• Buscar

Modos de operación de la ciberseguridad empresarial. Capacidades básicas para navegar en el contexto digital

https://global-strategy.org/modos-de-operacion-de-la-ciberseguridad-empresarial-capacidades-basicas-para-navegar-en-el-contexto-digital/ Modos de operación de la ciberseguridad empresarial. Capacidades básicas para navegar en el contexto digital 2021-10-27 10:46:36 Jeimy Cano Blog post Global Strategy Reports Políticas de Seguridad Ciberseguridad
Print Friendly, PDF & Email

Global Strategy Report, 44/2021

Resumen: La ciberseguridad empresarial es el nuevo referente de las empresas modernas que quieren marcar la diferencia con sus clientes y con sus productos y servicios en el contexto digital. En este sentido, se hace necesario no sólo contar con una estrategia en esta temática, sino un marco de operaciones básicas que le permita ganar flexibilidad y agilidad para navegar en medio de los retos e inestabilidades de la realidad actual. Por tanto, este documento presenta cuatro modos de operación de la ciberseguridad empresarial que configuran las capacidades básicas que las organizaciones deben incorporar en la dinámica de sus negocios, con el fin de atender los retos renovados e innovadores de los adversarios y así, lanzarse a navegar en aguas profundas de las tecnologías emergentes donde siempre habrá espacio para reconocer, rebotar y aprender frente a la inevitabilidad de la falla.

Para citar como referencia: Cano, Jeimy (2021), “Modos de operación de la ciberseguridad empresarial. Capacidades básicas para navegar en el contexto digital”, Global Strategy Report, No 44/2021.


Introducción

La ciberseguridad empresarial sigue avanzando en las agendas ejecutivas a nivel global como quiera que ahora se ubique dentro de las exigencias de los comités de auditoría de junta directiva y hace parte del debido cuidado de los miembros del directorio frente al tratamiento del riesgo cibernético. Sin perjuicio de lo anterior, la ciberseguridad deberá mantener su espíritu y fundamento sistémico con el fin de establecerse como una distinción corporativa y articuladora de los negocios, para continuar en su ejercicio de construcción de capacidades para dar respuesta a la inevitabilidad de la falla en un escenario cada vez más digital e interconectado (Cano, 2021).

En este contexto, las organización debe estar todo el tiempo censando el entorno, explorando tendencias, respondiendo a incidentes y monitoreando alertas con el fin de lograr y mantener una posición estratégica privilegiada en su ambiente de negocios, y así, continuar operando a pesar de la materialización de un evento inesperado, que ponga a prueba sus propios estándares y procedimientos, así como su capacidad para “rebotar” y operar en condiciones limitadas y ejercitadas de forma conjunta, con el menor impacto posible (Zongo, 2018).

Para lograr lo anterior, la ciberseguridad empresarial debe habilitar modos de operación básicos, como una manera de movilizarse de forma ágil y liviana, para dar cuenta con la zona de inestabilidad que se puede (y posiblemente se va a) materializar. Dichos modos, están fundados en cuatro elementos fundamentales como son el apetito de riesgo, los umbrales de operación, las alianzas estratégicas y los adversarios, los cuales conectan la dinámica empresarial alrededor del riesgo cibernético, no como una referencia técnica de la temática, sino como una lectura estratégica que busca flexibilidad y resistencia ante eventos inesperados.

En este sentido, se plantea la siguiente reflexión que busca configurar cuatro modos de operación de la ciberseguridad: defensa, radar, crisis y monitorización, que le permitan a cualquier empresa organizar su estrategia de acción en el entorno cibernético, y que reconociendo los riesgos emergentes y patrones inusuales del entorno, pueda movilizarse de forma efectiva para dar cuenta con los retos empresariales en el entorno digital. Esto es, desarrollar la habilidad de combinar los diferentes modos para navegar en medio de la inestabilidad, teniendo como guía y soporte una lectura dinámica del entorno, para mantener en perspectiva su objetivo base: resistir, permanecer y renacer aún en medio de escenarios adversos.

Fundamentos de los modos de operación en ciberseguridad

La ciberseguridad empresarial como capacidad estratégica de las empresas modernas establece un marco de operación básico que está más allá de las prácticas vigentes de seguridad y control. Entender esta capacidad como un ejercicio de aprendizaje permanente en un entorno de inestabilidad y volatilidad, requiere reconocer algunos fundamentos básicos que configuran el reto de construir una postura vigilante y atenta para mantener sus operaciones a pesar de la materialización de eventos adversos (Day & Schoemaker, 2019). Los fundamentos son: el apetito de riesgo, los umbrales de operación, las alianzas estratégicas y los adversarios.

Figura 1. Fundamentos de los modos de operación de la ciberseguridad empresarial (Elaboración propia)

El apetito de riesgo es la declaración del equipo ejecutivo sobre que riesgos está dispuesto a asumir en medio de los desafíos actuales de su entorno de negocio. Esto es, entender qué riesgos no está dispuesto a tomar de cara a sus valores corporativos, qué riesgos está dispuesto a tomar frente a la iniciativa digital que se quiere desarrollar, cuáles serán los impactos y efectos sobre sus grupos de interés si se materializa un riesgo y finalmente qué capacidades se requieren incorporar para dar cuenta con los riesgos que se van a tomar.

El apetito de riesgo es un ejercicio de reconocimiento directivo de los retos que la empresa va a asumir, las condiciones y características que los ejecutivos van a definir para navegar frente a una iniciativa, y la posición de riesgo que han analizado y concretado luego de entender cómo se cambiará la experiencia del usuario, y cómo se va acompañar al cliente si algo no sale como está previsto (IIA, s.f.). Esto último, es la aplicación práctica de la construcción de confianza digital, donde el cliente es parte de la estrategia de defensa y se conecta con las prácticas y procesos diseñados por la empresa para acompañarlo en medio del incierto creado por el adversario.

El segundo elemento son los umbrales de operación, esos límites inferior y superior donde la organización puede operar, que define su nivel de tolerancia y capacidad de riesgo. Los umbrales de operación establecen las acciones concretas que la empresa tiene diseñada para moverse y mantenerse funcionando a pesar de estar comprometidos (Ross et al., 2021) En la zona de inestabilidad, se reconocen y atienden las alarmas que se han disparado por cuenta del evento adverso, se moviliza a la corporación con directrices mínimas que permitan navegar y disminuir los impactos del ataque, cuidando no superar la capacidad de riesgo definida.

Los umbrales de operación definen el nivel de amortiguamiento que se tiene previsto para absorber la mayor cantidad de inestabilidad y mantener la organización en operación. Mientras mejor se tengan definidos los “amortiguadores” (por ejemplo respuesta adaptativa, redundancia, segmentación) mejor será la respuesta y la manera como la empresa pasará la zona de compromiso e inestabilidad (Ross et al., 2021). En la medida que adelante simulaciones y prácticas para activar sus acciones de atenuación y estabilización del ataque, tendrá mejores expectativas para continuar sus operaciones y coordinar las respuestas que tiene previstas.

De otra parte, se tienen las alianzas estratégicas, esos socios claves que están articulados y conectados frente al evento adverso. Esto supone, la construcción de una relación de defensa conjunta, donde se integran y comparten las capacidades relevantes de cada uno de los miembros para coordinar y responder a los efectos de un ataque. La alianza define una agenda común entre sus participantes y la caracterización de sus atacantes, con el fin de construir una lectura ágil y focalizada de su entorno que despliegue las acciones necesarias y suficientes bien para demorar o disuadir a los posibles adversarios (Chen, 2020).

Las alianzas estratégicas definen una vista de colaboración y cooperación que se construye en la confianza de doble vía de sus participantes, donde no sólo se comparte información e infraestructura, sino que se armonizan estrategias de defensa y disuasión detalladas que buscan, más que detener el avance de la amenaza, anticiparla en el propio terreno del agresor. De igual forma, al contar con capacidades conjuntas de defensa pasiva (monitorización y detección), son capaces de coordinar despliegues adicionales de operaciones ofensivas con la participación y el liderazgo de las autoridades y los comandos cibernéticos desde la perspectiva de una defensa activa.

