Follow us on:
Perspectives

IT Consequences

Seguridad digital 2025

Monday, 25 July 2016 Miguel Garcia-Menendez Posted in IT Consequences

El reto

¿Cómo será la seguridad ligada al [mal] uso de los ordenadores dentro de diez años?“. ¡Guau! Sin duda, todo un reto, que la amplitud y profundidad del asunto  -por cuanto en él cabe-  hacen, aún, más complejo. Y eso por no hablar de la suerte que, para entonces, habrá corrido el sustantivo “ordenador”  -“computadora” en otras geografías hermanas-  dada la velocidad con la que todo tipo de “cosas” computadorizadas se están incorporando a la actividad diaria de organizaciones e individuos, lo que provoca que el sentido tradicional del referido vocablo se desdibuje a cada minuto que pasa. Pero esa, afortunadamente, es otra historia.

El entrecomillado con el que se inicia el párrafo anterior reproduce el “sencillo” encargo recibido desde la Dirección de “Novática” para la redacción de este artículo. Elucubrar sobre los acontecimientos que sucedan más allá del presente no parece que haya sido nunca una ciencia exacta y, por tanto, cualquier afirmación hecha a futuro podrá ser puesta en entredicho cuando dicho futuro se alcance. 

Novática” ya tuvo este mismo atrevimiento hace quince años. Entonces, cuando la revista cumplía su vigesimoquinto año de vida acercando la realidad informática a todos los miembros de la familia ATI, reunió a un grupo de profesionales a los que encomendó la tarea de esbozar un escenario localizado veinticinco años más adelante en el tiempo: en 2025. Ahora, recientemente, ha vuelto a hacerlo con motivo del cuadragésimo aniversario de la revista, que se acaba de celebrar. 

Como le decía, el presente artículo hereda ese mismo mandato y ese mismo espíritu, en un reto que se antoja -al menos, aparentemente- menor, si se considera que la solicitud requerirá aventurarse “sólo” diez años en el futuro. De nuevo, para situarse en 2025. 

En cualquier caso, estamos a sólo una década de comprobar las capacidades predictivas de unos y otros autores, incluido un servidor. 

Seguridad, ¿qué seguridad?

Puede parecer absurdo, pero la primera duda que surge a la hora de comenzar a jugar a predecir el futuro tiene que ver con una cuestión relacionada con el lenguaje: ¿qué denominación adoptar? Los puristas defenderán con uñas y dientes los matices que diferencian los diversos calificativos que, a lo largo del tiempo, han ido recibiendo las actividades, las técnicas, etc., relacionadas con la mitigación de los peligros asociados al uso (incluido, especialmente, el mal uso) de los ordenadores por parte de organizaciones e individuos: seguridad informática, seguridad de la información, ciberseguridad, etc.

La firma de análisis de mercado Gartner ha aportado, recientemente, su granito de arena a este debate y, bajo su programa “Smarter with Gartner” (Más Inteligente con Gartner), ha abogado por un universo de múltiples “seguridades”: la física; la de las Tecnologías de Operación (TO), propias de los entornos industriales; la de las Tecnologías de la Información (TI), propias de los entornos corporativos; la de la información (a secas); la de la Internet de las Cosas (IoT, del inglés “Internet of Things”); o, simplemente, la de naturaleza cibernética. Según la consultora estadounidense, todas ellas quedan, hoy, amparadas bajo el paraguas general que conforma la seguridad digital[i]. 

Esa creciente toponimia de la seguridad hace difícil adivinar cuál será el término al uso dentro de una década. Pocos se opondrán, hoy, a identificar “cyber” (ciber) como el prefijo del momento; razón por la que se ha descartado para la cabecera de este artículo. Propuestas anteriores -el caso de “InfoSec” (InfoSeg), por ejemplo, puede servir de paradigma- han tenido también su momento de gloria que, sin embargo, parece haber pasado. Eso es lo que hace pensar que “ciber” ya no será el término de moda en 2025. Más al contrario, va camino de “quemarse” mucho antes, si no está chamuscado ya en este momento, como también comienzan a señalar otras voces[ii]. No obstante, piensen los nostálgicos  -mal de muchos, …-  que no es el único término en peligro; otros, como, “governance” (gobernanza/gobierno) o el propio “digital”, elegido, finalmente, para el título de este artículo, están amenazados del mismo uso y abuso. (El caso de “ordenador” ha quedado, ya, explicado). 

En cuanto a “digital”, si bien ocupa también, como acaba de señalarse, las portadas de todo cuanto se publica en estos días en materia tecnológica, parece que aplicado a la seguridad ha disfrutado hasta ahora sólo de un corto recorrido, lo que podría darle, aún, posibilidades de desarrollo futuro. Por eso ha sido el término elegido en esta ocasión. 

Incluso la Organización para la Cooperación y el Desarrollo Económico (OCDE) ha optado por hablar de riesgos para la “seguridad digital” en su reciente revisión[iii] de la “Recomendación del Consejo relativa a las Directrices de la OCDE para la seguridad de los sistemas y las redes de información: Hacia una cultura de la seguridad”, publicada originalmente en 2002. Reconforta saberlo, por cuanto ello parece avalar la primera apuesta futurista que se desliza en este artículo.

Pero, realmente, ¿seguridad o resiliencia?

La seguridad, con todas sus tradicionales -milenarias- connotaciones, es un término demasiado asentado como para que uno pueda temer por su desaparición (a diferencia de lo que, presumiblemente, ocurrirá, más pronto que tarde, con los ejemplos anteriormente mencionados). Pero, por encima del debate léxico, lo verdaderamente relevante es que, cada vez más, nos adentramos en una época de total desconfianza. Estamos ante un panorama desalentador en el que ya se oyen algunas voces que comienzan a plantear hasta qué punto merece la pena sumirse en la transformación digital, dadas las penalidades cibernéticas que las organizaciones sufren día tras día[iv]. 

Casos como el del fabricante de juguetes Vtech[v] que el pasado noviembre sufrió un acceso no autorizado a su tienda virtual de aplicaciones, comprometiendo datos personales, tanto de niños (nombres, fechas de nacimiento, sexo), como de sus padres (nombres, direcciones electrónicas y postales, contraseñas, etc.); o el más reciente descubrimiento de debilidades en productos de su competidor Fisher-Price[vi], susceptibles de causar similares consecuencias, son una muestra de hasta dónde [los malos] están dispuestos a llegar y de nuestra propia fragilidad, contribuyendo al consenso generalizado sobre el hecho de que nadie está libre, ya, de semejante lacra. 

Abusando del tópico, lo cual no lo hace menos cierto, la conclusión pasa por reconocer, una vez más, que la seguridad plena resulta inalcanzable. Y por pensar que, dado que la seguridad nunca será resuelta, a cambio, habrá de ser administrada. Esto se traduce en un cambio de paradigma en el que se está abandonando un enfoque para la seguridad basado en ‘la prevención y la protección’, para abrazar otro nuevo, fruto de una cierta resignación, que se apoya en ‘la detección y la corrección’ (incluidas la respuesta y la recuperación). ¡Un obligado cambio de modelo que se acentuará en los próximos años! 

Toma sentido, de este modo, el objetivo básico por el que ha de moverse toda empresa: perdurar en el tiempo  -priorizar cualquier otra meta resultaría absurdo a partir del incumplimiento de esa condición básica-. Y, en el escenario descrito, la seguridad se antoja insuficiente como garantía de esa perdurabilidad. En su lugar, el nuevo fetiche se denomina resiliencia[vii]. 

Apuestas arriesgadas

No todas lo serán y, probablemente, no todas lo serán tanto; pero traspasado el umbral de los primeros atrevimientos  -pronosticar la desaparición del prefijo “ciber”, el efecto “freno” de la inseguridad sobre la actual corriente digitalizadora o el cambio de paradigma desde “seguridad” hacia “resiliencia” (que no resulta nuevo, en todo caso)-  llega el momento de cumplir verdaderamente el encargo y enumerar algunas otras tendencias -que lo son hoy y, previsiblemente, lo serán en 2025-. 

Desafíos globales

En primer lugar, y a fin de contextualizar los grandes retos que le esperan a nuestro planeta en la próxima década, cabe mencionar al Foro Económico Mundial que en su último informe sobre riesgos globales[viii] destaca la escasez de recursos esenciales -particularmente, agua y otros alimentos-, las consecuencias del cambio climático y otros eventos meteorológicos extremos, y la inestabilidad social, entre los riesgos más preocupantes. Paralelamente, la firma McKinsey apunta, también, a factores demográficos al identificar algunas de las fuerzas globales que estarían redibujando el sistema operativo de la economía mundial[ix]: la creciente urbanización (con la consiguiente migración desde las zonas rurales a las ciudades, especialmente, en determinados países emergentes) y el envejecimiento de la población. McKinsey no olvida, sin embargo, la digitalización y la globalización favorecida por esa misma digitalización y por el desarrollo de las redes de telecomunicaciones, al enumerar las fuerzas motrices del nuevo contexto económico mundial. 

Si bien no se trata, a priori, salvo en los últimos casos, de retos directamente relacionados con ‘lo digital’, sí pueden ser motivo todos ellos de algunas otras amenazas claramente ligadas a lo tecnológico. Amenazas que vemos hoy y seguiremos viendo en los próximos años: guerras (del agua u otras, incluido el terrorismo), con su traslación al ciberespacio; aumento de la brecha digital entre colectivos de población por razón de su origen geográfico, o edad, que pueden suponer pérdida de oportunidades (incluido el empleo) para el desarrollo personal y profesional; ‘hacktivismo’ reivindicativo de carácter político o social; ciberdependencia y la consiguiente ciberdebilidad/ciberexposición (entre otras, al aumento del desempleo, de nuevo) de las sociedades más tecnificadas; etc. 

