Pronósticos sobre la inseguridad de la información en 2016. Movimientos laterales sobre escenarios emergentes
Autor: Jeimy Cano, Ph.D, CFE
Introducción
Conforme evolucionan los negocios y las exigencias de los consumidores y clientes, nuevas oportunidades de servicios y productos, particularmente apalancados con tecnología, se hacen presentes. Los nuevos dispositivos inteligentes y conectados como los “vestibles”, las novedades de servicios de inteligencia en la nube y la analítica de datos consolidados para efectos de pronóstico, nos indican que estamos sólo ad portas de una nueva ola de elementos disruptores en los negocios actuales.
Sin perjuicio de lo anterior, la capacidad de absorción de estas novedades disminuye dada la gran cantidad de las mismas, haciendo más lento los impactos de aquellas en el contexto social, toda vez que su incorporación requiere contar con el tiempo y el espacio para potenciarlas y encontrarles posibilidades diversas en el escenario de las necesidades globales y renovadas de las empresas y los individuos (Moschella, 2015).
Por tanto, sabiendo que vamos a encontrarnos con algunas meseta tecnológicas y condiciones menos desequilibrantes en las dinámicas de los mercados, el ejercicio de pronóstico de nuevas amenazas de seguridad y control de las organizaciones no dejará de ser retador, como quiera que la presión por la innovación y creación de valor estarán nutriendo el hambre de diferenciación y posicionamiento de las empresas, frente a las condiciones y realidades de los clientes.
En razón con lo anterior, se plantea esta breve reflexión sobre las tensiones emergentes identificadas sobre la seguridad y control en el contexto empresarial y personal, que nos advierten los compromisos y retos que los ejecutivos de seguridad de la información deberán confrontar y tratar para dar cuenta de las prácticas necesarias para conjurar los niveles de exposición de las amenazas identificadas y las posturas claves que deben anticipar tanto empresas como individuos para hacer en el presente, una lectura del futuro.
De productos y servicios estáticos a realidades dinámicas – un ecosistema digital abierto e inteligente
De acuerdo con Porter y Heppelman (2015) los nuevos productos y servicios que vienen articulados con tecnología tienen tres elementos principales: un componente físico (partes electrónicas y mecánicas), uno inteligente (sensores, microprocesadores, almacenamiento de datos, controles, software, sistema operativo embebido e interfase digital de usuario) y otro de conectividad (puertos, antenas, protocolos y redes que posibilitan la comunicación entre el producto y su complemento en la nube, que corre en servidores remotos).
Si lo anterior es correcto, la seguridad y control del dispositivo y sus flujos de información se convierten en la base fundamental de la lectura de valor que se le va a entregar a sus clientes. Un producto posibilitado y nutrido de relaciones tecnológicas, debe ser por definición confiable para su uso, cuidadoso de la realidad del usuario y preventivo ante posibles formas de fuga de información y cuidando aquellos datos agregados que puedan derivarse de esta conectividad.
Lo anterior demanda de la infraestructura tecnológica la formalización de capacidades necesarias y suficientes como monitorización (reportes de condición del producto o servicio), control (hacer resistente la operación del mecanismo frente a las amenazas identificadas) y optimización (mejoramiento del desempeño de los dispositivos y tiempo de disponibilidad) (Porter y Hepelmann, 2015). La combinación de los tres anteriores permite revelar la cuarta capacidad como lo es la autonomía, donde los productos pueden aprender, adaptarse al ambiente y operar bajo su propia dinámica.
Este nuevo contexto digital habilita y activa la dinámica delincuencial como quiera que querrá participar de las nuevas formas de obtener utilidades, impactar al mayor número de personas y mantenerse en el anonimato. Por tanto, el ecosistema digital debe tener como requisito base la creación de nuevas bases de confiabilidad y seguridad, ahora entendidas como una práctica de comunidad reconocida que habilita una respuesta conjunta de los participantes y no solamente la voz perdida de uno de ellos.
De los flujos de información conocidos, a los flujos de información emergentes y desconocidos – Computación oscura
No cabe duda que los flujos de información van a cambiar en no solo en su forma sino también en la práctica. Mientras en la actualidad los procesos debidamente establecidos y formalizados establecen los vasos comunicantes entre las diferentes áreas de las empresas, las personas configuran formas alternas de movilizar la información, para crear oportunidades nuevas de negocio y agilizar las condiciones que permitan una empresa más diferencial y asistida con información útil y valiosa.
Esta condición dinámica, propia de las necesidades de uso de la información, manifiesta una tensión clave entre las necesidades del área de tecnología con el área de seguridad de la información. La literatura nos informa que la descarga de “apps” es la fuente principal de código malicioso (Rozalén, 2014) y de igual forma es el comportamiento más recurrente y natural entre los usuarios de teléfonos inteligentes, que constantemente están buscando nuevas experiencias y servicios novedosos para sus equipos.
Estas dos realidades, manifiestan nuevas reglas de competencia que amplifican las posibilidades de crear ataques emergentes y disruptivos que, aprovechando la excesiva confianza de los usuarios en las tiendas de aplicaciones, crea un vector de ataque que se puede rápida y naturalmente mimetizar en las acciones cotidianas de los participantes de esta dinámica personal.
Del acceso a la información en el mundo físico, a la explotación de los errores humanos en el mundo digital.
Hablar de un contexto de inseguridad de la información no es posible sin conversar de sus protagonistas principales, las personas. Estudios recientes confirman que el “hacking visual” (Ponemon, 2015) aquel que se motiva desde el mundo físico, mirando por encima del hombro, teniendo acceso a los escritorios de las personas y a aquellos sitios de disposición de desechos, mantiene su nivel de efectividad sobre oportunidades de tipo tecnológico.
Sin perjuicio de lo anterior, la necesidad de estar conectados y enviar información, establecen prácticas que suelen no ser las más adecuadas, dada la presión e inmediatez que generalmente está presente en la dinámica de las empresas. Reconocer que la información fluye desde un punto a otro, muchas veces sin medidas de protección básicas, es exponerla a miradas de terceros no autorizados que pueden usarla de formas inesperadas y afectar la organización no sólo desde el punto de vista legal, sino su reputación y posicionamiento empresarial.
En este sentido, si bien se sigue confirmando el eslabón más débil de la cadena, ahora se agrava la situación por la necesidad de la información empresarial para la toma de decisiones, el valor de la misma en contextos particulares y su movilidad para ubicarla donde se requiere, en el formato y contenido preciso, con la agilidad exigida. El usuario final entra en una encrucijada que le demanda por un lado asegurarse de estar conectado y asistido por tecnología, y por otra, verificar que sus comunicaciones responden a estándares de seguridad y control acordes con la información y su clasificación.
De los errores de programación y validación de programas, a campañas y prácticas inseguras en la web.
Mucho se ha hablado sobre las pobres prácticas de seguridad y control que los programadores de aplicaciones tienen, las cuales se refrendan en los criterios de aceptación de las mismas en las organizaciones. Esta realidad nos advierte sobre una población desconocida de fallas de seguridad y control que se entretejen en la maraña de componentes de software disponibles en las organizaciones, las cuales cultivan la inevitabilidad de la falla que pueda comprometer la operación de la empresa en cualquier momento.
No bastando lo anterior y como herencia de las prácticas corporativas, los desarrollos en el web han sido depositarios de esta tradición y abren posibilidades de falla que tienen mayor alcance, como quiera que es un punto de conexión entre el exterior y el interior, que cuenta con diversos espacios para incorporar prácticas novedosas de ataques y que, aprovechando tanto los componentes de programación como de interacción son capaces de lanzar malware que se instale de manera sigilosa, sin advertir riesgo alguno para los usuarios.
El aprovechamiento de las campañas publicitarias de los portales web internacionales, la baja penetración de práctica de seguridad y control en los hogares, la confianza excesiva de la tecnologías entre las personas, preparan un escenario de amenaza complejo y emergente que plantea un desafío de protección, que exige revisiones más exhaustivas que las actuales obligando tanto al área de tecnología, como de negocio a concertar espacios dedicados para contar con productos menos inseguros.
Del espionaje y la guerra fría del pasado, al cibercrimen, el ciber espionaje y las ciber armas del futuro.
Pareciese que estamos volviendo a vivir una condición propia de la lucha por el control del mundo y sus realidades. La necesidad de control propia y natural de los estados-nación, es una condición base del reconocimiento de un grupo social, sus creencias e imaginarios. Si esto se contextualiza en una sociedad de la información y el conocimiento, donde los activos se miden en función del conocimiento y aplicación del mismo, es claro que no será bien visto por la comunidad cualquier actividad que comprometa su utilidad o potencia para el desarrollo del mismo.
La propiedad intelectual, los pagos electrónicos (basados en criptomonedas (González, 2015)) y la resiliencia de las infraestructuras tecnológicas se convierten en valores fundamentales para movilizar la confianza de un comercio electrónico de una élite que está preparando a una nación para competir en el mundo. Lo anterior se manifiesta en mayor visibilidad y a la vez mayor exposición que debe sortear cada organización al dar el paso a la conectividad, sus beneficios y sus riesgos.
Este escenario de movilidad de información, pagos y servicios en medio de la ola del ecosistema digital no es ajeno a las motivaciones de los atacantes, los cuales van a configurar un ecosistemas digital criminal que los asista en sus acciones y actividades para ganar en agilidad, confiabilidad y precisión de los ataques, aumentando las utilidades de sus acciones contrarias a la ley y sobre manera, motivando esquemas cada vez menos visibles y más anónimos que privilegien sus proyectos y maximicen sus ganancias.
Las naciones ven las tendencias y amenazas emergentes que afecta sus intereses y actúan en consecuencia para defender lo suyo, y este juego de fuerzas, entre atacantes, intereses nacionales e implicaciones internacionales, motiva una nueva carrera armamentista de mayor alcance que compromete y orienta la investigación y desarrollo hacia la fabricación de piezas de código y componentes electrónicos que generen daños sobre el oponente en términos digitales e informáticos, creando superioridad táctica y técnica que cree la ilusión de la disuasión en el ciberespacio.
A manera de resumen se presenta el siguiente cuadro que compendia los análisis revisados previamente:
Figura 1. Tendencias de la inseguridad de la información 2016
¿Qué podemos hacer frente a esta incertidumbre estructural?
Si la delincuencia y los atacantes están cambiado permanentemente de prácticas y creando nuevos “trucos” sociales y tecnológicos, nuestra actitud frente a esta dinámica debe ser algo equivalente para evitar la creación de una zona cómoda que comprometa la confianza que los ejecutivos tiene depositada en la práctica de seguridad y control de la información vigente en la empresa.
A continuación cinco acciones para enfrentar los retos que se advierten en el horizonte para los próximos 365 días:
1. Revele el imaginario de la junta directiva sobre la seguridad de la información y motive la transformación del mismo, si es necesario, para crear el mínimo de paranoia bien administrado requerido para mantenerse alerta, sin caer en el análisis por parálisis.
2. Apropie la distinción de seguridad y control en el contexto de los significados y práctica de las personas, no como una imposición o buena práctica, sino como una oportunidad para que mis acciones beneficien a otros y hagan sostenible la fuerza de una cultura basado en la pedagogía del error.
3. Asegure los flujos de información personal que se identifiquen en el análisis de riesgo basado en la ventana de AREM (Cano, 2014), para que tener una mirada de 360 grados que nos permita conocer las posibles vías de fuga y/o pérdida de información. Este sólo es posible si las personas se liberan de sus tensiones de protección y permiten una construcción colectiva de respeto y cumplimiento de la privacidad.
4. Repiense lo que ha aprendido hasta el momento de la inseguridad de la información. Renueve su vista de las amenazas, actualice su programa de entrenamiento y promueva escenarios novedosos no tanto para conocer qué tan expuesto está a un riesgo, sino para saber qué tan preparado está para responder y mantener la operación.
5. Consulte con sus pares y cree una red extendida de contactos y de protección, donde se privilegie compartir información, para construir esquemas de protección comunitarios que respondan con mayor rapidez a las tendencias disruptivas de los atacantes, no para evitarlas, sino para reconocerlas y aprender rápidamente de ellas.
Reflexiones finales
Los ciberataques continuarán ocurriendo, tratando de minar la confianza de los clientes, así como para incomodar y cuestionar las medidas propias de los estados-nación. En este sentido la necesidad de identificar quién es el responsable de estas actividades ocupará la agenda tanto de organizaciones como de naciones. Sin embargo, es importante entender que esta atribución de la ofensa no podrá ser definitiva habida cuenta de los múltiples escenarios y contextos que los atacantes puede usar, esto es, una actividad que depende de niveles de complejidad técnica, operacional y estratégica, esta última con una connotación política, que escapa a sólo un análisis forense especializado sobre la infraestructura comprometida (Rid y Buchanan, 2015).
De otra parte, el atacante interno continuará presente en los próximos años como quiera que su conocimiento y capacidad de acción dentro de las organizaciones seguirá avanzando, aún existan mecanismos que traten de desestimar sus actividades. El abuso de privilegios, el acceso a información clave y la computación oscura serán sus mejores aliados para continuar sorprendiendo al sistema de control interno de la empresa (Meyer, 2015). En esta misma línea, las operaciones de inteligencia estratégica y táctica a nivel de naciones seguirán avanzando para tener una mejor posición de respuesta, cuando fuerzas contrarias intenten comprometer activos estratégicos de los países y habiten escenarios de confrontación que motiven lo que pudiese llamar en el futuro “un acto de guerra” en el ciberespacio (Steiberg, 2015).
