Jeimy CanoGlobal Strategy Report, 58/2020
Resumen: La práctica actual de la seguridad de la información y los recientes pasos que se han realizado en los temas de ciberseguridad, dan cuenta de una estrategia basada en la búsqueda de certezas y aseguramientos de las organizaciones frente a los riesgos, particularmente conocidos. La realidad por el contrario sugiere un entorno volátil, incierto, complejo y ambiguo, donde los estándares vigentes se ven limitados para atender las inusuales propuestas de los adversarios. En este sentido este artículo, plantea un modelo sistémico-cibernético de seguridad y control, que no busca limitar el incierto, sino comprenderlo basado en un balance de regulación y adaptación que permita habilitar ventanas de aprendizaje para preparar a la organización no sólo para responder, sino para anticipar posibles inestabilidades, y porque no, algunas de las jugadas de los adversarios.
Introducción
Cada vez más los retos de la inseguridad digital demandan de los ejecutivos de seguridad de la información y ciberseguridad salir de la zona cómoda de los estándares y buenas prácticas, y comenzar a entender mejor el escenario que tienen, las tendencias consolidadas y las señales débiles que se pueden advertir en el entorno (Wallace, 2020). El no hacerlo, trae como consecuencia que muchas de sus acciones terminen bajo el escrutinio forense, tratando de explicar “¿qué pasó?” y pasando la tormenta de las tensiones laborales que se manifiestan por cuenta de los impactos que se revelan para la compañía.
Cambiar o ajustar esta perspectiva preferente del ciclo de calidad (planear, hacer, verificar y actuar), por demás necesaria para los riesgos conocidos y bien documentados, implica no solo reconocer que la convergencia tecnológica, las tecnologías emergentes y disruptivas, los cambios geopolíticos y las actividades de los posibles adversarios, reinventan el territorio de riesgos estándares, sino que advierten de una evolución de la incertidumbre como elementos fundamental para transformar ahora la manera como desarrolla su actividad y orienta a la organización en materia de riesgos y controles en un entorno digital (Cambridge Centre for Risk Studies, 2019).
Siguiendo y ampliando las reflexiones del modelo del sistema viable, desarrollado por el Prof. Stafford Beer (Q.E.P.D) en los años 60s, es necesario articular al menos tres ciclos claves al interior de la dinámica de las prácticas de seguridad y control empresariales, con el fin de avanzar en el reto de revertir la ecuación del incierto que plantea el adversario, y así jugar en un territorio donde cada participante logre concretar una posición más estratégica, y así desarrollar sus jugadas.
Los tres ciclos que se proponen demandan una comprensión extendida de la realidad y articulan la necesidad de mantener fuera de la zona cómoda al CISO y su equipo. Los tres ciclos son: el ciclo de regulación (para los riesgos conocidos, basado en la aplicación de estándares), el ciclo de adaptación (para los riesgos latentes y emergentes, basado en análisis de escenarios y prospectiva) (Beer, 1985) y el ciclo de memoria y aprendizaje (para desarrollar capacidades de respuesta y aprendizaje colaborativo) (Reyes & Zarama, 1998).
Articular estos tres ciclos permite a la función de seguridad y ciberseguridad entrar en el reto de los atacantes, no sólo con las herramientas básicas conocidas (los estándares y buenas prácticas), sino con una capacidad de maniobra para plantear alternativas y propuestas que le permitan jugar (con una realidad aumentada) y capacidades defensivas, que exijan al atacante pensar mejor sus movimientos y mejorar su propuesta inicial de acción, o quizá disuadirlo que lo haga.
Así las cosas, se hace necesario actualizar los referentes tradicionales de operación de las áreas de seguridad y control, muchos de ellos basados en el ejercicio de proteger y asegurar (sin la variedad (informacional y operacional) requerida (Espejo, 2000) para tratar el incierto que propone el atacante), y pasar a defender y anticipar, donde el desafío implica generar un plan de juego distinto, donde las prácticas prospectivas (Popper, 2008) y el reconocimiento del incierto, aumenta la capacidad de respuesta y anticipación de la función de seguridad/ciberseguridad, frente a las tensiones que pueda generar el adversario con sus acciones.