Ciberestrategias

El carácter global de gran parte de las problemáticas expuestas hasta aquí justifica, en una importante medida, la mayor preocupación que hoy existe entre los estados -frente al caso de las empresas-  por lo que podría denominarse “la problemática ‘cíber’”. Hoy, uno de cada cuatro estados dispone, o está en vías de hacerlo, de una ciberestrategia[x]. Es de esperar que para 2025 sean alguno más. 

Por el contrario, diríase sin temor a errar que el número de empresas que estarían en disposición de declarar que disponen de una estrategia tal dista mucho del 25% del censo total mundial. Por tanto, será deseable, también, que esta cifra crezca a lo largo de la década que comienza.

Asimismo, confiemos en ver algún otro país abanderando una estrategia internacional de ciberseguridad (además de los EEUU[xi]). No parece muy coherente seguir planteando estrategias nacionales en un espacio sin fronteras como es, de momento, el ciberespacio. (Por cierto, como no lo parece promover mercados únicos digitales circunscritos a un continente). 

Derecho a la intimidad

Sin abandonar el ámbito gubernamental, otro importante debate que heredará la nueva década será el de la dicotomía “seguridad - intimidad”. (Lamentablemente el auge del ya citado terrorismo -“cíber” y del otro-  contribuirá en muy poca medida a dilucidarlo).

Algún ciudadano de a pie  -realmente, lo he escuchado de una ciudadana-,  ya aboga por demandar algo así como un servicio de ‘ciberburbuja’, una especie de cápsula virtual en la que cobijar sus comunicaciones electrónicas con terceros, sus incursiones en las redes sociales, etc., de forma que tuviese garantía plena de que sólo sus allegados participasen de sus intercambios de información, en lugar de dejarlas tan expuestas, a la vista  -y a la memoria-  de casi cualquiera, como parece que están en la actualidad. Una especie de vuelta al recogimiento, tras un período de exhibicionismo desmedido.

Sin duda, una excelente propuesta  -la de las “ciberburbujas”-,  a desarrollar en esta década post-Snowden que vivimos; pero que habrá de ir acompañada, en los años por venir, de unas mayores cotas de sensibilización por parte de los propios usuarios-ciudadanos.

Y, hablando de Edward Snowden, tal vez, veamos el desenlace  -una década da para mucho-  de la aventura iniciada por el técnico estadounidense en el verano de 2013, con la polémica revelación de las, no menos polémicas, prácticas de la Administración de su país, en materia de cibervigilancia indiscriminada.

Consejos de administración

Retomando, de nuevo, el hilo de las empresas, se hace oportuno reparar en la situación de los consejos de administración y su actitud frente a la ciberseguridad.

Una valoración muy optimista de la situación vivida hasta ahora permitiría afirmar que ‘lo cíber’  -y, por extensión, ‘lo digital’-  no ha sido un tema que interesara, en demasía, a los señores consejeros. En ello pueden haber influido los antecedentes, particularmente los académicos, de estos individuos; y su edad, la cual dibuja, a su vez, un perfil académico determinado: juristas y economistas componen, mayoritariamente, el censo de consejeros actual, lo que podría contribuir a alejarlos de la responsabilidad que hoy les toca asumir en plena era digital.

En 2025 la Biología estará haciendo su trabajo y habrá comenzado a colocar en los consejos a unos nuevos sesentones -la firma Spencer Stuart sitúa la edad media del consejero español en los sesenta años[xii]-.  La diferencia con sus actuales colegas será que, para entonces, aquellos habrán desarrollado toda o gran parte de su carrera tras el debut de la Internet comercial (1995), lo que supondrá un mínimo de treinta años interactuando con el medio digital. Como consecuencia, la confianza en el efecto del salto generacional lleva a imaginar unas futuras agendas corporativas distintas a las que manejan hoy la mayoría de consejeros. 

Mientras se produce ese salto, otros parecen ser los incentivos que contribuirán a acercar el mensaje ‘cíber’ a los consejos de administración: haber sufrido en carne propia  -o en las proximidades-  algún incidente digital; el mandado de los organismos reguladores; la opinión de las agencias de calificación y las pólizas cibernéticas (presumiblemente, también, para los ciudadanos, en cuyo caso vendrán asociadas al seguro del hogar o a la factura del sistema de alarma que nos remita nuestra compañía de seguridad).

Digitalización no, “software-ización” 

Todo apunta, y todo el mundo parece defender -en este texto se ha hecho más arriba-, que estamos asistiendo a un proceso general de digitalización. Un proceso en el que los elementos E-I-T (Electrónica-Informática-Telemática) están provocando un cambio de modelo en la forma en que personas, empresas y administraciones se están comportando, relacionando y operando, individualmente y entre ellas. Sin embargo, un análisis más reposado del fenómeno permite identificar un denominador común en todo el proceso, y en la electrónica, la informática y la telemática, en particular: el software

Es de esperar que en la década que comenzamos haya nuevos avances en la forma de escribir software  -no sólo en el “cómo”, sino también en el “quién”; un “quién” hasta ahora reservado, mayoritariamente, para programadores humanos-. Es de esperar, asimismo, que ese mismo software, que cada vez más lo permea todo, siga ocupando el segundo puesto entre los eslabones más débiles de la seguridad, sólo por detrás del que ocupan los individuos que lo crean y, sobre todo, que lo usan.

Las flaquezas (vulnerabilidades) que presentan, de forma inherente, los sistemas cibernéticos lo son en gran medida por las flaquezas (vulnerabilidades) de su software. Nada, salvo el optimismo, apunta a que los esfuerzos en mejorar la calidad del software den mejores frutos que los recogidos hasta la fecha; más, si cabe, en un contexto en el que la frenética necesidad de contribuir a aumentar ese volumen de software  -“software-izar”-  en busca de nuevas funcionalidades amenaza con dejar de lado otros atributos de la calidad, como la seguridad.

Ciberincidentes

Los futuros incidentes digitales, como los de hoy, van a seguir estando provocados por atacantes o saboteadores (externos e/o internos), crecientes en número y capacidades (ejércitos de un solo hombre, delincuencia organizada, estados); errores y negligencias de los usuarios; y fallos de los propios sistemas (de nuevo, mala calidad, unida a configuraciones incorrectas u obsolescencia, entre otros factores). 

Dada esa variada casuística, que probablemente se mantendrá dentro de diez años, es evidente que no todos los incidentes merecen, ni van a merecer, el calificativo de “ciberataque”. Lo verdaderamente arriesgado aquí es apostar por la proporción, que deparará el futuro, de un tipo de incidente frente a otros. Hoy, dos de cada tres ciberincidentes están provocados por alguna causa o causante interno, tal y como declaraba hace unos meses el responsable de ciberseguridad de una conocida multinacional española del sector energético. De la misma manera, dos de cada tres ciberincidentes no son fruto de un ataque. La masiva eclosión de software que se avecina, aludida anteriormente, hace pensar que los fallos y los errores  -por este orden-  serán los reyes de la fiesta de los incidentes en el futuro. 

Nuevos ciberespacios y viejas consecuencias

Ese ámbito artificial creado por medios informáticos que William Gibson bautizó en 1981 con el nombre de “ciberespacio”, está dejando paso, hoy, a un nuevo paisaje en el que aquél comienza a perder parte de su naturaleza etérea para confundirse con el paisaje de lo real: es el “espacio ciber-físico”, un lugar en el que las actuaciones llevadas a cabo en el ámbito de lo virtual tienen consecuencias directas sobre el mundo real.

Los catalizadores que hoy conocemos para impulsar el crecimiento del nuevo espacio ciber-físico, guardan una estrecha relación con lo que se ha dado en llamar “Internet de las Cosas”, paradigma en el que prima la conectividad entre máquinas, realizada con un cierto  -elevado-  grado de autonomía. Es, por tanto, el espacio, entre otros, de los vehículos autónomos de todo tipo (terrestres, aéreos y marinos); el de los robots, industriales o militares; y, en suma, el de formas de inteligencia artificial existentes y venideras. 

Sin embargo, si en algún contexto se materializa, de forma clara, en la actualidad, el espacio ciber-físico es en el ámbito de los sistemas de control industrial (aquellos sistemas de información empleados en el control y la supervisión de procesos [físicos] productivos, propios, a priori, de los entornos fabriles). ¡Aunque dichos sistemas están también presentes en otros entornos (desde la construcción  -edificios inteligentes-,  pasando por las tecnologías de la información  -centros de proceso de datos-,  hasta la medicina  -robots expendedores de medicamentos o robots cirujanos-, etc.!

En estos ámbitos, en los que los espacios físico y cibernético están, cada vez, más entrelazados, y en los que la Internet de las Cosas y la Internet Industrial de las Cosas podrán ser objetivo y fuente, al mismo tiempo, de ciberataques, puede preverse para los próximos años un aumento de los sabotajes dirigidos a las tecnologías empotradas inteligentes, como la “infección” de equipos robóticos  -y otras formas de inteligencia artificial-  con algún tipo de software dañino que modifique su comportamiento hasta el punto de hacer que se vuelvan, incluso, contra los humanos. 

Las consecuencias de los incidentes, provocados o fortuitos, en estos nuevos espacios ciber-fisicos, lejos de resultar novedosas, son -y van a serlo cada vez más acentuadamente- similares a las viejas consecuencias para las personas, el patrimonio y el medioambiente que la acción del hombre ha causado siempre antes de la irrupción de la era digital. 

* *

Pero, para no errar solo en los pronósticos  -insisto, “mal de muchos, …”-,  permítame que dé voz, ahora, a una serie de expertos, todos amigos y profesionales internacionalmente reconocidos, cuyos testimonios, a buen seguro, aportarán el verdadero valor que pueda encerrar este artículo. 