En un ecosistema digital, las terceras partes se convierten en elementos claves para lograr una postura de seguridad y control adecuada frente a las amenazas emergentes. En este contexto las exigencias de protección de la información que circula por sus infraestructuras frente a temas como privacidad, continuidad y resiliencia serán temas fundamentales para motivar estrategias más ajustadas a la complejidad y volatilidad del entorno de negocios actuales (CEB, 2015).
La digitalización y la importancia estratégica de los datos establecen una nueva frontera de revisión y análisis para los esfuerzos de los ejecutivos de la seguridad de la información. En este escenario, las estrategias de protección que se diseñen no podrán sólo estar articuladas en iniciativas propias y alcances empresariales, sino fundadas en el ecosistema digital donde operan las otras empresas, como quiera que “el lado oscuro de la fuerza” hará lo propio para manifestarse de ahora en adelante sobre una plataforma digital criminal (ecosistema digital criminal) donde amplificará su actuaciones y tratará de evadir cualquier intento de seguimiento y/o identificación posible.
Finalmente y no menos importante, tarde o temprano las organizaciones serán sorprendidas por la inevitabilidad de la falla, momento en el cual se valida el “liderazgo, valentía y creatividad de los directivos de una organización” y la esencia misma de su imaginario respecto de las crisis (De la Cierva, 2015, p.89). Por tanto, “sólo cuando las organizaciones deben afrontar un acontecimiento inesperado al cual no saben cómo responder, es cuando sale a flote su verdadero objetivo en la sociedad” (ídem), en este sentido las empresas no sólo deben limitarse a responder frente a un ciberataque, sino reconocer las implicaciones de lo sucedido y aceptar el deber de reparar el daño causado a sus diferentes grupos de interés.
Referencias
Cano, J. (2014) La ventana de AREM. Una herramienta estratégica y táctica para visualizar la incertidumbre. Actas de la XIII Reunión Española de Criptología y Seguridad de la Información. Alicante, España. Septiembre 2 al 5. Recuperado de: http://web.ua.es/es/recsi2014/documentos/papers/la-ventana-de-arem-una-herramienta-estrategica-y-tactica-para-visualizar-la-incertidumbre.pdf
CEB (2015) 2016 Audit Plan Hot Spot. CEB Audit Leadership Council. Recuperado de: http://www.cebglobal.com (Con suscripción)
De la Cierva, Y. (2015) Comunicar en aguas turbulentas. Un enfoque ético para la comunicación de crisis. Navarra, España: Ediciones Universidad de Navarra.
González, P. (2015) ¿Y si los griegos se pasan al bitcoin? Ventajas y peligros de la criptodivisa. Recuperado de: http://cripto-pay.com/2015/07/y-si-los-griegos-se-pasan-al-bitcoin-ventajas-y-peligros-de-la-criptodivisa/
Meyer, C. (2015) Addressing Cybersecurity and the Insider Threat. Recuperado de: http://www.securitymagazine.com/articles/86534-addressing-cybersecurity-and-the-insider-threat
Moschella, D. (2015) The Myths and Realities of Digital Disruption. Recuperado de: http://d2b327ve0duguu.cloudfront.net/media/assets/The_Myths_and_Realities_of_Digital_Disruption_-_An_Executives_Guide_Executive_Summary.pdf
Ponemon (2015) 3M Visual Hacking Experiment. Sponsored by 3M and the Visual Privacy Advisory Council. Recuperdo de: http://multimedia.3m.com/mws/media/1027626O/vhe-study-findings-pdf.pdf?fn=FINAL%20VHE%20Full%20Study.pdf
Rid, T. y Buchanan, B. (2015) Attributing Cyber Attacks. Journal of Strategic Studies, 38, 1-2, 4-37. Recuperado de: http://dx.doi.org/10.1080/01402390.2014.977382
Rozalén, R. (2014) La descarga de apps de Android en tiendas de terceros, un foco de malware. Recuperado de: http://www.siliconnews.es/2014/04/21/la-descarga-de-apps-de-android-en-tiendas-de-terceros-un-foco-de-malware/
Steinberg, J. (2015) 6 Emerging CyberSecurity Risks You Should Be Aware Of. Recuperado de: http://www.inc.com/joseph-steinberg/6-emerging-cybersecurity-risks-about-which-you-should-be-aware.html
Fuente: http://insecurityit.blogspot.com.ar/2015/10/pronosticos-sobre-la-inseguridad-de-la.html
No se han encontrado comentarios