domingo, 27 de noviembre de 2016

Compartir información: el futuro de la ciberseguridad y la seguridad de la información en un escenario de ataques asimétricos e inesperados

Introducción
Se dice que “sin riesgo no hay innovación posible” (Álvarez, 2016) y es una realidad que está apalancada desde la curiosidad natural del ser humano, donde es necesario abandonar la zona cómoda para experimentar los límites de lo conocido. En este contexto, la seguridad de la información, debe seguir los pasos de su dual la inseguridad, como quiera que todo el tiempo ella está explorando los límites para concretar nuevas opciones, anticipando nuevas posibilidades que la seguridad no habrá de explorar en corto plazo.

En este contexto, el riesgo o exposición que las empresas logran identificar posiblemente no corresponda con la realidad, habida cuenta que las variables y condiciones del entorno varían y evolucionan tan rápido, que éstas no cuentan con los mecanismos requeridos para aumentar la sensibilidad para anticipar situaciones que puedan comprometer sus medidas de seguridad y control.

Esta realidad volátil, incierta, compleja y ambigua demanda de las empresas extender sus capacidades de anticipación crítica que le permitan interpretar mejor las intenciones de terceros o internos contradictores, reconocer y entender el contexto donde la organización opera, percibir las tendencias y alertas veladas en medio del tejido digital, discernir los motivos y actuaciones de los actores del entorno, detectar movimientos inesperados de los contrarios y presentar conclusiones concisas sobre las alternativas que se pueden plantear frente a eventos inesperados (Adaptado de: Robinson y Aronica, 2016).

Para lograr lo anterior, se hace necesario concretar esquemas de colaboración entre los diferentes actores del ecosistema digital, con el fin de potenciar las capacidades de todos los participantes de tal forma que se aumente la resiliencia frente a ataques inesperados e inciertos, se fortalezca el aprendizaje, ubicando aquellos “espacios en blanco” donde es posibles experimentar, aumentar la oportunidad de la respuesta y atenuar los impactos de los acciones que comprometan los activos digitales de las empresas.

Así las cosas, se hace necesario cambiar el paradigma de protección de las empresas, el cual está articulado desde las vista interna de sus necesidades y riesgos, por uno que reconociendo al esfuerzo de seguridad y control que se realiza al interior, sea capaz de reconocerse como parte de un todo superior, donde se sabe parte de una dinámica mayor, para construir nuevas posibilidades y aprendizajes que permitan anticipar acciones más complejas de los atacantes, ahora desde una propuesta de actuación conjunta donde todos suman con su experiencia y las relaciones entre los participantes definen las nuevas opciones de respuesta frente a lo incierto.

Por tanto, este documento presenta un marco de compartir información entre los actores de un ecosistema digital, como premisas de la construcción y movilización de capacidades de respuesta y acción de las empresas frente a ataques informáticos cada vez más sofisticados y menos evidentes, de tal forma que se gesten competencias claves que faciliten un aprendizaje permanente y una resiliencia del ecosistema que sorprenda a los atacantes en sus propios terrenos.

Competencias organizacionales claves para compartir información
Si bien existen múltiples definiciones de competencia, Echeverría (2014, p.77) establece que son “comportamientos creativos, derivados de la puesta en práctica de conocimientos, aptitudes y rasgos de personalidad”, que se caracterizan predominantemente por poner en acción conductas y actos pertinentes en situaciones inéditas.

Lo anterior, sugiere que las empresas deben motivar espacios de aprendizaje, momentos de experimentación e incertidumbre basados en escenarios inciertos sobre la protección de sus activos digitales, para motivar acciones prácticas de los conocimientos previos y así desarrollar nuevas aproximaciones y aptitudes para responder a la inestabilidad del entorno, con la confianza y serenidad requeridas, que genere la misma ambigüedad en el contexto del atacante.

Para ello, la organización debe conceptualizar como un todo el desarrollo de competencias como la curiosidad, la creatividad, la crítica, la comunicación, la colaboración, la proyección, la serenidad y la ciudadanía (Adaptado de: Robinson y Aronica, 2016, p. 187-192).