La opinión de los expertos

Vaya por delante mi más sincero agradecimiento a las desinteresadas y, al mismo tiempo, interesantísimas contribuciones de todos ellos. 

Ignacio Paredes (@IParedes), Emiratos Árabes Unidos

Tecnólogo Jefe, Booz Allen Hamilton

Co-fundador y Coordinador Regional para Oriente Medio y Asia, CCI

En el particular ámbito de la ciberseguridad en entornos industriales, confío en poder ver en 2025 sistemas de supervisión de la seguridad capaces de capturar y correlacionar los eventos que tengan lugar a nivel de planta industrial, con los que ocurran en los dispositivos y equipos de la informática corporativa, con los registrados por los elementos de ciberseguridad y con aquellos que tengan como escenario el mundo físico (disturbios, guerras, tensiones políticas, caídas de la bolsa, …) con el fin de: por un lado, obtener una visión completa del estado de una determinada instalación industrial; y, por otro, de predecir la evolución del riesgo que afecte a la misma”.

Diego Andrés Zuluaga Urrea, Colombia

CISO, ISAGEN

Coordinador Regional para Colombia, CCI

En diez años preveo una seguridad adaptativa al entorno, en escenarios donde los dispositivos, cada vez más, estarán integrados e hiperconectados. La frontera entre vida laboral y personal cada vez se hace más difusa. El individuo es un solo ser que aporta a diferentes grupos sociales donde se desempeña de una u otra forma. De ese modo, la seguridad deberá entender la información, su clasificación y el contexto en el cual se está usando y, de acuerdo con ello, habrá de contribuir a separar los niveles y profundidad de acceso que cada circunstancia requiera, y a protegerla frente a las nuevas amenazas. Se emplearán, para ello, tecnologías de análisis de datos del entorno y de la información misma, que permitirán adaptarse a las circunstancias.

Asimismo, en mi ámbito profesional más cercano, la industria, yo esperaría que la ciberseguridad estuviese presente ‘por diseño’ en todos los sistemas de control industrial y que fuera tan natural como lo es hoy en las redes corporativas, con sistemas de gestión y mejora continua, liderados desde áreas que entiendan integralmente las necesidades conjuntas de las TO y de las TI. Cabe pensar que, para entonces, los incidentes sobre este tipo de infraestructuras serán habituales y su impacto dependerá de la preparación y resiliencia de las organizaciones que los reciban”.

Patrick C. Miller (@PatrickCMiller), EEUU

Socio-Director, Archer Energy Solutions

Presidente Emérito, EnergySec

Tal vez parezca una locura; pero creo que, en diez años, uno de los temas que marcará tendencia será la seguridad de Inteligencia Artificial (IA). Estamos acercándonos a la IoT y a la IIoT (Internet Industrial de la Cosas, del inglés ‘Industrial Internet of Things’). Cuando sean una realidad, producirán más datos y presentarán tal complejidad, que la única forma de gestionar los ‘sistemas’ y obtener el valor esperado de ellos será mediante la aplicación de inteligencia artificial. La IA se empleará para administrar y analizar datos; pero, también, para que los sistemas se gestionen a sí mismos, de forma autónoma (por ejemplo, auto-reparación, auto-optimización, etc.). Imagino que los ‘hackers’ comenzarán a explotar la funcionalidad y las debilidades de la IA, así como a utilizar la propia IA para atacar a otros sistemas. Esto dará como resultado una situación en la que tendremos IA frente a IA”. 

Robert M. Lee (@RobertMLee), EEUU

Fundador y CEO, Dragos Security

Profesional del Año en el campo de la Ciberseguridad Industrial (EEUU, 2015-16)

Con respecto a lo que hoy es tendencia y a lo que esperamos ver dentro de una década, estará centrado en el crecimiento e integración de los datos. Justo ahora existe un gran debate alrededor de la IIoT, la convergencia entre las TI y las TO, y el valor que, para las operaciones, pueden tener prácticas como la supervisión de la seguridad de las redes. A lo que creo que forzará todo esto es a un cambio en la forma en que observamos y tratamos los datos de nuestro entorno. Confío en que ello suponga que tendremos un mayor acceso a los datos  -léase, más infraestructura gestionada-,  más ojos sobre esos datos  -por ejemplo, Centros de Operaciones de Seguridad de TI/TO-  y que veamos innovación en el modo de obtener datos de forma menos invasiva  -por ejemplo, mediante Redes Industriales Definidas por Software-.  Creo que esto marcará la tendencia debido a la importancia y al valor de los datos, así como a la implicación de los diferentes interesados y al creciente número de dispositivos conectados a redes dentro del conjunto de los sistemas de control industrial”.

Claudio Caracciolo (@HoleSec), Argentina

Embajador de Seguridad, Eleven Paths/Telefónica Digital Identity & Privacy

Coordinador regional para Argentina, CCI

Claramente, los modelos de integración entre redes continuarán fusionándose, cada vez más, en la próxima década.

En la industria, los sistemas de control industrial tendrán como requisito de diseño la movilidad para su propia supervisión y control. Además, los conflictos violentos relevantes, como guerras o atentados, que afecten a este tipo de sistemas harán que sea necesario poner en marcha modelos de defensa más eficaces.

En ese sentido, los fabricantes deberán optimizar sus esfuerzos, por lo que contratarán expertos en ciberseguridad para revisar sus productos y redefinir sus procesos. De igual modo, preveo un crecimiento de la actividad consultora en materia de ciberseguridad industrial. Las empresas de servicios de seguridad tendrán mayores conocimientos y contratarán expertos del mundo de las TO y del de la seguridad corporativa para diseñar planes conjuntos de protección de infraestructuras industriales  -algunas ya lo están haciendo y, de hecho, creo que esos servicios se convertirán en un producto de uso común en un par de años-.

Finalmente, el concepto de ‘red de auto-defensa’ (del inglés, ‘self-defending network’), promovido, años atrás, por el fabricante estadounidense Cisco, deberá llegar también a los sistemas industriales. Estamos en la etapa de ‘revisión y rediseño’, luego pasaremos por la de ‘prueba/verificación periódica’ y, finalmente, creo que llegaremos al ‘modelo de auto-defensa’”.

Samuel Linares (@InfoSecManBlog), Emiratos Árabes Unidos

Tecnólogo Jefe, Booz Allen Hamilton

Co-fundador y Coordinador Regional para Oriente Medio y Asia, CCI

La seguridad ‘transparente’: ese es, para mí, uno de los grandes retos de la próxima década.

Tradicionalmente, todas las medidas de seguridad han sido, y son, muy ‘intrusivas’ desde el punto de vista del usuario. Creo que, a largo plazo, todo debería ser, y será, más ‘transparente’. Se tratará de que, aunque la seguridad esté ahí, implantada a todos los niveles, no la notemos; no tengamos que realizar ninguna acción explícitamente, en nuestra calidad de meros usuarios. (Si la cámara de mi ordenador portátil ‘ve’ que soy yo, y ‘nota’ que soy yo, yo no debería tener que hacer nada y, al mismo tiempo, debería resultar autenticado favorablemente).

Un segundo reto será la visibilidad total de las infraestructuras.

La integración, la correlación y la supervisión total de las infraestructuras corporativas, e industriales, integrando  -mediante analítica de datos, por ejemplo-  toda la información disponible sobre la operación de los procesos productivos (apoyada en sistemas SCADA), la prevención de riesgos laborales, la ciberseguridad, la seguridad física, la seguridad medioambiental, etc.”.

César Cerrudo (@CesarCer), Argentina

CTO, IOActive Labs

Promotor y Miembro de la Junta Directiva, SecuringSmartCities.org

Es difícil predecir un escenario a diez años, sobre todo cuando se trata de tecnología, ya que todo cambia y avanza muy velozmente.

Lo que si me atrevo predecir es que, en una década, casi todo tendrá software y estará conectado a Internet, o a alguna otra red; incluso, tal vez, nuestro cuerpo o partes de nuestro cuerpo. Esto hará que la ciberseguridad sea más importante que nunca.

En el caso de las ciudades, toda su infraestructura también estará conectada y todo será digital. Los servicios se adaptarán a las necesidades de los ciudadanos en tiempo real gracias a la información recolectada desde miles de sensores y fuentes diversas. La superficie de ataque digital a una ciudad será inmensa; y, seguramente, habrá organismos dedicados específicamente a lidiar con ciberataques a las ciudades y a tratar de mantenerlas seguras”.

Jeimy Cano (@ITInsecure), Colombia

Director, Revista “Sistemas” de la Asociación Colombiana de Ingenieros de Sistemas (ACIS)

Analista Asociado, iTTi

La ciberseguridad está inmersa en una dinámica internacional volátil, incierta, compleja y ambigua, lo que la hace inestable y cambiante conforme se advierten nuevas formas de convergencia en un mundo digitalmente modificado.

En este sentido, los responsables de esta materia deberán tener claras, al menos, seis habilidades clave para navegar en medio de lo desconocido, recalibrar la estrategia, ubicar el punto al cual quieren ir y mantener el equipo de trabajo en marcha para evitar la parálisis[xiii]:

1. Anticipar cambios en el entorno digitalmente modificado.

2. Retar los supuestos y el statu quo, para pensar de forma no convencional.

3. Interpretar los datos y puntos de vista, más que sólo confirmar la evidencia de sus propias creencias.

4. Decidir qué hacer tras revisar las opciones y tener la capacidad de explorar posibilidades hacia adelante.

5. Alinear los intereses e incentivos de los directivos, basados en diferentes puntos de vista.

6. Aprender de los éxitos y errores a través de laboratorios y pilotos, capitalizando las lecciones aprendidas y por aprender. 