En consecuencia, para desarrollar estas ideas el documento presenta inicialmente la dinámica actual del modelo tradicional de seguridad y control basado en una postura mecánica de planear, hacer, verificar y actuar, para luego entrar en el reto de una vista sistémico-cibernética de la seguridad de la información/ciberseguridad que asume el incierto como base de su aplicación.
Lo anterior, privilegia una prospectiva de riesgos y amenazas emergentes que se traduce ahora en un ciclo fundado en arriesgar, anticipar, responder y monitorizar, que busca superar la vista de retrovisor vigente en los indicadores y métricas de gestión actuales, para finalmente cerrar el artículo con algunas reflexiones finales que buscan en el lector motivar el desarrollo de planes de juego no convencionales como una forma transformar sus prácticas vigentes en los temas de seguridad/ciberseguridad.
Modelo tradicional de seguridad y control. El ciclo de calidad
El modelo tradicional de seguridad y control que está vigente en muchas organizaciones responde a una búsqueda de certezas, basada en la aplicación de las normas y estándares ISO de la serie 27000. Este ejercicio permanente de aseguramiento demanda un seguimiento y validación de controles, procedimientos y prácticas que buscan mantener el sistema que protege con el mínimo de desviaciones respecto de la norma.
Las normas ISO 27000 están diseñadas desde el modelo de calidad general que incluye cuatro fases: planear, hacer, verificar y actuar. Si hacemos una lectura en segregación funcional de este modelo, se puede afirmar que la seguridad de la información, estaría relacionada con el planear y verificar, mientras la seguridad informática con el hacer y el actuar. Desde la perspectiva de estas normas, la seguridad de la información es un proceso sistemático de aplicación de controles con el fin de asegurar los principios de confidencialidad, integridad y disponibilidad de los activos de información de la organización, y de esta forma mitigar los riesgos que puedan atentar contra los mismos (Disterer, 2013).
Al ser este proceso sistemático, repetible y verificable se establece un marco de trabajo base de certificación que permite configurar un mínimo de confianza en el proceso que se desea asegurar, comoquiera que con el cumplimiento de los requisitos que establece el estándar (basados en evidencia concreta) se puede concluir de forma razonable sobre su nivel de seguridad y control. Lo anterior, le permite a la organización mostrar su debida diligencia y debido cuidado frente a terceros y entes de regulación, sobre la forma en la que adelanta sus prácticas alrededor de la protección de la información.
Sin perjuicio de lo anterior, la aplicación y aseguramiento de la norma ISO 27000 no exime a la organización de un incidente de seguridad de la información, o de eventos adversos que afecten su dinámica empresarial. En este sentido, contar con un certificado ISO 27000 sin bien es lo mínimo que una empresa debería tener, particularmente para aquellos procesos donde se maneje la información sensible, se hace necesario explorar y analizar escenarios distintos que vayan más allá de los riesgos conocidos y obliguen a la compañía a salir de su zona cómoda y retar sus saberes previos.
En este contexto, la dinámica de la protección de la información en un entorno cada vez más digital y tecnológicamente modificado, exige comprender las relaciones visibles e invisibles entre los diferentes participantes de los actuales ecosistemas digitales, así como sus amenazas emergentes (EY, 2020), lo que implica necesariamente ir más allá de los controles básicos establecidos por los estándares y desarrollar ahora un pensamiento sistémico (Espejo, 1994), que privilegie el entendimiento de las relaciones entre las partes, más que el análisis de las partes mismas.
De esta forma, no solo se tendrá una vista regulada de aseguramiento desde la doctrina de los estándares ISO, sino que se habilitará una posibilidad para reconocer nuevos patrones y tendencias del entorno, que pueden o no afectar el desarrollo de los negocios de las empresas, y de esta forma, mirar la posibilidad no sólo de responder y prevenir nuevos ciberataques, sino establecer escenarios que habiliten nuevas capacidades para asumir riesgos de cara a las iniciativas de nuevos productos y servicios corporativos (Gorbis, 2019).