La curiosidad hace referencia al desarrollo de la experimentación y pruebas, esa capacidad de hacerse preguntas y establecer cómo se pueden crear situaciones de inestabilidad sobre los activos digitales. Una curiosidad que anima la investigación y profundización que revelen aspectos ocultos de la inseguridad, que no solo den respuesta a lo que se requiere, sino que estimulen reflexiones sobre lo identificado que lleven a una espiral de conocimiento que se capitalice en las conversaciones sobre los riesgos de la empresa.

La creatividad busca potenciar la imaginación y explorar posibilidades, expandir las posibilidades planteadas sobre la inevitabilidad de la falla, que lleven a pensamientos más elaborados, que destruyan las restricciones autoimpuestas por los modelos vigentes y rompan con la estabilidad de las prácticas vigentes, no para reemplazarlas de facto, sino para nutrirlas o complementarlas de tal forma que se tengan patrones enriquecidos de entendimiento de la realidad, que anticipen acciones previamente no aplicadas.

La crítica no es solamente el uso de la lógica formal, sino la capacidad de distinguir, revelar alertas veladas, detectar sesgos sobre apreciaciones realizadas, develar motivos de las acciones de terceros, en pocas palabras, desarrollar acciones de inteligencia activa que distingue ente hechos y opiniones, certezas y engaños, de tal forma que reten las posturas vigentes para provocar aprendizajes significativos en el ejercicio de comprender las tendencias y amenazas emergentes identificadas.

La comunicación como fuente de construcción de sentido y no como sólo transmisión de información. Esto es, la capacidad de elaborar y comunicar aquello que cada organización está detectando en su entorno y que puede afectar de manera relevante al ecosistema; un ejercicio de elaboración de realidad colectiva que busca el bien general y progreso colectivo como fundamento de las estadísticas y análisis que son relevantes frente a los inciertos o alertas tempranas detectadas por cada uno de los participantes del ecosistema.

La proyección es el desarrollo de una simulación de eventos ubicándose en la posición de los otros miembros del ecosistema, con el fin de comprender la dinámica de los posibles impactos de un ataque sofisticado y cómo es posible diseñar acciones de protección que permitan una actuación coordinada y asistida por las virtudes de los demás miembros del ecosistema, como expresión de la regla básica de la comunidad: juntos es posible llegar más lejos y hacernos más resilientes.

La serenidad en el escenario de la defensa colectiva, exige un conocimiento de las capacidades de resistencia interna y las posibilidades disponibles en los participantes externos. Esta es una actuación que es contraria a lo que el atacante espera, pues establece un equilibrio al interior del ecosistema digital, que revela la identidad del mismo, haciendo de sus actuaciones, acciones pensadas y claramente diseñadas para contener y aprender de la inestabilidad, sin miedo a los inciertos y juicios (muchas veces injustos) que implica enfrentarse a la inevitabilidad de la falla.

La ciudadanía en este escenario se entiende como la capacidad de implicarse constructivamente en el desarrollo de propuestas y opciones de defensa colectiva en el ecosistema digital, de tal forma que se establezcan claramente los derechos y obligaciones de los participantes, para crear un ambiente de confianza digital que de valor a los activos digitales, equilibre las capacidades disponibles e influyan en el mundo que lo rodea, haciéndose responsable de sus actos y posturas frente a comunidades semejantes.

Marco general para compartir información: Base de la resiliencia organizacional
Si las empresas logran desarrollar las competencias mencionadas en el aparte anterior, se cuenta con una base formal para movilizar un escenario concreto para compartir información, como fundamento de la capacidad de resiliencia organizacional frente ataques informáticos, donde ya no es sólo una empresa la que trata de enfrentar la situación, sino la fuerza de un colectivo que aprende y se reinventa frente a la inestabilidad de su entorno.

En este contexto, se establecen cuatro (4) elementos claves para establecer y fortalecer un esquema para compartir información: relaciones de confianza, roles y responsabilidades, estándares y procedimientos, y coordinación y monitorización, como actividades relevantes en medio de la inevitabilidad de la falla, que permita el desarrollo de las competencias claves antes indicadas, que son el fundamento necesario para darle vida al marco general que se expone a continuación.