En este escenario, la ciberseguridad deberá estar atenta a cambios inesperados y contradictorios que perturben la realidad de sus actuales estándares.

Algunas reflexiones a futuro podrían girar en torno a temas como resiliencia móvil, ecosistemas digitales emergentes o diseño ciberseguro de instalaciones; cada uno de los cuales está asistido por la tendencia de una mayor digitalización de la interacción entre personas y organizaciones; y, particularmente, la de la acelerada convergencia de lo físico y lo lógico a nivel global”.

* * 

Ahora mantenga la paciencia. En tan sólo una década podrá comprobar cuántos aciertos y cuántos errores ocultaban estas páginas. ¡Aguarde hasta entonces!

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 235, enero-marzo 2016. Referencia: Secciones técnicas. NOVÁTICA 235, pgs.62-67 – "Seguridad digital 2025" – Miguel García-Menéndez. 

---------------------------------------------

[i] Gartner, Inc. “Understanding your new role in Digital Security” (Comprender su nuevo papel en la Seguridad Digital). Obtenido vía @iTTiresearch en Twitter. URL (a 2015.11.27) :: https://twitter.com/iTTiresearch/status/608295938185170944  

[ii] Dickson, John B. “We need a new word for cyber” (Necesitamos un nuevo término para ciber). Dark Reading (DarkReading.com). 23 de noviembre de 2015. URL (a 2015.11.28) :: http://www.darkreading.com/attacks-breaches/we-need-a-new-word-for-cyber/a/d-id/1323278 

[iii] Organización para la Cooperación y el Desarrollo Económico (OCDE). “Digital Security Risk Management for Economic and Social Prosperity. OECD Recommendation and Companion Document” (Gestión, para la Prosperidad Económica y Social, del Riesgo para la Seguridad Digital. Recomendación de la OCDE y Documento de Acompañamiento). OCDE. 17 de septiembre de 2015. URL (a 2015.12.01) :: http://www.oecd-ilibrary.org/docserver/download/9315051e.pdf? 

[iv] Scott, John. “What are cyber disruptions costing businesses?” (¿Cuánto les están constando las ciberperturbaciones a las empresas?). Entrevista a Jason Healy, autor del éxito editorial de 2012 “A Fierce Domain, Cyber Conflict 1986 to 2012” (Un Dominio Feroz. Ciberconflictos 1986-2012) y fundador y miembro senior de la Iniciativa de Políticas Cibernéticas del Centro Brent Scowcroft sobre Seguridad Internacional del gabinete de análisis estratégico estadounidense The Atlantic Council. Aparecida en “Agenda” del Foro Económico Mundial. 26 de octubre de 2015. URL (a 2015.11.29) :: https://agenda.weforum.org/2015/10/what-are-cyber-disruptions-costing-businesses/ 

[v] Kleinman, Zoe. “Children's electronic toy maker Vtech hacked” (El fabricante de juguetes electrónicos para niños, Vtech, ‘hackeado’). BBC News/Technology. 27 de noviembre de 2015. URL (a 2016.04.06) :: http://www.bbc.com/news/technology-34944140 

[vi] Yadron, Danny. “Fisher-Price smart bear allowed hacking of children's biographical data” (El osito inteligente de Fisher-Price permitía el ‘hackeo’ de datos biográficos de los niños). 2 de febrero de 2016. URL (a 2016.04.06) :: https://www.theguardian.com/technology/2016/feb/02/fisher-price-mattel-smart-toy-bear-data-hack-technology 

[vii] Calder, Alan P. “Cyber security is no longer sufficient to ensure business sustainability. Cyber resilience should become the new boardroom priority” (La ciberseguridad ya no es suficiente para asegurar la sostenibilidad del negocio. La ciberresiliencia debería convertirse en la nueva prioridad del consejo de administración). Obtenido vía @info_CCI en Twitter. URL (a 2016.04.07) :: https://twitter.com/info_CCI/status/582441048112304128 

[viii] Foro Económico Mundial. “The Global Risks Report 2016” (El Informe de Riesgos Globales 2016). En su página 13, figura 1.2, señala los cinco riesgos de mayor preocupación para los próximos diez años, según la Encuesta de Percepción de Riesgos Globales realizada en 2015. 14 de enero de 2016. URL (a 2016.04.07) :: http://www3.weforum.org/docs/Media/TheGlobalRisksReport2016.pdf 

[ix] Dobbs, Richard; James Manyika, and Jonathan Woetzel. “The four global forces breaking all the trends” (Las cuatro fuerzas globales que están rompiendo todas las tendencias). McKinsey & Company (McKinsey Global Institute). Abril de 2015. URL (a 2016.04.07) :: http://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/the-four-global-forces-breaking-all-the-trends 

[x] ENISA. “National Cyber Security Strategies in the World” (Estrategias Nacionales de Ciberseguridad en el Mundo). Agencia Europea para la Seguridad de las Redes y la Información (ENISA). Abril de 2015. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world 

[xi] The White House. “International Strategy for Cyberspace. Prosperity, Security and Openness in a Networked World” (Estrategia Internacional para el Ciberespacio). La Casa Blanca, Washington (EEUU), mayo de 2011. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/international-strategy-for-cyberspace/at_download/file 

[xii] Spencer Stuart. “International comparation” (Comparativa internacional). Extracto y comparativa de la serie “Board Index 2015” (Índices de los Consejos 2015), 2015. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/international-strategy-for-cyberspace/at_download/file 

[xiii] Krupp, Steven and Paul J. H. Schoemaker. “Winning the long game. How strategic leaders shape the future” (Ganar en el largo plazo. ¿Cómo moldean el futuro lo líderes estratégicos?). PublicAffairs. 2 de diciembre de 2014. URL (a 2015.12.01) :: http://www.amazon.com/Winning-Long-Game-Strategic-Leaders/dp/161039447X 

 

¿Por qué algunos ejecutivos son los que motivan las malas prácticas en seguridad de la información?

Thursday, 24 December 2015 iTTi, Innovation & Technology Trends Institute Posted in IT Consequences

¿Qué es lo que ellos hacen diferente, que no es compatible con las prácticas de seguridad de la información? 

Introducción

Estas preguntas rondan con frecuencia los pensamientos de muchos ejecutivos de seguridad de la información. Inquietudes que pueden tener muchas interpretaciones y reflexiones como quiera que mucha de la apropiación de la práctica de seguridad de la información de una empresa, se lee desde el ejemplo de los miembros de la alta gerencia.

Si quisiéramos explicar un poco este comportamiento, que es el más reiterado y documentado en varios estudios, habría que ver un poco la dinámica de estos dirigentes, donde las actividades diarias asociadas con la atención de reuniones, las responsabilidades propias del cargo y la necesidad de agilidad en sus decisiones (para lo cual requieren acceso expedito a información, muchas veces privilegiada) establecen un referente básico de revisión y análisis de las prácticas de seguridad y control de estos directivos. 

Atender las reuniones

La agenda en general de los directivos de una empresa  está colmada de reuniones, para lo cual requieren información permanente, que le permita documentarse sobre el tema y tener una vista general para poder establecer alguna postura. En este ejercicio, interviene no solamente el ejecutivo, sino sus asistentes, los cuales ubican la información y preparan lo pertinente para efectos de documentar a su superior para la reunión.

Esta interacción delega de forma sutil en los asistentes la responsabilidad del manejo y control de la información, pues su papel fundamental no está en el control de los datos requeridos para tomar una decisión, sino en el uso que éste (el ejecutivo) le da para poder participar de las conversaciones previstas en los niveles adecuados de la organización. En este escenario, al recibir información (particularmente restringida o reservada) el ejecutivo no advierte o muchas veces ignora su nivel de sensibilidad, generando vectores de pérdida y/o fuga de información, que terminan con exposición de datos de forma no intencional. 

Considerando lo anterior, se hace necesario encontrar espacios de conversación con los directivos de las empresas, no para recordarles lo sensible de la información que manejan, sino los impactos que puede generar el inadecuado manejo de la información, los cuales afectan no solo la imagen de la empresa, sino que habla de las prácticas personales del ejecutivo sobre su tratamiento.

No obstante, para aquellos casos donde aun teniendo el conocimiento concreto del nivel de confidencialidad y la advertencia propia de los estándares corporativos sobre el particular, no se toman los recaudos del caso, deben aplicarse las consecuencias prevista en el contexto del gobierno corporativo, sobre el deber de cuidado propio de las juntas directivas y cuerpos de dirección, donde existe por definición indicaciones para temas específicos como el “silencio de oficio”. 

Responsabilidades del cargo

Generalmente cuando un ejecutivo es contratado por una organización, pocas veces recibe entrenamiento sobre los protocolos del tratamiento de la información de la empresa. Se deja a la buena intención e intuición del nuevo directivo la forma como debe tratarse los datos, que por ocasión de su cargo, va a tener acceso.

Sin perjuicio de lo anterior, las descripciones de cargo por lo general incluyen algunos elementos propios de la protección de la información, los cuales son algunas veces pasados por alto por los ejecutivos, concentrándose en aquellos temas medulares de su especialidad, donde particularmente esperan que genere valor para la empresa. Si bien esto puede ocurrir, no está de más que la empresa motive prácticas de seguridad y control que le recuerden a los directivos, el activo estratégico que tienen en sus manos; no solamente en formato físico, sino electrónico y de forma conversacional.

Cuando un ejecutivo asume su cargo, debe pensar no solamente en la responsabilidad que asumen al llegar a esa posición, sino lo que conlleva el tener acceso a la información y sus actuaciones tanto dentro como fuera de la empresa. 