Finalmente y no menos importante, el adversario ese protagonista principal del escenario cibernético que configura y materializa la amenaza sobre la cual se crean las tensiones alrededor de la dinámica de las organizaciones del siglo XXI. Si bien, desde la perspectiva de los estándares y buenas prácticas ha pasado desapercibido, en el contexto del riesgo cibernético se convierte en el elemento base sobre la cual la ciberseguridad tiene su foco. El agresor más que su figura y capacidades para hacer daño, representa la lectura del incierto que reta a la organización a continuar sus operaciones aun fuera de su zona cómoda (Cano, 2021).

Estos cuatro fundamentos interconectados establecen la base conceptual del ejercicio de aprendizaje que demanda la práctica de la ciberseguridad en las organizaciones. Una lectura sistémica para comprender el reto de la resiliencia empresarial como objetivo para rebotar y absorber los embates de los adversarios, reconocer y anticipar sus movimientos, y sobremanera, movilizarse en medio de una jugada exitosa del agresor que busca forzar a la organización a cometer errores y distraerla para tener una mejor posición y así concretar su plan (Hepfer & Powell, 2020).

Modos de operación en ciberseguridad: objetivos y acciones

Los fundamentos detallados previamente establecen la base sobre la cual se despliegan las capacidades básicas o modos de operación de la ciberseguridad empresarial. Lo anterior configura las condiciones y acuerdos básicos que las empresas deben tener para desplegar los modos de la operación de la ciberseguridad, que materializan su actuar concreto para superar los retos que los adversarios le sugieran frente al cumplimiento de su agenda estratégica.

A continuación se detallan cada uno de los cuatro modos definidos para la operación de la ciberseguridad (monitorización, defensa, radar y crisis) como se ilustra en la figura 2, que más que seguir un estándar o buena práctica, representa la dinámica empresarial natural en medio de un ambiente cada vez más frágil, angustiado, no lineal e incomprensible (Cascio, 2020).

Figura 2. Fundamentos y modos de operación de la ciberseguridad (Elaboración propia)

Modo Monitorización

Este primer modo se concentra en brindarle herramientas a la organización para detectar y actuar considerando los datos disponibles desde diferentes fuentes, con el fin de identificar aquellos eventos que están fuera de aquello que se ha definido como normal, revelar anomalías y situaciones sospechosas (Reeves, Goodson & Whitaker, 2021). En este ejercicio la monitorización establece una práctica de configuración y actualización de alertas que permitan a la empresa desarrollar maniobras de acción preventiva, y la activación de alarmas, las cuales movilizan las acciones de atención de incidentes materializados dentro de los umbrales de operación definidos por la corporación.

Objetivo: Detectar y actuar

Acciones:

  • Alertas
  • Alarmas

Modo Defensa

Este segundo modo tiene como propósito demorar y disuadir al adversario. Es un ejercicio que reconoce las capacidades del agresor, su persistencia y su despliegue de inteligencia sobre la infraestructura objetivo. Es un modo que activa y mantiene el uso de los mecanismos tradicionales de seguridad y control como son los sistemas de detección y prevención de intrusos, los firewalls de nueva generación, sandbox, inteligencia de fuentes abiertas y tecnologías de engaño, con el fin ver los movimientos del adversario para tratar de interceptarlo antes de que tenga éxito. Esto modo de defensa tiene el margen de maniobra para combinar la defensa pasiva con la defensa activa que se coordina con los comandos cibernéticos disponibles, para lograr mayor capacidad de disuasión y afectación de la infraestructura tecnológica del atacante.

Objetivo: Demorar y disuadir

Acciones:

  • Defensa pasiva
  • Defensa activa

Modo Crisis

El modo crisis define las capacidades de la organización para atender y superar eventos inciertos e inesperados, activando los procedimientos de coordinación y comunicación necesarios para movilizar a la empresa en el valle del “incierto” que la condición adversa le propone. Es el conjunto de acciones previamente definidas y detalladas para evitar la confusión y la desesperación de los miembros de la corporación, para lo cual se despliega el libro de jugadas y el músculo de la memoria de los ejercicios previamente realizados, donde se han capitalizado las lecciones aprendidas, se han ajustados los planes de operación y se configura una línea de toma de decisiones que se tienen debidamente documentadas y practicadas (Hepfer & Powell, 2020).