Modelo sistémico-cibernético en seguridad y control. Tres ciclos para cambiar el tablero del juego
El gran desafío que tiene el área de seguridad/ciberseguridad no es solamente mitigar los riesgos, ni evitarlos (si eso es viable), sino avanzar en la comprensión del entorno, profundizar en la construcción de confianza, concretar la identificación de las incertidumbres claves que afecten el negocio y desarrollar la capacidad de respuesta frente a un incidente (Gorbis, 2019). En este contexto, los estándares actuales se quedan cortos y amplían la brecha de incierto que propone el adversario, creando un gran espacio de maniobra para que el agente agresor efectúe sus jugadas con facilidad y sin contratiempos.
En este sentido, una visión extendida del modelo del sistema viable (Beer, 1985) que implica articular tres ciclos de acción y dinámica desde la regulación, la adaptación y la memoria y aprendizaje (ver figura 1), establecen una oportunidad para la función de seguridad/ciberseguridad para crear escenarios de simulación y respuesta, que inicialmente conecten los estándares conocidos y las prospectivas estratégicas, para abrir ventanas de aprendizaje, que manifiesten posibles puntos ciegos, sesgos cognitivos y deterioro de la efectividad de los controles actuales.
El ciclo de regulación es nutrido por las buenas prácticas y estándares, así como por los ejercicios regulares de auditoría, que permiten mantener afinada las prácticas básicas, manteniendo en foco y sin olvidar, que la efectividad de los controles vigentes se va deteriorando con el paso del tiempo, y por lo tanto, el sensor de dicha efectividad deberá constantemente calibrarse para estar a tono con los retos y dinámica de la organización, toda vez que la empresa se mueve y ajusta todo el tiempo tanto en procesos, personas, tecnologías y regulaciones.
El ciclo de adaptación que se conecta con el de regulación, reta todo el tiempo la dinámica empresarial para enriquecer los escenarios de media (riesgos latentes) y alta complejidad (riesgos emergentes) los cuales deberán ser simulados para reconocer aquellos elementos que pueden estar ausentes del modelo de seguridad y control actuales, y la manera de capitalizar mejor las capacidades de respuesta y anticipación de la organización. El objetivo de este ciclo promover la resiliencia de la organización y la coordinación de actividades para dar respuesta a la incertidumbre que genera un incidente de seguridad/ciberseguridad.
El ciclo de memoria y aprendizaje es una propiedad emergente que surge de la conexión de los dos ciclos anteriores. Es la sinergia que se genera al interior de la dinámica empresarial que habilita un aprendizaje colaborativo, para construir y conectar puntos aparentemente sueltos en el engranaje empresarial. Es entender y familiarizarse con el error (o aquellas cosas que no salen como se espera) para cuestionar los saberes previos, cambiar la forma de actuar, superar la zona cómoda de los estándares y crear nuevas “buenas prácticas” que preparan mejor a la organización para movilizarse en medio de las tensiones que supone operar en un entorno digital cada vez más agreste e inestable (Reyes & Zarama, 1998).
Al visualizar los tres ciclos en operación es posible ver la transformación del ciclo conocido de calidad, por un accionar más ajustado al cambio permanente del entorno basado en arriesgar, anticipar, responder y monitorizar (Denyer, 2017), los cuales privilegian el mejoramiento discontinuo, aumentar la flexibilidad de las respuestas y acciones, y manejar el incierto de manera más proactiva, creando una postura de defensa digital menos rígida como un castillo, y más dúctil, como una membrana que se ajusta y cambia conforme va aprendiendo, ejercitando y reconociendo las propuestas del adversario.
Creando prospectiva de ciberseguridad/seguridad. Superando el espejo retrovisor
La aplicación de los estándares y buenas prácticas en seguridad y cibeseguridad es un ejercicio que se ha consolidado con el paso del tiempo, que ha permitido desarrollar interesantes indicadores de cumplimiento y efectividad frecuentemente utilizados por las organizaciones para dar cuenta de su nivel de avance en la protección de la información y su conformidad con las normas y regulaciones nacionales e internacionales.
