claves en el terreno para intentar sorprender al adversario en su propio escenario.

Para ello, contar tanto con un coeficiente de curiosidad (Chamorro-Premuzic, 2014), una batería base de estrategias (Menon & Kyung, 2020) y un cuerpo de prácticas estratégicas (Boehm, Kaplan & Sportsman, 2020) le van a permitir al responsable de seguridad movilizarse desde el terreno de la incertidumbre actual y trazar caminos que lo lleven a conquistar nuevos lugares comunes, que desequilibren la balanza y la gestión de riesgos de los atacantes. En este ejercicio, deberá abandonar las certezas de los estándares, la práctica nociva de la seguridad basada en “cero riesgo” y las métricas basadas en la lectura de retrovisor, para formular una visión distinta del gobierno y gestión de la seguridad y ciberseguridad.

En consecuencia este breve documento, busca abrir un espacio de reflexión y desinstalación de las prácticas y saberes vigentes de la gestión y gobierno de la seguridad y ciberseguridad, para establecer un visión menos lineal y cierta que está atravesada por las buenas prácticas vigentes, y plantear una reflexión por su complemento, que motive acciones semejantes a la de los adversarios representada en actividades no lineales, inciertas e inesperadas donde ellos saben que su contraparte no está acostumbrada a tratar o no sabe cómo actuar.

A continuación se desarrollan los tres elementos mencionados previamente (Coeficiente de curiosidad, batería base de estrategias y cuerpo de prácticas estratégicas) para motivar las transformaciones necesarias en las competencias y habilidades de los profesionales de seguridad y control.

Coeficiente de curiosidad. Fundamento del cambio

En un contexto con creciente complejidad, es decir con mayor cantidad elementos y relaciones que no conocemos, y que muchas veces carecemos del conocimiento suficiente para comprenderlo, se hace necesario desarrollar habilidades que permitan una amplificación de la variedad actual (número de distinciones que podemos reconocer del entorno), para entrar a explorar nuevas experiencias y saberes que pueden retar lo que hasta el momento se conoce como cierto o estable (Espejo & Reyes, 2016).

Así las cosas, los profesionales de seguridad y control, deben desarrollar algunas posturas claves para avanzar en el desarrollo de su coeficiente de curiosidad (Chamorro-Premuzic, 2014), como fundamento de su entrenamiento base para dar cuenta con la dinámica del adversario, en quien la curiosidad es parte inherente de sus acciones y propuestas asimétricas, así como insumo natural para pensar de forma no lineal y poco predecible.

Dentro de las muchas acciones que se pueden seguir para aumentar el coeficiente de curiosidad, se destacan las siguientes como las características mínimas que se deben cultivar en los profesionales de seguridad y control, para avanzar en la incorporación de este aspecto como base fundamental de su práctica actual.

  • Exploran en el incierto y retan sus saberes previos.
  • Encuentran emocionante lo novedoso y lo que no encuadra en sus marcos de referencia.
  • Afrontan la complejidad y la ambigüedad con apertura para descubrir nuevas fuentes del saber.
  • Generan ideas originales a partir de conectar y desconectar aquello que conocen y saben con lo que no saben ni conocen.
  • Mantienen una “mente hambrienta” que frecuentemente declara que “no sabe” y está dispuesta a aprender.

Incorporar estas características en la esencia de la práctica de los profesionales de seguridad y control, implica salir de la zona cómoda de los estándares, no para abandonarlos, sino para enriquecerlos, entenderlos y reescribirlos desde los nuevos escenarios que plantean las apuestas novedosas de los atacantes, que por lo general encuentran en el engaño la mejor de sus estrategias para concretar puntos de acceso y luego pivotes para desplegar sus acciones concretas (Pillay, 2019).

Mientras mayor capacidad tenga un profesional de seguridad para abrirse a conocer y plantear escenarios inciertos o no estándares, más “hambre de conocimiento” tendrá y ésta, le dará la oportunidad para pensar por fuera de lo conocido y explorar alternativas que pueden o no estar apalancadas por las buenas prácticas. Este ejercicio permanente de curiosidad y de desaprendizaje, le dará al ejecutivo de seguridad uno nuevos lentes para ver el incierto del adversario, no como su enemigo, sino como una opción concreta de acción para anticipar, demorar o disuadir sus movimientos y mejorar su postura y modelo de seguridad aumentando su resistencia frente a posibles ataques novedosos (Cano, 2020).