Objetivo: Coordinar y comunicar

Acciones:

  • Gestión de incidentes
  • Playbooks – Libro de jugadas

Modo Radar

Este modo es la base misma de la analítica de los datos y comportamientos disponibles en los datos recopilados desde diferentes fuentes. Es el uso intensivo de la inteligencia y revelación de señales débiles y patrones inusuales, que permiten correlacionar bien la información disponible en el modo monitorización, o advertir nuevas puestas en escena que están intentando los atacantes (Kuipers et al., 2020). El modo radar busca retar el conocimiento previo adquirido por la organización y consolidado desde los datos compilados en diferentes fuentes, así como crear escenarios de amenazas que puedan ser validados y simulados por la organización como estrategia de anticipación y preparación frente a hechos que aún no se han revelado o materializado (Fojón, 2020).

Objetivo: Prospectiva y anticipación

Acciones:

  • Señales débiles
  • Patrones inusuales

Aplicación de los modos de operación en la práctica empresarial

Estos cuatro modos se materializan en un marco de trabajo específico guiado por una lectura extendida de los sistemas socio-técnicos conformados por cuatro niveles: físico, aplicaciones, negocios y comportamientos (Cano, 2021b). En cada uno de los niveles se materializa el modo de forma específica con el fin de configurar una visual táctica y operativa que permite su aplicación y la forma como se relaciona con los otros modos disponibles como se advierte en la tabla 1.

Tabla 1 Aplicación de los modos de operación de la ciberseguridad empresarial

Nota: Elaboración propia

El nivel físico relacionado con el almacenamiento de los datos, representa la primera línea que enfrenta el atacante. Su fortaleza no reside en los mecanismos de seguridad tradicionales empleados para su protección, sino en la capacidad de degradar la inteligencia del atacante, con el fin de aumentar su incierto y habilitar espacios para la disuasión de la acción agreste. En este nivel los cuatro modos actúan de forma coordinada para crear un escenario creíble de operación que permita sorprender al atacante en su propio terreno y crear acciones evasivas por si logra descubrir que no está frente a la infraestructura real.

El nivel de las aplicaciones representa la fortaleza y confiabilidad del software y su uso. En este nivel pone a prueba la resistencia y respuesta de las aplicaciones frente a eventos conocidos y pruebas inusuales que permita habilitar una inteligencia de amenazas, probarlas en entornos controlados como un sandbox, con el fin de preparar las alarmas que se disparen por una materialización de un mal uso o brecha de seguridad que comprometa el procesamiento de los datos. En este nivel, el estudio del comportamiento del software y sus anomalías representa la esencia de la preparación y configuración de los umbrales de operación: desactivación módulos, activación del modo prueba de fallos, entre otros.

El nivel de negocios implica entender cómo se van a usar los datos, que aplicaciones los generan y en qué condiciones, para lo cual se configura una capa de registros de controles de acceso y movilidad de la información desde la aplicaciones y la infraestructura tecnológica. Estos registros configuran un “lago de datos” donde es posible desarrollar una analítica de tendencias y señales, que crean un marco de alertas por usos “no estándar” que mantienen una vigilancia sobre las diferentes cuentas de usuario creadas y usadas sobre los datos. En este nivel, son los negocios y sus diferentes participantes los que diseñan y apalancan las reglas del uso de las aplicaciones, para lo cual las tecnologías permiten visibilizar bien su cumplimiento o las acciones que se realicen por fuera de lo previamente definido.

El nivel de comportamiento representa a las personas que utilizan las aplicaciones y le dan vida a la dinámica de la organización. En este nivel la analítica de comportamiento, se convierte en el elemento base de la ciberseguridad empresarial, la cual combinada con la tecnologías de engaño configuran una base de monitorización y defensa que habilita la identificación de patrones emergentes, los cuales permiten diseñar escenario de media y alta complejidad para poner a prueba los playbooks o libros de jugada disponibles en la empresa. El comportamiento de las personas moviliza y afina los otros ejercicios que se tienen en el modo radar, que terminan en ajustes de las alarmas y alertas que se puedan definir por cuenta de estos nuevos datos analizados.