Si revisamos estos indicadores muchos de ellos (o prácticamente todos) están fundados en una vista restrospectiva, en aquello que se sucedió y lo que se afectó, lo cual permite conocer aquellos puntos débiles, que aún permanecen pendientes de asegurar. Para ello, la práctica de calidad demanda se desarrollen los ejercicios de análisis causa-raíz, con el fin de detectar y establecer el punto de falla, para corregirlo y cerrar la brecha. Hacer este ejercicio de forma mecánica y puntual, no permite reconocer lo que ocurre, pues una falla, por lo general, es el resultado de un efecto sistémico que implica conocer y analizar las relaciones y conexiones del contexto donde esta ocurre, y no es necesariamente la falla de un control (Cook, 2000).
Los indicadores de seguridad y control basados en las métricas que se recogen de la aplicación de los estándares (sobre los riesgos conocidos) permiten crear umbrales de notificación y acción que se traducen en alertas, que pueden ser de utilidad para tomar acciones concretas de acción antes que ocurra un incidente. La mirada de retrovisor que se tiene en la actualidad, si bien resulta útil para “indicar” aquello que ocurrió, no permite ver aspectos novedosos de la realidad, ni habilitar una capacidad anticipatoria de la función de seguridad, dejando su margen de acción limitado a las certezas que puede tener de aplicación de sus prácticas actuales.
Movilizar a la función de seguridad/ciberseguridad hacia el desarrollo de indicadores prospectivos o de “feedforward” (Goldsmith, s.f.), implica actualizar el “planear, hacer, verificar y actuar” por el “arriesgar, anticipar, responder y monitorizar” (Denyer, 2017), donde los indicadores que se desarrollan están en función de los nuevos patrones de amenazas identificados, el número de simulaciones realizadas sobre los escenarios de complejidad media y alta, el conjunto escenarios retadores y asimétricos disponibles, así como las prácticas realizadas de los playbooks disponibles (Bollinger, Enright & Valites, 2015) para hacer frente a las amenazas conocidas y emergentes visualizadas por la organización.
Cuando se logra conectar los ciclos de regulación y adaptación comentados previamente es posible concretar a los escenarios como la nueva base de la práctica de la función de seguridad/ciberseguridad, de tal forma que cada simulación de éstos permite retar el conocimiento previo y base de la organización, y aumentar la capacidad de adaptación requerida para enfrentar el incierto de un incidente, y de esta forma crear un capital de aprendizajes permanentes donde la relación del área de seguridad/ciberseguridad con el “error”, la “incertidumbre” y la “complejidad” se hace cada vez de forma más familiar y más coordinada con las áreas de negocio (Espejo, 2000).
Reflexiones finales
Cuando se entiende la seguridad de la información/ciberseguridad como una propiedad emergente de un sistema, que no depende de una persona, tecnología o área, es claro que su dinámica es sensible al contexto y por lo tanto, será una práctica cambiante en todo momento, que demanda aprender todo el tiempo del entorno y sus tendencias (Cook, 2000). Luego, mantener una vista mecanicista y fundada en certezas que se tiene en la actualidad en muchas áreas de seguridad, advierte la configuración de múltiples puntos ciegos, sesgos e incubación de incidentes que escapan al radar de sus validaciones actuales.
En este sentido, se hace necesario incorporar la dinámica sistémico-cibernética planteada previamente para cambiar el tablero de juego del adversario y así no solamente asegurar aquellos riesgos conocidos, sino darle espacio a la incertidumbre y la imaginación en los modelos vigentes de seguridad y control, para lanzarse a desarrollar mapas interactivos de actuaciones sobre un territorio que cada vez más es inestable, volátil y ambiguo (Espejo & Reyes, 2016). Esto es, vincular el desarrollo de escenarios en diferentes niveles de complejidad para preparar a la organización para responder e incorporar las capacidades que son requeridas de acuerdo al apetito de riesgo de la empresa y lo que ello significa.
Lo anterior lleva a la función de seguridad/ciberseguridad a definir umbrales de operación que le permitan márgenes de impacto y compromiso, para activar acciones concretas basada en la vista prospectiva que ha desarrollado y así, presentarse delante del adversario con un “plan de juego no convencional” que transmita cierto nivel incierto a su agresor para que piense mejor sus estrategias de ataque o mejor aún, sus planes de desestabilización inicialmente diseñados (Fergnani, Hines, Lanteri & Esposito, 2020).
Cuando se entiende la seguridad/ciberseguridad como una propiedad emergente de un sistema, los ejecutivos que la lideran no están centrados en la incorporación de tecnologías de protección, sino en comprender las relaciones y experiencias que se requieren concretar, para lo cual las simulaciones, los prototipos y la exposición a las posibles fallas le permiten validar mejor sus decisiones y propuestas. Lo que se traduce, en un ejercicio de co-laboración, co-ordinación, co-operación y co-creación que conduce a una postura de seguridad y control que se adapta y conecta con la dinámica del negocio, aún en medio del incierto.
Referencias
Beer, S. (1985). Diagnosing the system for organizations. London, UK: Wiley.
Bollinger, J., Enright, B. & Valites, M. (2015) Crafting the InfoSec Playbook. Sebastopol, CA. USA: O’Reilly
Cambridge Centre for Risk Studies (2019). Cambridge Taxonomy of Business Risks. https://cambridgebusinessriskhub.com/erm/portal/publication/taxonomy-of-business-risks
Cook, R. (2000). How Complex Systems Fail. https://how.complexsystems.fail
Denyer, D. (2017). Organizational resilience. A summary of academic evidence, business insights and new thinking. BSI-Crandfield University. De: https://www.cranfield.ac.uk/som/case-studies/organizational-resilience-a-summary-of-academic-evidence-business-insights-and-new-thinking
Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for Information Security Management. Journal of Information Security. 4. 92-100. http://dx.doi.org/10.4236/jis.2013.42011
Espejo, R. & Reyes, A. (2016). Sistemas organizacionales. El manejo de la complejidad con el modelo del sistema viable. Bogotá: Universidad de los Andes-Universidad de Ibagué.
Espejo, R. (1994). What is Systems Thinking? System Dynamics Review. 10(2-3). 199-212
Espejo, R. (2000). Giving Requisite Variety to Strategic and Implementation Processes: Theory and Practice. Proceedings of the JAIST Conference. Ishikawa, Japan. https://www.researchgate.net/publication/228772758_Giving_Requisite_Variety_to_Strategic_and_Implementation_Processes_Theory_and_Practice
EY (2020). Are you reframing your future or is the future reframing you? Megatrends 2020 and beyond. https://assets.ey.com/content/dam/ey-sites/ey-com/en_gl/topics/megatrends/ey-megatrends-2020-report.pdf
Fergnani, A., Hines, A., Lanteri, A. & Esposito, M. (2020). Corporate Foresight In An Ever-Turbulent Era. European Business Review. September. https://www.europeanbusinessreview.com/corporate-foresight-in-an-ever-turbulent-era/
Goldsmith, M. (s.f.) Try FeedForward Instead of Feedback. http://www.marshallgoldsmithfeedforward.com/html/Articles.htm
Gorbis, M. (2019). Five Principles for Thinking Like a Futurist. Educause Review. https://er.educause.edu/articles/2019/3/five-principles-for-thinking-like-a-futurist
Popper, R. (2008) How are foresight methods selected? Foresight, 10(6), 62-89. DOI: 10.1108/14636680810918586
Reyes, A. & Zarama, R (1998) The process of embodying: a re-construction of the process of learning. Cybernetics & Human Knowing. 5(3). 19-33
Wallace, W. (2020). Why leaders need to broaden their world view. Strategy+Business. November. https://www.strategy-business.com/blog/Why-leaders-need-to-broaden-their-world-view
Editado por: Global Strategy. Lugar de edición: Granada (España). ISSN 2695-8937
Global Strategy
Octavio Aláez Feal