Figura 1. Marco general para compartir información

Las relaciones de confianza implican crear vínculos de comunicación y responsabilidad compartida donde cada participante del ecosistema es fideicomiso del otro; un ejercicio de esperanza de cumplimiento y cuidado mutuo que construye una vista compartida que no debe ser interpretada como una revelación de mis debilidades, sino como la oportunidad para reinventar y flexibilizar la defensa colectiva. Dentro de las posibles acciones se encuentran:
  • Revelar amenazas y vulnerabilidades en sistemas de misión crítica en reuniones cerradas.
  • Desarrollar conversatorios privados sobre tendencias identificadas.
  • Compartir lecciones aprendidas de incidentes de seguridad de la información.

Tener claridad de los roles y responsabilidades, es procurar un flujo de comunicaciones y acciones debidamente estructuradas, de tal forma que prime en este ejercicio la flexibilidad de las actuaciones, lo que demanda tomar la iniciativa, liderazgo rotativo y tolerancia a la falla. Los roles y responsabilidades no son camisas de fuerza de los límites de la actuación sino ordenadores de la acción y la oportunidad para complementar las acciones previstas ante eventos inesperados sobre alguno de los miembros del ecosistema. Dentro de sus posibles acciones se tienen:
  • Nombrar formalmente representantes de las entidades.
  • Establecer alcance de la participación.
  • Validar alertas o tendencias compartidas en el ecosistema.
  • Correlacionar la información relevante compartida en los escenarios definidos.

Los estándares y procedimientos se vuelven una de las formas claves para asegurar una respuesta coordinada y ajustada con los retos del evento inesperado. Una actuación ajustada con los estándares definidos permite no solo tener claridad de los pasos a seguir, sino la confianza de la respuesta del ecosistema frente la inevitabilidad de la falla, como fundamento de la resiliencia y los aprendizajes que se deben concretar antes, durante y después del posible ataque informático. Dentro de las acciones previstas están:
  • Establecer la estructura y formato de la información a compartir.
  • Definir el nivel de confidencialidad de la información a compartir.
  • Determinar los mecanismos de seguridad y control para asegurar el ciclo de vida de la información.
  • Verificar el cumplimiento de los estándares y procedimientos establecidos.

La coordinación y monitorización termina concretando la dinámica planteada en los otros tres elementos, pues mantiene en el horizonte los objetivos de la defensa activa (Conneran, 2014) del ecosistema, validando el direccionamiento estratégico del ecosistema frente a la resiliencia requerida y asegurando una debida rendición de cuentas sobre las capacidades que se deben desarrollar para cumplir la promesa de valor frente a los interesados o participantes de dicho ecosistema. Dentro de sus actividades se encuentran:
  • Definir y validar escenarios claves de amenazas emergentes.
  • Desarrollar el marco normativo vinculante para los participantes.
  • Adelantar la rendición de cuentas de los resultados de las actividades realizadas.
  • Mantener la alineación y acción con la estrategia de resiliencia organizacional planteada.

Para que este marco de compartir información se haga realidad, se hace necesario por una parte el desarrollo de las competencias claves enunciadas previamente y asegurar que el gobierno del ecosistema digital se funde en los siguientes cinco (5) criterios: (Adaptados de: Robinson y Aronica, 2016)
  • Diversidad: Cualquier aproximación o postura de los miembros del ecosistema es bienvenida, para crear oportunidad de nuevos entendimientos que aumente la variedad de las respuestas disponibles frente a eventos inciertos e inesperados.
  • Profundidad: Contar con espacios de reflexiones más detallas y elaboradas frente a escenarios de amenazas emergentes identificados, que si bien, no ocupen la agenda del cuerpo colegiado, si tengan la posibilidad de revisiones más elaboradas que maduren y delineen contextos relevantes para el ecosistema.
  • Dinamismo: Revisar de forma permanente las tendencias y supuestos de los escenarios y amenazas planteadas, de tal forma que se puedan concretar vistas alternas que nutran los análisis previos, actualizando los saberes previos y creando distinciones nuevas que miren nuevos horizontes posibles y no solo probables.
  • Experimentación: Motivar la generación de espacios para probar hipótesis planteadas sobre escenarios “impensables” hasta el momento para anticipar los errores y aprender rápidamente, para incorporar las lecciones aprendidas y ésta sean comunicadas eficiente y ágilmente a todos los miembros del ecosistema.
  • Transparencia: Cualquier actividad o actuación de los miembros del ecosistema frente a una amenaza identificada, deberá ser oportunidad para concretar posturas conjuntas de protección, que activen y actualicen la práctica de defensa activa (Denning, 2013) que procure un entorno resiliente para los actores del ecosistema.