Una conversación de ascensor, un documento en preparación ajustado en un aeropuerto, una pérdida de una tableta o un teléfono inteligente, dejan de ser situaciones aisladas y se convierten en verdaderos eventos que ponen en riesgo la imagen de la empresa, sin contar las posibles implicaciones jurídicas que se puedan presentar por el tipo de información que se puede exponer. 

Agilidad en las decisiones

La dinámica de los ejecutivos modernos los obliga a llevar una vida en movimiento, conectados y en permanente actualización. Una vida agitada claramente poco saludable como quiera que descuidan aspectos propios de su dieta y condiciones personales, temas que escapan al alcance de esta reflexión.

En este escenario, el tratamiento de la información se vuelve un elemento sensible de su actividad, particularmente aquella a la cual tiene acceso para participar de las decisiones propias de la empresa. Contar con mecanismos de seguridad instalados en sus dispositivos les puede generar, a algunos, contratiempos y demoras para acceder a aquello que necesitan; pero a otros, los motiva pues saben que tienen una forma para demostrar su cuidado y control en el eventual caso que se produzca una brecha de seguridad de la información.

Cualquiera sea la postura que asuma el directivo, deberá saber que él se constituye en garante de la información que recibe y maneja; esto es, una representación “casi legal” de la empresa, que le exige el máximo cuidado y control sobre un activo estratégico, donde la organización sabe que tiene un deber legal de cuidado y que el mismo, es transferido a sus ejecutivos cuando se comparte para adelantar las actividades del gobierno corporativo.

Reflexiones finales

Luego de revisar los tres elementos anteriores tenemos algunas pistas para tratar de responder las preguntas. Si las vemos desde los ejecutivos, la exigencia es que: 

los mecanismos de seguridad y control deben ser prácticamente “invisibles”, es decir no deben notarse, pues así es posible conjugar la agilidad que se requiere y la protección que se necesita. 

Si la vemos desde los oficiales de seguridad de la información, la respuesta es en

la concienciación de los ejecutivos sobre el tratamiento de la información y la forma como estos deben asegurar sus prácticas dentro y fuera de la empresa. 

Una vista que si bien se ajusta a las responsabilidades que estos oficiales tienen, se enfrenta a las necesidades particulares de los ejecutivos.

Conciliar estas dos posiciones, requiere necesariamente de un tercero que dirima y disponga de una declaración empresarial que ambos actores lean con claridad y acepten de conformidad. Si la decisión favorece a los ejecutivos y sus demandas, el área de seguridad de la información estará motivada a desarrollar cada día estrategias más automáticas, que necesariamente exigirán importantes inversiones tecnológicas. Si la decisión favorece al oficial de seguridad de la información, los ejecutivos deberán adoptar nuevas prácticas de protección que cambien sus hábitos y actitudes respecto del uso de la información, haciendo evidente las responsabilidades propias de su tratamiento.

Si la decisión no está en ninguno de los dos lados, sino que es una postura que toma lo mejor de ambos escenarios, se hace necesario que aquel que arbitra la problemática, 

Abra un espacio de conversación donde cada parte indique qué puede ceder y que no, para que se establezca una puente de comunicación donde se comparta, no solo la necesidad de agilidad y protección, sino el cambio de actitud y responsabilidad por el adecuado tratamiento de la información. 

Si bien este documento no busca agotar las consideraciones sobre las preguntas que motivaron esta reflexión, si quiere provocar conversaciones entre los interesados para continuar abriendo espacios donde confluyan los intereses tanto de los ejecutivos como de los oficiales de seguridad, que en últimas beneficien a la empresa como un todo. 

* * *

Jeimy Cano, PhD, CFE, es Director de la Revista "Sistemas" de la Asociación Colombiana de Ingenieros de Sistemas (ACIS). El Prof. Cano es, además, Analista Asociado de iTTi. 

Este artículo fue publicado inicialmente en el servicio Pulse de LinkedIn, el 10 de  diciembre de 2015, en la dirección https://www.linkedin.com/pulse/por-qué-algunos-ejecutivos-son-los-que-motivan-las-en-jeimy 

----------------------------------

Referencias 

International Chamber of Commerce (2003) Information security assurance for executives. Recuperado de: https://www.intgovforum.org/cms/documents/contributions/general-contribution/2009-1/329-information-security-executives/file 

Veracode (2015) Cyber-Related Corporate Liability is Top of Mind for Boards and Executives. Recuperado de: http://www.informationsecuritybuzz.com/study/cyber-related-corporate-liability-is-top-of-mind-for-boards-and-executives/ 

PricewaterhouseCoopers (2015) The Global State of Information Security® Survey 2016. Recuperado de: http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/key-findings.html 

Information Security Magazine (2011) Security Education: A Lesson Learned? Recuperado de: https://www.infosecurity-magazine.com/magazine-features/security-education-a-lesson-learned/ 

Monteleone, F. (2015) Effective information security governance: executive support a must. Recuperado de: http://www.dataprivacyandsecurityinsider.com/2015/07/effective-information-security-governance-executive-support-a-must/ 

 

Ciberseguridad empresarial. Primeras aproximaciones prácticas

Tuesday, 15 September 2015 Prof. J.Cano Posted in IT Consequences

Introducción

La evolución acelerada de la tecnología y las comunicaciones en todas las esferas de la vida y particularmente en las empresas, demanda entender ahora una realidad interconectada, donde los productos y servicios se definen en medio de lo que se llama un ecosistema digital. 

Las empresas deben comprender que el escenario de operación, ya no es del todo conocido y que se requiere superar la distinción vigente de la seguridad de la información, como ejercicio de práctica interna para proteger la organización de vulnerabilidades y fallas de seguridad y control que puedan comprometer tanto la dinámica de negocio como la de sus terceros, en los cuales la empresa es custodio de sus datos, por una nueva y complementaria que se ha denominado ciberseguridad.

La ciberseguridad, desde el punto de vista empresarial, es una realidad que prepara a la organización para comprender un escenario de amenazas digitales propias del ecosistema donde opera y establece un conjunto de nuevas prácticas de defensa y anticipación antes desconocidas y poco nombradas. La ciberseguridad empresarial no puede ni debe confundirse con el ejercicio que se hace a nivel nacional para proteger y defender las infraestructuras críticas de la nación, como quiera que dicho ejercicio escapa a las disposiciones que un país hace para reconocer su ecosistema digital de gobierno y cómo se mantiene la operación del mismo a pesar de los posibles ataques.

En este sentido, la ciberseguridad se enmarca en el contexto de lo empresarial, más allá de una nueva exigencia de cumplimiento, como una responsabilidad de marca mayor que implica a los miembros de la junta directiva para entender y construir una estrategia corporativa que permita proteger y asegurar la resiliencia de las operaciones y la reputación de la empresa, como quiera que al estar expuesta en su ecosistema, se hace vulnerable a las tendencias y posiciones en las redes sociales y demás expresiones digitales disponibles a la fecha.

Así las cosas, la ciberseguridad juega un papel relevante en las empresas del siglo XXI habida cuenta que los impactos de los posibles ciberataques, bien focalizados sobre la infraestructura tecnológica, o a través de campañas mediáticas de desprestigio, o provocando la pérdida de propiedad intelectual o sanciones legales, establecen una nueva realidad que las empresas modernas deben asumir ahora como la nueva frontera del precio que se debe pagar por estar interconectados y haciendo parte de una red de contactos y conexiones, muchas de ellas compartidas por terceros con los cuales otras industrias igualmente contratan.

Este documento presenta una breve revisión del concepto de ciberseguridad desde la perspectiva de las empresas, como una primera aproximación para ilustrar los conceptos, prácticas y retos que las organizaciones deben asumir por ser parte de un entorno hiperconectado, con relaciones asimétricas, abundancia de propuestas y servicios novedosos, que en cualquier momento tiene la capacidad de cambiar la historia y motivar cambios hasta el momento inimaginados. 

La ciberseguridad en la empresa. Algunas precisiones conceptuales

Si bien, es cierto que un ciberataque puede ocurrir en cualquier momento y de cualquier forma, los especialistas en ciberseguridad de las empresas no están para reducir este tipo de riesgo, sino para que las organizaciones tomen riesgos de manera inteligente. Para lo cual se requiere al menos dar respuesta a las siguientes preguntas: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.xvi)

- ¿Cuáles son los riesgos asociados con esta nueva iniciativa tecnológica del negocio? ¿El negocio está informado sobre el incremento del nivel de exposición de la empresa con esta iniciativa? 

- ¿Cómo esta iniciativa tecnológica del negocio será diseñada para generar la mejor experiencia en el cliente y el menor riesgo de pérdida de datos por un ciber ataque?

- ¿El negocio conoce con claridad la dinámica y amenazas del ecosistema digital donde se enmarca la iniciativa tecnológica que se quiere desarrollar? 

Responder estas preguntas, establece en la empresa un entendimiento extendido de lo que significa operar en un entorno interconectado donde, las empresas no pueden protegerse ellas solas, sino que requieren conectar y desarrollar cooperación interempresarial para construir una distinción de defensa y anticipación completamente distinta a lo que se tiene en el ejercicio interno de seguridad de la información.

En este contexto, el primer ejercicio para movilizar esfuerzos hacia la ciberseguridad empresarial, es reconocer y construir su ecosistema digital, para enumerar sus proveedores de servicios y tecnología, las expectativas de los posibles clientes, las agencias gubernamentales y sus capacidades de acción, la sociedad civil y sus grupos relevantes y los aseguradores con sus propuestas de cobertura frente ciberataques.

Una vez recreado el mapa de actores y relaciones propios del ecosistema digital, la empresa, sabiendo que no puede eliminar de sus análisis la materialización de un ciberataque, debe fundamentar sus acciones para alcanzar lo que la literatura llama resiliencia digital, donde: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.xvii-xviii)

- La empresa comprende los riesgos de los ciberataques y puede tomar decisiones, donde los retornos de las iniciativas tecnológicas planteadas, justifican el incremento del riesgo.

- La empresa tiene la confianza que los riesgos de los ciberataques son manejables, más que los estratégicos – los cuales no ponen en riesgo la posición competitiva de la empresa o su existencia.

- Los clientes y los negocios tienen confianza en la economía en línea – donde los riesgos sobre los activos de información y los fraudes en línea no son freno para el crecimiento del comercio digital.

- El riesgo de ciberataques no limita a las empresas de continuar tomando ventaja de las innovaciones tecnológicas.

El ejercicio de resiliencia digital debe procurar la continuidad de los negocios, fundada en la capacidad de la empresa para gestionar los incidentes de seguridad y asegurar la disponibilidad de los sistemas, basado no solamente en sus posibilidades técnicas y operacionales, sino con el apoyo de sus socios estratégicos en el ecosistema digital donde participa. 

La ciberseguridad en la empresa y sus nuevos normales

Las empresas entienden que las prácticas básicas de seguridad de la información, sustentadas en los estándares conocidos (p.e ISO 27002) establecen los elementos que articulan las estrategias que se desarrollen para asegurar la nueva función de ciberseguridad de la organización.

Esto supone que se debe pasar de un enfoque basado en proteger y asegurar, el cual moviliza las actividades al interior de la organización para cultivar un adecuado tratamiento de la información y soportar las exigencias propias del cumplimiento regulatorio, a otro basado en defender y anticipar donde la organización censa y responde de acuerdo con su lectura del ambiente, las tendencias identificadas y los retos de negocio que crean entornos disruptivos que afectan su posición estratégica y competitiva (Cano, 2014).

Lo anterior significa que las prácticas que conocemos de la seguridad de la información asociadas con autenticación, autorización, auditabilidad y no repudio, deben ser complementadas con otras que den cuenta de las exigencias de anticipación que ahora las empresas requieren para mantener ahora su nivel de “ciber-riesgo” (Frapolli, 2015, p.1.3).

Las prácticas complementarias, que podemos llamar propias de la ciberseguridad de las empresas, deben estar fundadas en actividades relacionadas con:

- Análisis de escenarios – Una práctica que establece y proyecta contextos posibles de amenazas y riesgos emergentes, con el fin de motivar reflexiones y acciones que preparen a la organización frente a situaciones imprevistas y eventos no esperados.

- Ciber inteligencia – Una función de monitoreo y valoración de información sobre amenazas, que desarrolla pronósticos sobre vectores de ataques y objetivos que los atacantes pueden materializar en el contexto del ecosistema digital donde opera la organización.

- Juegos de guerra – Se diferencian de las pruebas de vulnerabilidades tradicionales, donde se contratan terceros para identificar fallas en la infraestructura que habilitan una fuga y/o pérdida de información, en cuanto a que en los juegos de guerra se busca comprender la información a proteger, sabiendo las fallas de seguridad que el atacante puede concretar y así poder ver las limitaciones que la empresa tiene para enfrentar un ciberataque, particularmente en la forma de establecer su estrategia de comunicaciones y su proceso de toma de decisiones (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.150)

- Defensa activa – Que implica pasar de una postura pasiva de respuesta frente ataques del exterior, a una reflexión que modela y anticipa los nuevos movimientos de los atacantes, para lo cual: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.134-135)

    - Establece los perfiles de actividades que son consideradas normales en la organización, para poder ver los cambios inusuales, y así alertar y actuar en consecuencia.

    - Integra los resultados de la ciber-inteligencia para plantear hipótesis de posibles intrusiones peligrosas y emergentes.

    - Consulta y afina los resultados del Centro de operaciones de seguridad (en inglés SOC – Security Operation Center), que filtrando los posibles falsos positivos y descifrando los nuevos patrones o vectores de ataque, permite focalizar las acciones que son decisivas para enfrentar y tratar de contener los posibles atacantes. 

La ciberseguridad en la empresa y sus nuevos retos 

La ciberseguridad en el contexto empresarial tiene un foco completamente diferente a las connotaciones del concepto en el escenario de la protección de la gobernabilidad de una nación. Mientras a nivel de país, la ciberseguridad adquiere una distinción de práctica transversal que conecta los sistemas de protección de cada una de las entidades que hacen parte del sistema de gobierno nacional para hacer más resiliente la operación gubernamental, a nivel empresarial se revelan las conexiones propias de la corporación y la sensibilidad de las mismas frente a su capacidad de resistencia a ciberataques que comprometen su modelo de operaciones.

En razón a lo anterior, se requiere formular una nueva función de protección del modelo de negocio, basado en la lectura del ecosistema digital, que incorpore nuevas habilidades y capacidades para defender y anticipar nuevos escenarios de ciberataques, las cuales deben responder a retos empresariales como: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.163)

- Priorizar los activos de información basado en los riesgos de negocio.

- Integrar las prácticas complementarias previamente enunciadas en el entorno de la tecnología de información empresarial.

- Incorporar el concepto de ciber-riesgo dentro del sistema de riesgos empresariales y los procesos de gobierno corporativo.

- Establecer estrategias de protección diferenciadas de acuerdo con en el nivel de sensibilidad de los activos identificados.

- Mantener y sostener la capacidad de respuesta a incidentes, que permita incorporar y asegurar las lecciones aprendidas y aumentar la resiliencia corporativa.

Estos retos se deben traducir en planes de acción y estrategias concretas que permitan asegurar la incorporación de los “nuevos normales” y así cambiar, no solamente la estrategia de participación de la empresa en su entorno digital, sino activar un nuevo conjunto de habilidades y recursos que construyan un nivel de resiliencia mayor dentro de su ecosistema digital para lo cual es clave tener en cuenta: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.191)

- Las definiciones de política pública nacional e internacional vigente.

- Los aportes de la sociedad civil, las comunidades académicas y de investigación.

- La dinámica de los mercados y cambios en internet, que hablen de acciones coordinadas para estabilizar y normalizar operaciones comprometidas.

Finalmente y no menos importante, se hace necesario incorporar dentro de la agenda empresarial a nivel de junta directiva (Rai, 2014), la lectura de algunos deberes claves de los miembros del directorio, como práctica de gobierno corporativo que reconoce las amenazas externas y las volatilidades propias del ecosistema digital donde se encuentra la organización.

En este escenario, los miembros de junta deben asegurar que sus actuaciones son consistentes con esta realidad y dar cuenta de sus acciones respecto de estos eventos, para movilizar y asegurar su debido cuidado y diligencia frente a los intereses de la empresa y el cuidado de la imagen corporativa. Por tanto, cada miembro de junta debe asegurar el cumplimiento de al menos cinco deberes (Frappolli, 2015, p. 3.16 - 3.17) frente a la dinámica de las tensiones que provoca un ciberataque y las exigencias que la ciber seguridad demanda tanto para la organización como para sus ejecutivos de primer nivel.

Deber de cuidado - Cada miembro de junta debe mantenerse informado de los eventos y noticias relevantes sobre ciber seguridad y/o ciber ataques con el fin de asegurar un tono adecuado de las discusiones en el contexto de los objetivos y estrategias de la organización.

Deber de lealtad - Cada miembro de junta no debe tener o participar en negocios que compitan con la organización para cual sirve, y más aún, comunicar situaciones adversas de las cuales tenga conocimiento que afecten las condiciones de seguridad y control que tenga la empresa de la cual es miembro en su directorio ejecutivo.

Deber de divulgación - Los miembros de junta están obligados a revelar los hechos que son relevantes para los grupos de interés de la empresa para cual trabajan. En particular, establecen el mecanismo y la estrategia que permite dar cuenta de eventos desafortunados de seguridad de la información con impactos en alguno de sus grupos de interés.

Deber de obediencia - Los miembros de junta deben ceñir sus actuaciones a la Constitución y la ley, así como frente a los fundamentos del gobierno corporativo. Esto es, asegurar las prácticas y estándares requeridos para aumentar la resistencia de la empresa frente a ataques informáticos, así como motivar y apoyar comportamientos adecuados en el tratamiento de la información de la empresa.

Deber de verificación - Los miembros de junta deben contar con mecanismos para validar las acciones que sobre el tema de seguridad de la información se adelantan en la empresa, motivar los planes de mejora que sean del caso y asegurar los recursos necesarios para incorporar las buenas prácticas tanto en personas, procesos y tecnología.

Reflexiones finales

Si bien a lo largo de este documento se han enunciado algunas ideas sobre la ciberseguridad en el contexto empresarial, es importante anotar algunos de los retos legales propios de la tensión existente entre el uso abierto y libre del ciberespacio y la protección del mismo como espacio de estrategias competitivas e innovación: (García, 2013, p.87-90)

- La neutralidad de la red.

- La regulación del ciberespacio.

- Las amenazas para derechos y garantías individuales.

- Las responsabilidad de los proveedores de los servicios.

- Los problemas de la jurisdicción sobre los alcances de las conductas punibles en internet.

- Las tecnologías emergentes estructurales como computación en la nube, computación móvil, las redes sociales, los grandes datos y su analítica y el internet de las cosas.