La aplicación de los modos de operación en la realidad organizacional leída desde la vista socio-técnica extendida, permite reconocer la dinámica holística y anidada de la ejecución y acción de las prácticas y tecnologías revisadas, las cuales deberán ser actualizadas conforme avancen los desarrollos en estas líneas de trabajo y se actualicen las lecturas de los fundamentos de los modos de operación por cuenta de cambios en el direccionamiento estratégico de la empresa y reconocimiento de nuevos retos para la compañía.

Reflexiones finales

Diseñar una estrategia de ciberseguridad empresarial demanda un lectura estratégica y táctica del modelo de generación de valor del negocio, las expectativas de los clientes y sobremanera el apetito de riesgo de la compañía (BCG, 2021). En este contexto, no es suficiente la preparación que tenga la empresa para sobreponerse a las pérdidas de continuidad, sino habilitar nuevas capacidades que le permitan mantenerse en el juego a pesar de que el adversario tenga éxito. La resiliencia empresarial se convierte en la nueva frontera que las empresas deben lograr en una sociedad digital y tecnológicamente modificada.

Las prácticas actuales y los estándares disponibles reconocen los retos de la ciberseguridad empresarial desde la perspectiva de los riesgos conocidos y sus efectos, dejando de lado los retos que imponen los riesgos latentes y emergentes que con frecuencia son y serán aprovechados por los adversarios para concretar sus acciones. Así las cosas, más que concentrarse en la efectividad de los controles disponibles, deberá analizar con mayor detalle su contexto de operación y la realidad de los sistemas socio-técnicos que le dan forma a la interacción de las personas en el escenario digital (Li & Horkoff, 2014).

En línea con lo anterior, se introducen los modos de operación de la ciberseguridad empresarial como el conjunto base de capacidades que deben desarrollar las organizaciones de cara a enfrentar un entorno de ecosistemas digitales de negocios, que le exigen asumir riesgos y generar alianzas con terceros de confianza para lograr transformar las expectativas de los clientes en experiencias distintas y novedosas (WEF, 2020). Dichos modos, representan la dinámica que los negocios requieren para navegar en medio de las inestabilidades propias de su entorno y la necesidad de acompañar a sus clientes cuando las cosas no salen como estaban previstas.

Aplicar estos modos de operación de la ciberseguridad empresarial demanda una vista sistémica de coordinación e integración con los sistemas socio-técnicos que se traduce en la aplicación de prácticas y tecnologías que crean un escenario de maniobras para la organización, que conecta con el apetito de riesgo corporativo, los umbrales de operación, las alianzas estratégicas y la lectura del adversario. De esta forma, la ciberseguridad deja de ser un referente técnico y se transforma en un aliado natural de la manera como se mueve el negocio, y establece las bases para la construcción de la confianza digital necesaria para avanzar en zonas de volatilidad y eventos inesperados (Cano, 2020).

Los modos de operación detallados en este documento lejos de configurar una “buena práctica” sugieren un posible camino de implementación de la ciberseguridad empresarial, que consultando las tecnologías y estándares existentes, busca movilizar a las organizaciones por un camino inicial de implementación práctica que le permita conectar las exigencias de los equipos directivos frente a las demandas de los clientes y las fuerzas del mercado, para encontrar rutas alternas de despliegue y operación. En este ejercicio la lectura de los sistemas socio-técnicos permite situar la dinámica de las personas y sus comportamientos como la base de materialización del apetito al riesgo declarado por sus ejecutivos.

Materializar la distinción de la ciberseguridad empresarial como una capacidad estratégica de las empresas del siglo XXI, encuentra en los modos de operación una base conceptual y práctica para pensar y reflexionar sobre el “cómo” traducir los buenos deseos de la declaración ejecutiva alrededor del negocio en el contexto digital, en un proceso de construcción colectivo que aprende todo el tiempo de las apuestas de los atacantes, que responde con claridad y coordinación ante la adversidad, y que más allá de ser invulnerable, sabe que su mayor fortaleza reside en entender la ciberseguridad como un ejercicio permanente de desaprendizaje frente a la inevitabilidad de la falla.