Reflexiones finales
En una era de sobrecarga de información, de inestabilidades geopolíticas y acciones coordinadas por actores estatales y no estatales, contar con mecanismos tradiciones de protección y aseguramiento de información establece una postura particular y medianamente resistente frente a las incursiones de ataques más elaborados por los atacantes.

En este medida las empresas poco a poco deben comprender que se necesita una evolución del modelo de seguridad y control hasta hora implementado y lanzarse a reconocerse dentro de un tejido de relaciones digitales, con actores igualmente interesados en construir una red de protección extendida que permita respuestas coordinadas, resilientes y estratégicas, que den cuenta de las exigencias de los cuerpos ejecutivos para anticipar escenarios de falla que puedan afectar la dinámica de las empresas.

Por tanto, no sólo es continuar con el proceso evolutivo de la gestión de la seguridad de la información, sino comenzar a estructurar una vista compartida de la protección, reconociendo a otros actores interesados para construir un ambiente de confianza donde es posible creer y crear una capacidad emergente para resistir los ataques y reinventar la inevitabilidad de la falla ahora desde el aprendizaje significativo y permanente de los eventos inciertos, los cuales definen espacios privilegiados para salir de los saberes rutinarios de la seguridad de la información (Johnson, Badger, Waltermire, Snyder y Skorupka, 2016).

Así las cosas, la siguiente evolución de la seguridad de la información y ahora en términos de un mundo digitalmente modificado, de la ciberseguridad, la colaboración se hace una postura estratégica y políticamente correcta para enfrentar las ambigüedades del entorno, como una forma para habilitar las comunicaciones y acuerdos entre los niveles ejecutivos de las empresas, para crear la confianza necesaria que permita alcanzar capacidades de defensa activa (MITRE, 2012) antes inexploradas y así superar la vista individual vigente, que sólo favorece las pretensiones de los adversarios.

Referencias
Álvarez, G. (2016) Sin riesgo no hay innovación posible. Recuperado de: http://www.elartedepresentar.com/2016/11/citas-sin-riesgo-no-hay-innovacion-posible/
Conneran, K. (2014) Cyber security active defense: Playing with fire or sound risk management. Richmond Journal of Law & Technology. 12. Recuperado de: http://jolt.richmond.edu/index.php/cyber-security-active-defense-playing-with-fire-or-sound-risk-management/
Denning, D. (2013) Framework and principles for active cyber defense. Research document. Recuperado de: http://faculty.nps.edu/dedennin/publications/Framework%20and%20Principles%20for%20Active%20Cyber%20Defense%20-%2011Dec2013.pdf
Echeverría, B. (2014) Competencias y cualificaciones. En Echeverría, B. (Coordinador), Isus, S., Martínez, M. y Sarasola, L. (2014) Orientación profesional. Barcelona, España: Editorial Universidad Oberta de Cataluña. 69-123
Johnson, C., Badger, L., Waltermire, D., Snyder, J. y Skorupka, C. (2016) Guide to Cyber Threat Information Sharing. NIST Special Publication 800-150. Recuperado de: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-150.pdf
MITRE (2012) Active defense strategy for cyber. Recuperado de: https://www.mitre.org/sites/default/files/publications/active_defense_strategy.pdf
Robinson, K. y Aronica, L. (2016) Escuelas creativas. La revolución que está transformando la educación. Bogotá, Colombia: Ed. Grijalbo.