Estos retos completan el escenario volátil, incierto, complejo y ambiguo (Johansen, 2009) que configura la realidad de las organizaciones modernas enmarcadas dentro de un ecosistema digital en permanente movimiento y evolución. Así las cosas, la ciberseguridad empresarial debe prepararse para las nuevas amenazas digitales derivadas ahora de su relacionamiento con cada uno de los actores del ecosistema donde participa:

- Las agencias de regulación

- Los proveedores de servicios y productos

- Los vendedores de tecnologías de información y comunicaciones

- Las asociaciones industriales

- Los clientes corporativos y los consumidores

- El gobierno y sus agencias de seguridad y control

- Los atacantes

- La sociedad civil

Lo anterior implica entender con claridad qué significa ser una empresa digital (Dörner y Edelman, 2015) o con maestría digital (Westerman, Bonnet y McAfee, 2014), esto es:

- Lectura y análisis de los comportamientos y expectativas de los clientes que se desarrollan dentro y fuera del contexto de negocio, así como fuera de su sector, para identificar las tendencias que pueden entregar o destruir valor.

- Uso de nuevas capacidades para mejorar la forma como se atiende a los clientes y se mejora su experiencia como usuario.

en pocas palabras los procesos tecnológicos y organizacionales que permiten que una empresa sea ágil y rápida para responder y anticipar los cambios disruptivos del entorno y capitalizar las oportunidades que se derivan de los mismos (Dörner y Edelman, 2015).

Por tanto, la ciberseguridad empresarial debe apoyar y movilizar a la organización para establecer su nivel de exposición al ciber-riesgo, entendiendo sobre que parte de la cadena de valor tendrá control y cuanto desea invertir en conocer sus clientes finales (Weill y Woerner, 2015). Esto significa que deberá desarrollar escenarios de análisis, donde se desconecten los puntos de la realidad conocida, se incorporen los resultados de la ciber inteligencia realizada, para nuevamente conectarlos (De Jong, 2015) y así expandir el entendimiento de su ecosistema y revelar aspectos ocultos de futuros inciertos o riesgos inesperados (Roxburgh, 2009).

La ciberseguridad empresarial por tanto, es una nueva práctica corporativa que demanda explorar por debajo de la superficie institucional y en medio de la vorágine de propuestas emergentes, aspectos novedosos de la realidad que motiven y descubran agentes de riesgo inéditos o renovados, que puedan comprometer la dinámica de los negocios y establecer condiciones adversas que limiten su participación en las oportunidad de su sector.

Si lo anterior es correcto, la ciberseguridad empresarial se convierte en un nuevo estándar de las operaciones de las empresas con presencia global, que reconocen que no existen límites geográficos para que un atacante, o actor no identificado, pueda concretar un ciberataque y crear un escenario de inestabilidad e incertidumbre que comprometa sus virtudes corporativas y alianzas estratégicas.

* * *

El Prof. Jeimy J. Cano, PhD, CFE, Director de la revista ‘Sistemas’ de la Asociación Colombiana de Ingenieros de Sistemas (ACIS) es Analista Asociado de iTTi.

Este artículo fue publicado originalmente en el blog ‘IT Insecurity’, el 7 de septiembre de 2015, en la siguiente URL: http://insecurityit.blogspot.com.co/2015/09/ciberseguridad-empresarial-primeras.html”.  

--------------------------------------

Referencias

- Cano, J. (2014) Transformando la función de la seguridad de la información. Anticipando el futuro, entendiendo el presente. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2014/11/transformando-la-funcion-de-la.html 

- De Jong, R. (2015) Anticipate. The art of leading by looking ahead. New York, NJ. USA: Amacon.

- Dörner, K. y Edelman, D. (2015) What ‘digital’ really means. Mckinsey Digital. Recuperado de: http://www.mckinsey.com/insights/high_tech_telecoms_internet/what_digital_really_means 

- Frappolli, M. (2015) Managing cyber risk. Malvern, Pennsylvania.USA: American Institute for Chartered Property Casualty Underwriters.

- García, P. (2013) El derecho de internet. En Segura, A. y Gordo, F. (coords) (2013) Ciberseguridad global. Oportunidades y compromisos en el uso del ciberespacio. Granada, España: Editorial Universidad de Granada. 69-90

- Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.

- Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.

- Rai, S. (2014) Cybersecurity: What the Board of Directors Needs to Ask. ISACA-IIA. Recuperado de: http://www.theiia.org/bookstore/downloads/freetoall/5036.dl_GRC%20Cyber%20 

- Roxburgh, C. (2009) The use and abuse of scenarios. Mckinsey Quarterly. Noviembre.

- Weill, P. y Woerner, S. (2015) Thriving in an increasingly digital ecosystem. Sloan Management Review. 56, 4. 27-34

- Westerman, G., Bonnet, D. y McAfee, A. (2014) Leading digital. Turning technology into business transformation. Boston, MA. USA: Harvard Business Review Press.

 

Troyanos materiales o la seguridad de las ‘cosas’

Friday, 09 May 2014 Manolo Palao Posted in iTTi Views, IT Consequences

‘Troyanos’  es como ahora mal llamamos a los ‘caballos de Troya’, sometidos, como solemos estar, a la presión terminológica gringa.  Igual que ahora llamamos ‘químicos’ (y no ‘productos químicos’) al gas sarín y similares; además de  a ese viejo y respetable señor de la barba y la bata blanca. 

Los  caballos de Troya han sido físicos –materiales– siempre, desde hace 44 siglos [i], donde las leyendas recogidas en La Odisea de Homero y en La Eneida de Virgilio sitúan al precursor: el de Troya. Físicos, huecos y de madera. 

Con el surgir de la informática, los ‘troyanos’, en los últimos digamos 40-50 años,  se han sublimado y -de físicos y de madera- han pasado a ´lógicos’, al software y a la Nube. Y de algún modo, nos hemos acostumbrado a su presencia entre nosotros. Presencia ‘lógica’ pero no física, y nos hemos acostumbrado / resignado a su vida expansiva, a los riesgos que suponen, a los antivirus…

Vivimos –es ya un tópico-  en un mundo crecientemente interconectado e interdependiente, caracterizado por la alta  ‘interconexión de las ‘cosas’ [ii]. El  "Internet de las ‘cosas’ [things]".

Troyanos sólo lógicos, hemos tenido en los últimos 40-50 años; ¡pero sólo hasta ahora!

Porque, ahora, ya hay ‘troyanos’ físicos’ (aunque no de madera, sí de silicio). Las sospechas enunciadas en los últimos años, se han convertido en evidencias [iii].

En  mi opinión, la diferencia fundamental –desde un punto de vista de seguridad (seguridad de las cosas)- entre los troyanos ‘lógicos’ y los’ físicos’ es que mientras los primeros, los lógicos, dependen de una probabilidad de infección  (0 ≤ p ≤1), el parque de productos o componentes con un troyano ‘físico’ tienen la infección con toda certeza (p=1). 

Si un producto o componente tiene un subcomponente que contiene un troyano, también lo tendrán todos sus hermanos de lote o de serie de fabricación, y todos los ensamblajes y sistemas ulteriores que contengan dicho producto o componente [iv].

Y esto plantea --a gobiernos, empresas, científicos y profesionales-- un reto enorme  y probablemente muy subestimado [v].  Porque el alcance del riesgo rebasa --en órdenes de magnitud-- a las hasta ahora consideradas ‘infraestructuras críticas’  (como señala la Nota 4), para potencialmente alcanzar la totalidad de nuestro actual modelo de vida: automóviles, fotografías y ‘youtubes’, teléfonos, tráfico, iluminación, distribución de electricidad, agua, gas, sensores, controles, parquímetros, sanidad, equipos médicos, meteorología, robots fabriles, satélites, aviónica, tráfico aéreo, aulas virtuales, teleasistencia, el comercio y el ocio en la Red, y un muy largo etcétera.

Abordar a tiempo y con eficacia esta temática exigirá, con toda seguridad, esfuerzos titánicos (en concienciación, divulgación, conciertos internacionales, tratados y leyes, marcos y normas,  grandes inversiones) que se traduzcan  en gestión y control de calidad, evaluaciones y certificaciones de procesos y productos y sus productores, auditorías y aseguramiento.  

Y que las evaluaciones, auditorías y certificaciones se realicen con competencia e independencia extremas. ¿Será esto posible?

No parece que estemos aún en esa senda, por lo que la seguridad de las cosas está en entredicho y por ende la seguridad de las personas y de su modelo de vida, que es lo que al final debe importar. Por ello son loables algunas iniciativas prometedoras, que intentan ampliar el horizonte de la seguridad de la información, más allá de su escenario y tratamiento tradicionales [vi]. 

Por acabar con una nota más ligera, no todo es malo en el tema de los ‘troyanos materiales’ (potenciales o reales). Acabo de adquirir un excelente portátil “Lenovo” con una calidad- precio muy atractiva, probable consecuencia del boicot a dicha marca (razonable, a mi juicio) de muchas agencias gubernamentales y –por su influencia—de muchas grandes empresas.  

Pienso que la sensibilidad de la información que yo manejo, frente a supuestos intereses chinos, es muy baja. Aunque, claro, no se debe olvidar que la mejor definición de ‘sensible’ es la que dé (o piense y calle) el atacante.

* * *

Este artículo se publicó por primera vez en la revista "Magazcitum", el 5 de Febrero del 2014. 

----------------------------------------------

[i]  http://en.wikipedia.org/wiki/Trojan_War 

[ii] “Ubiquitous Computing is fundamentally characterized by the connection of things in the world with computation”.  Mark Weiser and John Seely Brown: The Coming Age of Calm Technology. OCT 1996.

[iii] Pierluigi Paganini An undetectable Hardware Trojan is reality

[iv] Con algún mayor rigor técnico, en los ensamblajes y sistemas, sólo quedarían afectados aquellos que –por configuración HW o SW- dejaran activos los componentes con malware, no los que los dejaran inhibidos.