Referencias

BCG (2021). The CEO’s Guide to Cybersecurity. BCG Insights. September. https://media-publications.bcg.com/BCG-Executive-Perspectives-CEO-Guide-to-Cybersecurity.pdf   

Cano, J. (2020). Repensando la práctica de la seguridad y la ciberseguridad en las organizaciones. Una revisión sistémico-cibernética. Global Strategy. Global Strategy Report 58. https://global-strategy.org/repensando-la-practica-de-la-seguridad-y-la-ciberseguridad-en-las-organizaciones-una-revision-sistemico-cibernetica/

Cano, J. (2021). Ciberseguridad empresarial. Reflexiones y retos para los ejecutivos del siglo XXI. Bogotá, Colombia: Lemoine Editores.

Cano, J. (2021b). Modelos formales de seguridad y control. Una reflexión no convencional de estrategias y prácticas probadas para un contexto digital. Global Strategy. Global Strategy Report No.17. https://global-strategy.org/modelos-formales-de-seguridad-y-control-una-reflexion-no-convencional-de-estrategias-y-practicas-probadas-para-un-contexto-digital/

Chen, J. (2020). A framework of partnership. Cyber Defense Review. 5(1). Summer. 15-27. https://cyberdefensereview.army.mil/Portals/6/CDR%20V5N1%20-%20FULL_WEB_1.pdf

Cascio, J. (2020). Facing the age of caos. Institute for the future. https://medium.com/@cascio/facing-the-age-of-chaos-b00687b1f51d  

Day, G. & Schoemaker, P. (2019). See soon, act faster. How vigilant leader thrive in an era of digital turbulence. Cambridge, MA. USA: MIT Press

Fojón, E. (2020). Un informe de futuro o ¿cambio de paradigma? Global Strategy. https://global-strategy.org/un-informe-de-futuro-o-cambio-de-paradigma

Hepfer, M. & Powell, T. (2020). Make Cybersecurity a Strategic Asset. Sloan Management Review. 62(1). 40-45.

IIA (s.f.). Definición e implantación de apetito al riesgo. Fábrica de Pensamiento. Instituto de Auditores Internos de España. De: https://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-original.original.pdf

Kuipers, H., Iny, A. & Sander, A. (2020). Building your uncertainty advantaje. BCG Analysis. https://www.bcg.com/publications/2020/using-uncertainty-to-your-advantage

Li, T. & Horkoff, J. (2014). Dealing with Security Requirements for Socio-Technical Systems: A Holistic Approach. En Jarke M. et al. (eds) (2014). Advanced Information Systems Engineering. CAiSE 2014. Lecture Notes in Computer Science. 8484. Springer. https://doi.org/10.1007/978-3-319-07881-6_20

Reeves, M., Goodson, B.  & Whitaker, K. (2021). The Power of Anomaly. To achieve strategic advantage, scan the market for surprises. Harvard Business Review. https://hbr.org/2021/07/the-power-of-anomaly

Ross et al. (2021). Developing Cyber Resilient Systems: A Systems Security Engineering Approach. NIST. NIST Special Publication 800-160. Volumen 2. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v2.pdf

WEF (2020). Cybersecurity, emerging technology and systemic risk. Future Series. Oxford University. http://www3.weforum.org/docs/WEF_Future_Series_Cybersecurity_emerging_technology_and_systemic_risk_2020.pdf

Zongo, P. (2018). The five anchors of cyber resilience. Victoria, Australia: Broadcast Books.


Editado por: Global Strategy. Lugar de edición: Granada (España). ISSN 2695-8937

Jeimy Cano

Profesor Universitario y Consultor Internacional en Ciberseguridad y Ciberdefensa. Ph.D en Administración y Ph.D en Educación. Docente en varios posgrados en seguridad de la información, ciberseguridad y cibercrimen en Colombia.

Ver todos los artículos
Jeimy Cano