Gestión de la incertidumbre. Algunas estrategias para enfrentarla y aprovecharla

La incertidumbre responde a ese contexto donde no es posible establecer una relación entre las causas y sus efectos. Un momento donde lo que se sabe y conoce deja de ofrecer las respuestas o seguridades que se requieren para tomar las decisiones del caso (Rosa, Renn & McCright, 2014). El incierto es luego visto, por lo general, como el enemigo a vencer y eliminar, como fuente de ruido que no permite ver con claridad lo que podemos hacer o determinar.

Bien afirma Edward de Bono (2016) cuando dice que “constituye toda una paradoja el hecho de que la urgencia del hombre por lo absoluto, por la certeza y por poseer ideas estables es exactamente lo opuesto al sistema biológico o a la dinámica de la naturaleza”. En sentido, la dinámica de la acción de la seguridad y el control debe estar relacionada con un balance entre amplificar la información disponible sobre el entorno, regular los comportamientos de los sistemas que se tienen en foco y aprender de aquellas situaciones que no se realizan o se manifiestan de acuerdo con lo previsto.

Por tanto, se establecen al menos tres (3) tipos de incertidumbre a la que se pueden enfrentar los ejecutivos de seguridad y ciberseguridad en el ejercicio de su cargo, en las cuales se pueden aplicar algunas estrategias que pueden potenciar su capacidad de acción, reacción y anticipación frente a ese momento, lo cual implica tomar decisiones y movilizar a la organización para continuar avanzando a pesar de las posibles amenazas que se adviertan en su visualización y comprensión de su carta de navegación.

Los tipos de incertidumbre planteadas son tres (3):

Tipo 1 No saber qué va a pasar, ni que tan probable son los resultados.

Tipo 2 Contar información imprecisa, insuficiente o contradictoria.

Tipo 3 No tener el conocimiento requerido (Menon & Kyung, 2020).

Cada una de ellas establece momentos distintos que requieren estrategias diferenciadas para encontrar algunos archipiélagos de certezas y así tomar las acciones requeridas que lo movilicen más allá de las dudas, el miedo y la ambigüedad que la situación puede presentar.

A continuación se detallan las estrategias por cada tipo de incertidumbre planteada que busca activar el coeficiente de curiosidad y encontrar nuevos lugares comunes e información novedosa y relevante que le genere nuevas ideas o desconecte las actuales para abrir posibilidades y no solamente probabilidades.

Tabla 1. Estrategias para la gestión de la incertidumbre

Nota: Adaptado de: Menon & Kyung, 2020

Si bien este conjunto de estrategias no resuelven el sin número de situaciones que puede tener un ejecutivo de seguridad y ciberseguridad en el desarrollo de su cargo, si por lo menos plantea un conjunto base de acciones en el campo cognitivo, emocional y prospectivo que puede ejecutar para avanzar en medio de las situaciones adversas que demanden su capacidad de acción y orientación ante eventos que tensionen los objetivos estratégicos de la empresa y aprovechen los puntos ciegos inherentes a su modelo de seguridad y control vigente.

Cuerpo de prácticas estratégicas. Conjugando la curiosidad y las estrategias frente al incierto

Aumentar el coeficiente de curiosidad y contar con estrategias para actuar frente al incierto, establecen la base de la movilización del ejecutivo de seguridad y control frente a situaciones que ponen a prueba sus estrategias de protección y continuidad de las operaciones de la compañía. No obstante, es imperativo que sus actuaciones se enmarquen en algunas prácticas estratégicas que conecten con la lectura de los ejecutivos de primer nivel y así mostrar un ejercicio de liderazgo en medio de la inestabilidad que concrete la confianza imperfecta (Cano, 2017) esperada por los diferentes grupos de interés de la empresa.

En este sentido, Boehm, Kaplan & Sportsman (2020) sugieren al menos cuatro (4) prácticas estratégicas que le permitan al responsable de seguridad y ciberseguridad movilizarse en los entornos ejecutivos para actuar, responder y anticipar las inquietudes de los directivos frente a los inciertos que generan posibles situaciones no esperadas, intencionales o no intencionales de los diferentes adversarios conocidos y desconocidos que reconoce la organización frente a las amenazas conocidas, latentes y emergentes.

Las cuatro prácticas identificadas se detallan a continuación:

Mantener el foco – Centrar la postura en apoyar sólo aquellas características, capacidades y despliegues de servicios de tecnología y seguridad que sean críticos para las operaciones. Esto es, tener claridad de donde se ubica la información sensible que hace parte de la promesa de valor de la empresa y su tratamiento, para evaluar los posibles puntos ciegos inherentes a la infraestructura vigente y posiblemente habilitados por conexiones o interacción con nuevas aplicaciones o terceros de confianza.

Desarrollar pruebas – Comprobar los planes de seguridad o de riesgo tecnológico de cualquier tipo, como los planes de respuesta a incidentes, los de continuidad del negocio, recuperación ante desastres, sucesión de talentos y sucesión de proveedores. Lo anterior, implica reconocer la inevitabilidad de la falla como fundamento de la práctica de seguridad y control con el fin de afinar el apetito de riesgo corporativo y así definir la capacidad y el umbral de riesgo de la empresa para mantener sus operaciones y asegurar una respuesta oportuna alineada con la confianza digital imperfecta definida y declarada por la corporación.

Monitorizar patrones – Establecer mecanismos de monitorización de comportamientos de las personas, de estrategias novedosas de ataques adaptativos, evolutivos o asimétricos, o de tensiones geopolíticas del entorno, que afecten de manera concreta las expectativas de los ejecutivos o los diferentes grupos de interés. Esto significa, poder incorporar herramientas de aprendizaje supervisado y no supervisado en la correlación de los eventos que ocurren en la empresa y su entorno para visualizar escenarios alternativos de protección y defensa que demoren al agresor en su ejercicio evadir o superar los mecanismos de control instalados en la empresa.

Balancear excepciones – Establecer el umbral de riesgo y tolerancia permitido frente a solicitudes que demandan la desactivación o disminución de controles previstos (y su tiempo máximo de vigencia), teniendo claro los posibles controles compensatorios que se deben asegurar, así como las medidas de mitigación en la eventualidad que posibles riesgos se materialicen. Esto exige un ejercicio de transparencia tanto para las áreas involucradas y sus ejecutivos, así como para los grupos de interés afectados, los cuales deberán estar involucrados en las acciones de reacción y respuesta frente a eventos no deseados.        

Una quinta práctica a las comentadas previamente la podemos denominar “mantener el ritmo” como la estrategia de cambio permanente que debe establecer el ejecutivo de seguridad, en la cual educa a la alta gerencia frente al equilibrio dinámico que la empresa requiere en un escenario agreste de tensiones digitales y la fluidez que debe procurar para aprender de cada incidente de seguridad, más allá de las afectaciones que esta puede ocasionar, para aprender de cada uno de estos momentos y hacer tanto de la organización, como del modelo de negocio, un ejemplo de la resiliencia digital, que no es otra cosa que confirmar el “error” como parte del proceso construcción colectiva entre la empresa, los terceros de confianza y los grupos de interés frente a las apuestas de inestabilidad de los adversarios.

Reflexiones finales

La gestión y gobierno de la seguridad y ciberseguridad debe partir del reconocimiento de las cegueras cognitivas que se tienen de los componentes tecnológicos y los activos estratégicos que se trata de proteger y asegurar. Para ello, es necesario deponer los egos profesionales de los especialistas en seguridad y control, para entrar en el terreno donde hay muchas preguntas y pocas respuestas. Lo anterior, implica que si bien se tienen marcos de trabajo que dan luces sobre lo que se puede hacer para limitar las acciones de los atacantes, es claro que el adversario pondrá a prueba las certezas vigentes con propuestas alternas que tienen como objetivo generar mayor incertidumbre.

La incertidumbre por tanto se convierte en la base de las nuevas estrategias de acción del ejecutivo de seguridad y ciberseguridad comoquiera que, para los riesgos y amenazas conocidos los estándares y buenas prácticas lo van a respaldar. En esta línea, el entrenamiento y formación de los profesionales de seguridad deberá abordar al menos los tres tipos de incertidumbre comentados, para desarrollar habilidades concretas en la puesta en operación de las estrategias sugeridas y así, disminuir el margen de acciones erróneas que el atacante espera que éste cometa.

En consecuencia, las acciones y decisiones que los profesionales de seguridad y ciberseguridad tomen frente a escenario de alta incertidumbre y complejidad, deberán manifestar su nivel de preparación y comprensión de la situación inesperada, para lo cual deberá saber usar las ahora cinco prácticas estratégicas, con el fin de dar la orientación necesaria para conectar con las expectativas de los diferentes grupos de interés y responder de forma ágil y concreta a la situación volátil e inesperada, en línea con los protocolos y acuerdos previamente establecidos y ajustados a las simulaciones realizadas con los diferentes interesados.

De esta manera, comprender y repensar el gobierno y gestión de la seguridad y ciberseguridad, ahora entendidos como “establecer una hoja ruta dinámica en un territorio incierto frente a los retos de un negocio resiliente” y “defender y anticipar las amenazas emergentes que fortalezcan la confianza digital imperfecta con sus grupos de interés y protejan la promesa de valor de la empresa” respectivamente, se convierten en la agenda complementaria de la lectura actual de estos dos conceptos generalmente en las buenas prácticas y estándares conocidos.

Lo anterior demanda, pasar de contar con mediciones y métricas de retrovisor, basadas en volúmenes de hechos que ya pasaron, y cuyas lecciones aprendidas, no podrán ser extrapoladas a futuros eventos que aun no ocurren, para motivar un incremento del cociente de curiosidad que lleve a los profesionales de seguridad y ciberseguridad a plantear indicadores y mediciones de feedforward, que descubran el potencial de transformación y cambio que debe imprimir la empresa a su lectura de la seguridad y ciberseguridad, para mantener el ritmo de progreso y evolución empresarial en medio del aumento de la incertidumbre natural del entorno, y las necesidades de certezas y respuestas prácticas que los directivos de primer nivel esperan.

En resumen, el reto del ejercicio de gobierno y gestión de la seguridad y ciberseguridad, demanda comunicar de forma creativa y fluida, que si bien no es posible eliminar los riesgos en un contexto digital, si es viable crear las condiciones de trabajo para mantener un equilibrio dinámico de estabilidad desde la armonía de los contrarios. Esto es, reconocer que todo el tiempo tanto los profesionales de seguridad como los adversarios, cambiarán la ecuación del incierto, donde algunas veces una parte podrá celebrar el haber podido demorar y limitar la acción agresora, y en otra, la contraparte podrá saborear que ahora ha descubierto un nuevo punto ciego que puede explotar.

Referencias

Boehm, J., Kaplan, J. & Sportsman,N. (2020). Cybersecurity’s dual mission during the coronavirus crisis. Mckinsey Insights. De: https://www.mckinsey.com/business-functions/risk/our-insights/cybersecuritys-dual-mission-during-the-coronavirus-crisis

Cano, J. (2017). Riesgo y seguridad. Un continuo de confianza imperfecta. En Dams, A., Pagola, H., Sánchez, L. & Ramio, J. (eds) (2017) Actas IX Congreso Iberoamericano de Seguridad de la Información. Universidad de Buenos Aires – Universidad Politécnica de Madrid.

Cano, J. (2020). ¿Por qué los ciberataques son inevitables?: Prácticas y capacidades claves de la ciberseguridad empresarial. En Gauthier-Umaña V., Méndez-Romero R., & Suárez D. (Eds.), Voces diversas y disruptivas en tiempos de Revolución 4.0 (pp. 223-248). Bogotá, D. C.: Editorial Universidad del Rosario. doi:10.2307/j.ctv123x566.14

Chamorro-Premuzic, T. (2014). Curiosity Is as Important as Intelligence. Harvard Business Review. De: https://hbr.org/2014/08/curiosity-is-as-important-as-intelligence

Clearfield, C. & Tilcsik, A. (2018). Meltdown. Why our systems fail and what we can do about it. New York, New York. USA: Penguin House Press.

De Bono, E. (2016). El pensamiento práctico. Barcelona, España: Paidos

Espejo, R. & Reyes, A. (2016). Sistemas organizacionales. El manejo de la complejidad con el modelo del sistema viable. Bogotá, Colombia: Universidad de los Andes – Universidad de Ibagué.

Menon, G. & Kyung, E. (2020). When More Information Leads to More Uncertainty. Harvard Business Review. De: https://hbr.org/2020/06/when-more-information-leads-to-more-uncertainty

Mühlberg, B. (2020). Risk of Data Loss Surges in the Era of Coronavirus. CPO Magazine. De: https://www.cpomagazine.com/cyber-security/risk-of-data-loss-surges-in-the-era-of-coronavirus/

Pillay, R. (2019). Learn penetration testing. Understand the art of penetration testing and develop your white hat hacker skills. Birmingham, UK.:Packt Publishing Ltd

Rosa, E., Renn, O. & McCright, A. (2014). The risk society revisited. Social theory and governance. Philadelphia, Pennsylvania. USA: Temple University Press.


[1] Yuan, G. (1993). Las 36 estrategias chinas. Una antigua sabiduría para el mundo de hoy. Madrid, España: EDAF)


Editado por: Global Strategy. Lugar de edición: Granada (España). ISSN 2695-8937

Avatar
Jeimy Cano

Profesor Universitario y Consultor Internacional en Ciberseguridad y Ciberdefensa. Ph.D en Administración y Ph.D en Educación. Docente en varios posgrados en seguridad de la información, ciberseguridad y cibercrimen en Colombia.

Ver todos los artículos
Avatar Jeimy Cano