[v] "In recent years, hardware Trojans have drawn the attention of governments and industry as well as the scientific community. One of the main concerns is that integrated circuits, e.g., for military or critical- infrastructure applications, could be maliciously manipulated during the manufacturing process, ..." Stealthy Dopant-Level Hardware Trojans. 

[vi]  Por ejemplo,  el recientemente creado Centro de Ciberseguridad Industrial que se centra (en español) en la seguridad de la información industrial, intentan ampliar el horizonte de la seguridad de la información, más allá de su escenario natural de desarrollo  -el mundo corporativo-.  O el proyecto CLDFP (Cyber Leader Development Framework) [actualmente –OCT 2013- en revisión] de CSFI, que se ha propuesto desarrollar un marco de competencias de los futuros ciber-líderes incluyendo temas de ciencias políticas, sociología, estrategia, y comunicación, entre otros.

 

IT Project Flops

Tuesday, 28 January 2014 Manolo Palao Posted in IT Consequences

The Standish Group was formed in 1985, with a vision. It was to collect case information on real-life IT failures and environments. Why? We do this in order to profile your projects and environments against those cases and deliver advice based on collective wisdom.”

 

Since then they have published an amazing number of cases of IT project failures and a rich series of analysis and good/bad practices.

 

Their “CHAOS Manifesto 2013 .Think Big, Act Small” presents empirical evidence of the higher failure risk of large projects. 

 

A study of IT banking projects ranging from 2003 to 2012 shows that small projects (less than 1 million USD in manpower) succeeded in 66% of the cases, while they failed or were challenged in the other 34% of the cases. On the contrary, in the case of large (more than 10 million USD in manpower) projects, successes were only 7%, the rest being failures or challenged projects.

 

The Standish Group has developed a guideline for the Software Innovation Center, with “four basic tenets … The first tenet is that software ideas and projects are done in levels. The second tenet is that there are no project budgets or estimates; funding is by level only. The third tenet is that each level is optimized. And fourth, iteration is the underlying methodology” (From “CHAOS Manifesto 2013 .Think Big, Act Small”)

 

There are 4 progressive levels (the Standish Innovation Funnel concept) with decision points where a committee decides whether a project remains at that level or passes to the next one.

 

Breadbasket budgeting’ is used to segment budgets to allow carrying out activities such as business opportunity discovery, specifications, etc. without being committed to a specific project.

 

Each level is optimized considering capability, focus, risk, value, budget, timing and conflict.

 

The process is agile, based on iterative development, for rapid delivery.

 

 

Fiascos en Proyectos TI

Tuesday, 28 January 2014 Manolo Palao Posted in IT Consequences

El Standish Group se formó en 1985 con una visión. La de coleccionar información de casos sobre fracasos y entornos TI reales, para perfilar los proyectos y entornos de Uds. Contra dichos casos, y prestar consejos basados en sabiduría colectiva.”

 

Desde esa fecha ha publicado un asombroso número de casos de fracasos en proyectos TI y una rica serie de análisis y buenas/malas prácticas.

 

Su “Manifiesto de CHAOS 2013. Piense en grande, actúe en pequeño” presenta evidencia empírica de que los grandes proyectos tienen mayor riesgo de fracasos.

 

Un estudio de proyectos TI en la banca entre 2003 y 2013 muestra que los proyectos de TI pequeños (menos de 1 millón de USD en mano de obra) tuvieron éxito en un 66% de los casos, pero fracasaron o fueron cuestionados en el otro34%. Por el contrario, en el caso de proyectos grandes (más de 10 millones de USD en mano de obra) los éxitos fueron sólo el 7%, y el resto fueron fracasos o proyectos cuestionados.

 

El Standish Group ha desarrollado una directriz para el Centro de Innovación de Software (Software Innovation Center), con “cuatro principios básicos… “El primero, que las ideas y proyectos de software se desarrollan por niveles. El segundo, que no hay presupuestos ni estimaciones por proyectos. El tercero es que cada nivel se optimiza. Y el cuarto, que la metodología subyacente es la iteración”. (DeCHAOS Manifesto 2013 .Think Big, Act Small”).

 

Hay 4 niveles progresivos (el concepto de Embudo de la Innovación [Innovation Funnel] de Standish), con puntos de decisión en que un comité decide si un proyecto se mantiene a ese nivel o pasa al siguiente.

 

Se emplea una ‘presupuestación de panera’ [‘breadbasket budgeting’] para segmentar los presupuestos para permitir desarrollar actividades como descubrimiento de oportunidades de negocio, especificaciones, etc. Sin que estén comprometidas para un proyecto específico.

 

Cada nivel se optimiza considerando la capacidad, el enfoque, el riesgo, el valor, el presupuesto, el calendario y los conflictos.

 

El proceso es ágil, basado en desarrollo iterativo, para entregar rápidamente.

Uso de las redes sociales en la empresa: riesgos de seguridad

Friday, 30 August 2013 Maria Jose de la Calle Posted in IT Consequences

Las formas de colaboración en la empresa han ido evolucionando a medida que lo ha hecho la tecnología, desde las reuniones personales y el correo interno -en papel-, al teléfono, correo electrónico, la mensajería instantánea (IM, por sus siglas en inglés), reuniones virtuales por medio de Internet y las redes sociales. 

A excepción del correo en papel, que casi ha desaparecido, las demás formas de colaboración han ido coexistiendo y se está utilizando una u otra dependiendo del objetivo, del tiempo en que se necesite la colaboración o respuesta, y de otros factores como los usos y los husos horarios.

Al contrario de lo que pasó con el teléfono y el correo electrónico, que se extendieron casi a la par en los ámbitos de negocios y privado, la mensajería instantánea y las redes sociales se han popularizado primero en lo personal  y es ahora cuando empiezan a ser usadas en el mundo empresarial.

Según el McKinsey Global Institute[1], 72% de las empresas se valen de las tecnologías sociales principalmente para llegar hasta los consumidores y recoger sus deseos, gustos y necesidades para el desarrollo de productos, publicidad y servicio al cliente. Sin embargo su mayor potencial está en la mejora de las comunicaciones y el intercambio de conocimientos, así como en la colaboración dentro de, y entre empresas.

Al igual que en el ámbito privado, se establecerá un entorno de sujetos “enlazados”, tanto de modo interno a la organización como externo con todas las entidades -clientes, proveedores y en general todos los actores relacionados de una u otra manera con la empresa- con las que esta haya de interactuar: es la empresa extendida.

Las redes sociales ofrecen la posibilidad de una gran apertura respecto a la información accesible por unos u otros -empleados o actores externos a la organización-. Esto que a priori se antoja positivo, ha de ser orquestado adecuadamente para que dicha información siga siendo fidedigna y segura para los objetivos de la organización, a pesar del vertiginoso aumento en el número de individuos y dispositivos que hoy  crean e intercambian dicha información.

La organización debe establecer y poner en marcha una política de segmentación de la información para las personas que se relacionen con ella, sean empleados de la misma o no.

Por otra parte, si uno observa el soporte por el que se produce el intercambio de información, la cantidad transmitida a través de dispositivos móviles es cada vez mayor, lo que se ve favorecido por la constante reducción en tamaño y peso de los dispositivos, unido a un aumento de su potencia y a la ubiquidad de Internet.  Según el último informe de tendencias de la analista Mary Meeker, de la firma KPCB[2], la cifra ha pasado de un 0.9% en mayo de 2009, a 15% en el mismo mes de 2013.

Se transfieren permanentemente documentos del trabajo a ordenadores personales, tabletas, teléfonos inteligentes u otros dispositivos, particulares o corporativos, o se ejecutan aplicaciones en línea sobre información que puede constituir parte de la propiedad intelectual de la empresa. Parte de toda esta información rara vez se elimina de esos  dispositivos móviles. Esto aumenta los escenarios de riesgo pues facilita la posibilidad de intrusión en los sistemas a través de aplicaciones, dispositivos y puntos de acceso a Internet poco protegidos. Además, favorece las fugas o pérdidas de información, por ejemplo, por robo o extravío de los dispositivos.

Otro aspecto fundamental a tener en cuenta en el uso de estas herramientas de colaboración y comunicación social, es el factor humano. Cada vez más la comunicación e interacción entre las personas se produce a través de esas herramientas, pero sin los conocimientos y habilidades desarrollados para su utilización de forma segura.

Se hace necesaria una concienciación sobre las amenazas que dicho uso implica; sobre el posible coste, personal y empresarial, de la pérdida de fiabilidad de la información, o de la información misma; y sobre la relevancia que puede tener la creación, transformación y transmisión a través de medios que resultan no del todo seguros para las necesidades corporativas.

Al hilo de lo expuesto surge la siguiente pregunta: ¿Tiene la empresa el derecho de control sobre la información que se transmite por las redes sociales? Pregunta cuya respuesta cae tanto en el entorno técnico como en el legal, por cuanto tiene que ver con aspectos de privacidad, propiedad intelectual y otros temas.

Para terminar, unas noticias de prensa:

El 7 de junio, los diarios The Washington Post y The Guardian publicaron la existencia de dos programas de espionaje secretos, uno que registra datos de llamadas en EE. UU. y otro que permite a la inteligencia estadounidense acceder a servidores de las principales compañías de Internet y recabar datos directamente de los servidores de Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube y Apple.

El 13 de junio, el blog The PrivacySurgeon[3] comentó la noticia de que el gobierno sueco había  decidido prohibir el uso de cualquier producto de la nube de Google -incluyendo calendario, Gmail y Google Drive- dentro de instituciones públicas, ya que consideran que Google puede acceder a la información de los usuarios, y que los usuarios en el sector público no pueden tener la certeza de que los derechos de protección de datos están asegurados.

 

This article was originally released by Mexican magazine "Magazcitum", on August, 30th, 2013. 

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk