La seguridad de la información debe seguir los pasos de su dual la inseguridad, ya que todo el tiempo ella está explorando los límites para concretar nuevas opciones, anticipando posibilidades que la seguridad no habrá de explorar en corto plazo.

 

El riesgo o exposición que las empresas identifican posiblemente no corresponda con la realidad, pues las variables y condiciones del entorno varían y evolucionan tan rápido, que no cuentan con los mecanismos requeridos para aumentar la sensibilidad para anticipar situaciones que puedan comprometer sus medidas de seguridad y control.

Esta realidad hace extender sus capacidades de anticipación crítica que le permitan interpretar mejor las intenciones de terceros o internos contradictores, reconocer y entender el contexto donde la organización opera, percibir las tendencias y alertas veladas en medio del tejido digital, discernir los motivos y actuaciones de los actores del entorno, detectar movimientos inesperados de los contrarios y presentar conclusiones concisas sobre las alternativas que se pueden plantear frente a eventos inesperados (Adaptado de: Robinson y Aronica, 2016).

Para esto hay que concretar esquemas de colaboración entre los actores del ecosistema digital, para potenciar las capacidades de los participantes y que se aumente la resiliencia frente a ataques inesperados e inciertos.

Este documento presenta un marco de compartir información entre los actores de un ecosistema digital, como premisas de la construcción y movilización de capacidades de respuesta y acción de las empresas frente a ataques informáticos cada vez más sofisticados y menos evidentes, y gestar competencias claves que faciliten el aprendizaje y una resiliencia del ecosistema que sorprenda a los atacantes en sus propios terrenos.

Competencias organizacionales claves para compartir información

Echeverría (2014, p.77) establece que son “comportamientos creativos, derivados de la puesta en práctica de conocimientos, aptitudes y rasgos de personalidad”, que se caracterizan por poner en acción conductas y actos pertinentes en situaciones inéditas.

Las empresas deben motivar espacios de aprendizaje, momentos de experimentación e incertidumbre con escenarios inciertos sobre la protección de sus activos digitales, y motivar acciones prácticas de los conocimientos previos y así desarrollar aproximaciones y aptitudes para responder a la inestabilidad del entorno, con confianza y serenidad, y generar la misma ambigüedad en el contexto del atacante.

La organización debe conceptualizar como un todo el desarrollo de competencias como la curiosidad, la creatividad, la crítica, la comunicación, la colaboración, la proyección, la serenidad y la ciudadanía (Adaptado de: Robinson y Aronica, 2016, p. 187-192).

La curiosidad es el desarrollo de la experimentación y pruebas, hacerse preguntas y establecer cómo se pueden crear situaciones de inestabilidad sobre los activos digitales.

La creatividad busca potenciar la imaginación y explorar posibilidades, expandir las posibilidades planteadas sobre la inevitabilidad de la falla, que lleven a pensamientos más elaborados, que destruyan las restricciones autoimpuestas por los modelos vigentes y rompan con la estabilidad de las prácticas vigentes, no para reemplazarlas de facto, sino para nutrirlas de tal forma que se tengan patrones de entendimiento de la realidad, que anticipen acciones previamente no aplicadas.

La crítica es la capacidad de distinguir, revelar alertas, detectar sesgos sobre apreciaciones realizadas, develar motivos de las acciones de terceros, desarrollar acciones de inteligencia activa que distingue ente hechos y opiniones, certezas y engaños, y así retar las posturas vigentes para provocar aprendizajes en el ejercicio de comprender las tendencias y amenazas emergentes identificadas.

La comunicación como fuente de construcción de sentido y no como solo transmisión de información. Es la capacidad de elaborar y comunicar lo que cada organización está detectando en su entorno y que puede afectar al ecosistema.

La proyección es el desarrollo de una simulación de eventos ubicándose en la posición de los otros miembros del ecosistema, para comprender la dinámica de los posibles impactos de un ataque sofisticado y cómo diseñar acciones de protección que permitan una actuación coordinada y asistida por las virtudes de los demás miembros del ecosistema, como expresión de la regla básica de la comunidad: juntos es posible llegar más lejos y hacernos más resilientes.

La serenidad en el escenario de la defensa colectiva exige un conocimiento de las capacidades de resistencia interna y las posibilidades disponibles en los participantes externos. Esta es una actuación que es contraria a lo que el atacante espera, pues establece un equilibrio al interior del ecosistema digital, que revela la identidad del mismo, haciendo de sus actuaciones, acciones pensadas y diseñadas para contener y aprender de la inestabilidad, sin miedo a los inciertos y juicios (muchas veces injustos) que implica enfrentarse a la inevitabilidad de la falla.

La ciudadanía en este escenario es la capacidad de implicarse constructivamente en el desarrollo de propuestas y opciones de defensa colectiva en el ecosistema digital, de tal forma que se establezcan claramente los derechos y obligaciones de los participantes, para crear un ambiente de confianza digital que de valor a los activos digitales, equilibre las capacidades disponibles e influyan en el mundo que lo rodea, haciéndose responsable de sus actos y posturas frente a comunidades semejantes.

Marco general para compartir información: Base de la resiliencia organizacional

Si las empresas desarrollan competencias mencionadas en el aparte anterior, se cuenta con una base formal para movilizar un escenario concreto para compartir información, como fundamento de la capacidad de resiliencia organizacional frente ataques informáticos, donde ya no es solo una empresa la que trata de enfrentar la situación, sino la fuerza de un colectivo que aprende y se reinventa frente a la inestabilidad de su entorno.

En este contexto, se establecen cuatro elementos claves para establecer y fortalecer un esquema para compartir información: relaciones de confianza, roles y responsabilidades, estándares y procedimientos, y coordinación y monitorización, como actividades relevantes en medio de la inevitabilidad de la falla, que permita el desarrollo de las competencias claves antes indicadas.

Las relaciones de confianza implican crear vínculos de comunicación y responsabilidad compartida donde cada participante del ecosistema es fideicomiso del otro; un ejercicio de esperanza de cumplimiento y cuidado mutuo que construye una vista compartida que no debe ser interpretada como una revelación de mis debilidades, sino como la oportunidad para reinventar y flexibilizar la defensa colectiva. Dentro de las posibles acciones se encuentran:

  • Revelar amenazas y vulnerabilidades en sistemas de misión crítica en reuniones cerradas.
  • Desarrollar conversatorios privados sobre tendencias identificadas.
  • Compartir lecciones aprendidas de incidentes de seguridad de la información.

Tener claridad de los roles y responsabilidades, es procurar un flujo de comunicaciones y acciones estructuradas, de tal forma que prime la flexibilidad de las actuaciones, lo que demanda tomar la iniciativa, liderazgo rotativo y tolerancia a la falla. Los roles y responsabilidades no son camisas de fuerza de los límites de la actuación sino ordenadores de la acción y la oportunidad para complementar las acciones previstas ante eventos inesperados sobre alguno de los miembros del ecosistema. Dentro de sus posibles acciones se tienen:

  • Nombrar formalmente representantes de las entidades.
  • Establecer alcance de la participación.
  • Validar alertas o tendencias compartidas en el ecosistema.
  • Correlacionar la información relevante compartida en los escenarios definidos.

Los estándares y procedimientos se vuelven una de las formas claves para asegurar una respuesta coordinada y ajustada con los retos del evento inesperado. Una actuación ajustada con los estándares definidos permite no solo tener claridad de los pasos a seguir, sino la confianza de la respuesta del ecosistema frente la inevitabilidad de la falla, como fundamento de la resiliencia y los aprendizajes que se deben concretar antes, durante y después del posible ataque informático. Dentro de las acciones previstas están:

  • Establecer la estructura y formato de la información a compartir.
  • Definir el nivel de confidencialidad de la información a compartir.
  • Determinar los mecanismos de seguridad y control para asegurar el ciclo de vida de la información.
  • Verificar el cumplimiento de los estándares y procedimientos establecidos.

La coordinación y monitorización concreta la dinámica planteada en los otros tres elementos, pues mantiene en el horizonte los objetivos de la defensa activa (Conneran, 2014) del ecosistema.Dentro de sus actividades se encuentran:

  • Definir y validar escenarios claves de amenazas emergentes.
  • Desarrollar el marco normativo vinculante para los participantes.
  • Adelantar la rendición de cuentas de los resultados de las actividades realizadas.
  • Mantener la alineación y acción con la estrategia de resiliencia organizacional planteada.

Reflexiones finales

Contar con mecanismos tradiciones de protección y aseguramiento de información establece una postura particular y medianamente resistente frente a las incursiones de ataques más elaborados por los atacantes.

En esta medida las empresas poco a poco deben comprender que se necesita una evolución del modelo de seguridad y control hasta hora implementado y lanzarse a reconocerse dentro de un tejido de relaciones digitales, con actores interesados en construir una red de protección extendida que permita respuestas coordinadas, resilientes y estratégicas, que den cuenta de las exigencias de los cuerpos ejecutivos para anticipar escenarios de falla que puedan afectar la dinámica de las empresas.

La siguiente evolución de la seguridad de la información y ahora en términos de un mundo digitalmente modificado, de la ciberseguridad, la colaboración se hace una postura estratégica y políticamente correcta para enfrentar las ambigüedades del entorno, como una forma para habilitar las comunicaciones y acuerdos entre los niveles ejecutivos de las empresas, para crear la confianza necesaria que permita alcanzar capacidades de defensa activa (MITRE, 2012) antes inexploradas y así superar la vista individual vigente, que sólo favorece las pretensiones de los adversarios.

 

Deja un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *