Home / Resources / ISACA Journal / Issues / 2022 / Volume 1 / Overcoming a False Sense of Security

Superando la falsa sensación de seguridad: El reto de des-escolarizar las prácticas de seguridad y control vigentes en las organizaciones

Autor: Jeimy J. Cano M., Ph.D, Ed.D., CFE, CICA
Fecha de Publicación: 7 January 2022
Relacionado: Improving Security Awareness Using Marketing Techniques | Digital | English
English

La dinámica internacional atravesada por tensiones entre naciones, avanzando en medio de un conflicto en la zona gris, podría ser un detonante para mantener la atención sobre los retos que plantea el ciberespacio y cómo afectan las ciberoperaciones la dinámica de las empresas y los países1. Mientras muchas organizaciones permanecen en la zona cómoda de los estándares y buenas prácticas, otras empiezan a movilizarse e incomodarse frente a una nueva realidad situada en la cuarta revolución industrial y que está más allá de las consecuencias de la emergencia sanitaria internacional.

La búsqueda permanente de estabilidad y eficiencia que pretenden las empresas generalmente se ve contrastada con el escenario volátil e incierto donde operan, haciendo que sus esfuerzos por lograr la mayor rentabilidad con el mínimo de incierto cada vez sean menos eficientes. En este contexto, donde la realidad cambia de formas inesperadas, creando nuevos patrones y dinámicas, se requiere cultivar una cultura de aprendizaje que abra las puertas a reflexiones distintas que incorporen y revelen relaciones antes ocultas, e introduzcan posturas novedosas que puedan ser consideradas y analizadas.

Así las cosas, encontrar el balance dinámico de control, entendido desde la perspectiva sistémicocibernética, como el flujo permanente de amplificación y reducción de variedad, es un ejercicio que implica romper con el paradigma causa-efecto, para trasladarse a la visual de una lectura circular y de espiral ascendente, donde se privilegian las relaciones posibles y no solamente aquellas existentes. Un reto que demanda, tanto a las organizaciones como a los profesionales de seguridad y control, reconocer los puntos ciegos que existen, muchas veces generados por los saberes previos, con el fin de buscar permanentemente una forma para interrogar y suspender la dinámica de la realidad vigente2.

Basado en lo anterior, construir un referente de seguridad y control que permanezca atento a los cambios y evolución de su entorno, supone transformar la esencia de las prácticas actuales en una lectura permanente de su realidad que haga distinciones en un escenario asimétrico, que reconozca relaciones visibles y emergentes, que vincule diferentes puntos de vista, y vaya más allá de los límites que le imponen sus propios marcos de trabajo. Lo anterior, parafraseando a Calvo supone pasar de una seguridad escolarizada, basada en mapas y matrices estructuradas, mientras más detallas mejor, a una seguridad des-escolarizada que se lee desde los riesgos latentes y emergentes3, donde sólo se puede planear y detallar los aspectos generales y conocidos, y así plantear rutas alternativas en un territorio por explorar sin un mapa detallado.

Cuando se moviliza la dinámica de la seguridad/ciberseguridad en una perspectiva des-escolarizada es posible superar la “falsa sensación de seguridad” que no es otra cosa que reconocer la dinámica y aleatoriedad del entorno como fundamento para interrogar la postura basada en el orden y la linealidad, que si bien han traído grandes beneficios para la práctica de la protección de los activos de información (estándares y buenas prácticas), descansa en el supuesto que la causalidad revela una zona conocida y un comportamiento seguro, que explican cómo se producen los efectos.

Este documento basado en las estas reflexiones plantea elementos conceptuales y prácticos con el fin de superar la falsa sensación de seguridad y abrir de forma permanente espacios de reflexión y propuestas que interroguen los saberes previos y las lecciones aprendidas, como una fuente permanente de inquietud intelectual y profesional, que transforme la esencia misma de la experiencia de seguridad y control en un escenario cada vez más digital y tecnológicamente modificado.

La sensación de seguridad

En la tradición científica y moderna de la ciencia se han alcanzado grandes logros tratando de simplificar el mundo dividiéndolo en partes para tratar de estudiar sus condiciones, características y dinámicas con el fin de concretar algunas luces acerca de cómo funciona en la realidad. Este ejercicio académico sugiere que es posible explicar lo que ocurre desde una particular forma de ver el mundo y comprender las relaciones visibles que se pueden identificar y explicar.

Si bien esta forma de configurar lo que se conoce como realidad, contrasta muchas veces con las manifestaciones y experiencias que se pueden tener al tratar de predecir los comportamientos de cualquier objeto de estudio. Comportamientos que no se tenían previstos, características que aparecen y consecuencias no identificadas, son resultados que con frecuencia se obtienen en la dinámica misma de los objetos en contextos particulares. Lo anterior implica que existe un movimiento implícito al interior del entorno que demanda cambiar de perspectiva para poder “ver” aquello que está detrás de las categorías y distinciones que se hacen.

Afirmaba Dérrida, “el objeto es por su complemento”. Es decir, un objeto no se puede descubrir o analizar en perspectiva, sino es por su cara oculta, por su relación de contraste, que es tan real, como el objeto mismo4. En lectura de la seguridad/inseguridad, se busca revelar las argucias y movimientos del adversario, para crecer en sabiduría y visión, no para imitarlo en su acción reprochable, sino para comprender mejor “porqué ellos adquieren frecuentemente la ventaja” y cómo éstos logran materializar sus acciones con el mínimo de esfuerzo y el máximo de beneficio.

En razón con lo anterior, el método DSRP5. (Distinciones, Sistemas, Relaciones y Perspectiva), puede ser utilizado por los equipos de seguridad y ciberseguridad para retar el concepto de seguridad y su dual la inseguridad como elementos claves para avanzar en la comprensión de la sensación de seguridad. A continuación se presentan, en la figura 1, un conjunto de preguntas claves que permiten reconocer el reto de construir una percepción de seguridad y control6.

Como se puede observar la sensación de seguridad inicia siendo un concepto bivalente, asociado con la dinámica mecanicista en la cual la tradición lo ha inscrito: ser seguro o inseguro, para migrar a una multivalente, donde existe una escala de matices entre seguro e inseguro que está ligado al contexto, a las perspectivas de cada uno de los participantes, lo que hace que se expanda la lectura del concepto de protección y se ajuste cada vez más a los retos particulares de las personas y empresas, que más allá de un resultado, es un proceso de reinvención permanente donde no es posible hablar de blindajes, sino de umbrales.

Este ejercicio conceptual actualiza reflexiones previas realizadas en este mismo sentido, entendiendo la inseguridad de la información, como distinción dual de la seguridad de la información, donde es posible:

...sugerir elementos de análisis de situaciones extremas en las organizaciones que lleven no solamente a considerar las vulnerabilidades y riesgos de las información de los procesos de la empresa, sino repensar los procesos mismos para hacerlos más confiables, en la medida que se consideren las diferentes perspectivas de la seguridad implícitas en cada uno de sus participantes 7.

 

Reconocer la falsa sensación de seguridad: enfrentar la certeza y la estabilidad

Cuando una organización busca aumentar sus niveles de seguridad y control, puede asumir al menos dos posturas. Una que busca disminuir los niveles de incierto e inestabilidad que puede ocasionar una vulnerabilidad conocida o desconocida, con el fin de mantener la eficiencia de la función de seguridad de la información y la inversión en los controles, u otra que reconoce y establece umbrales de operación y tolerancia a las fallas, que es capaz de mantener la dinámica de la empresa a pesar de posible brechas causadas por la materialización de riesgos conocidos o desconocidos, donde la cultura de aprendizaje convive con la exigencia de la eficiencia empresarial. 

Por lo general, la empresas en la actualidad buscan de manera permanente un espacio cierto de operaciones, que brinde tranquilidad a los ejecutivos de primer nivel, donde la cultura de cero riesgos y de invulnerabilidad permanece instalada y asistida desde la inversiones en tecnologías de información, así como por el capital político del ejecutivo de seguridad de la información y su capacidad de persuasión.

Sin perjuicio de lo anterior, la realidad supera ampliamente la capacidad de las organizaciones para reconocer patrones y señales novedosas del entorno, lo que necesariamente exige de la función de seguridad, explorar con mayor profundidad los retos que propone la inseguridad, no como ocasión de indefensión y conformismo, sino como oportunidad para mantener la vigilancia sobre las relaciones posibles que pueda plantear un atacante, con el fin de defender y anticipar sus acciones y tratar de sorprender al adversario en su propio terreno.

En este sentido, se hace necesario reconocer los imaginarios y sesgos que se crean al interior de la organización alrededor del tema de la protección de la información (la subestimación, la evasión, la negación, el optimismo y la simplificación), que sino se dejan atrás, la empresa seguirá siendo prisionera de la inevitabilidad de la falla y sus efectos; una prisión donde el adversario será quién maneje la ecuación del incierto en el modelo de seguridad y control de la empresa, limitando su capacidad para demorar al intruso e interceptarlo antes de que tenga éxito.

La figura 2 muestra un rango de percepción entre ingenuidad y confianza donde las organizaciones pueden caer y establecer un camino de espiral de involución descendente que puede terminar con la erosión de la confianza corporativa y la ruptura de la reputación empresarial al momento de la materialización de una brecha de seguridad8.

Lo más natural es que este tipo de sesgos (subestimación, evasión, negación, optimismo y simplificación) e imaginarios se presenten a diferentes niveles en la organización y por lo tanto, se hace necesario identificarlos, reconocerlos y superarlos, con el fin de aumentar la capacidad de anticipación y respuesta que la organización necesita para enfrentar el desafío de la protección del modelo de generación de valor en un entorno digital, por demás agreste e inestable.

Superar la falsa sensación de seguridad: abrazar el incierto y la inestabilidad

Entrar en la dinámica de un mundo volátil, incierto, complejo y ambiguo como el actual, implica des-escolarizar la práctica de la seguridad de la información, esto es, pasar de un énfasis en la búsqueda de la relaciones conocidas y ciertas, al reconocimiento y ajuste permanente de la cartografía de riesgos latentes y emergentes, de relaciones posibles donde los mapas sólo reflejan porciones de un territorio que está en movimiento y exige acciones que prueben a la organización frente a lo inesperado.

Acoger y practicar esta nueva dinámica demanda complementar el enfoque actual del modelo de calidad de Deming ampliamente utilizado a nivel global conocido como planear, hacer, verificar y actuar9, orientado a buscar repetir resultados esperados y conocidos, por otro basado en Arriesgar, Anticipar, Responder y monitorizar (figura 3), donde la lectura del entorno y sus inestabilidades se convierte en la base de la gestión de seguridad y control, desde los inciertos y las inestabilidades10.

En la aplicación de este ciclo de gestión A2RM los ejecutivos y profesionales de seguridad y control entienden la incertidumbre y la complejidad como una oportunidad cambiar la ecuación de riesgos del adversario, como una zona de incomodidad donde es posible retar las lecciones aprendidas y como un marco de trabajo para probar y aprender de forma ágil de tal forma que, cuando las cosas no salen como se esperaba no serán objeto de señalamientos, lo que se confirma es que, “ningún proceso es lineal ni secuencial, ni coherente ni consistente”, sino que cambia por la emergencia de relaciones posibles, muchas veces invisibles a los ojos de los analistas.11

Aplicar este nuevo ciclo implica reconocer la vulnerabilidad inherente y no revelada que tienen las organizaciones en su tejido base de procesos, infraestructura, terceros y flujos de información para permanecer vigilantes frente al reto de inevitabilidad de falla que se oculta en medio de la articulación y acoplamiento de estos y otros componentes que hacen parte de la dinámica de sus negocios.

A continuación se plantean en la figura 4 algunos comportamientos claves propios en cada uno de los componentes del ciclo A2RM.

Conclusiones

Las organizaciones modernas se enfrentan a una dinámica de cambios y transformaciones que no tiene antecedentes en la historia reciente. La cuarta revolución industrial anticipa y desarrolla al menos cuatro tendencias claves que implican una renovación total de la “caja de herramientas” de las empresas para navegar en medio de la inestabilidad que se advierte a mediano y largo plazo12.

  • Las empresas ya no operan dentro de un sector específico.
  • Las máquinas aprenden más rápido que las personas.
  • Los competidores se necesitan mutuamente para prosperar.
  • Prosperar implica desaprender, fallar más y aprender rápido.

Estas cuatro tendencias establecen retos concretos para los modelos de seguridad y control vigentes, que más allá de los logros y reconocimientos alcanzados, exigen parafraseando a Calvo13, “no enseñar buenas prácticas y estándares, sino asombrar con algún misterio para que la organización cree nuevas relaciones gracias a su natural propensión a aprender”, lo que necesariamente busca invertir la ecuación del incierto en el adversario y tratar de sorprenderlo en su propio terreno.

Así las cosas, los retos que se avizoran para la seguridad y el control en la cuarta revolución industrial se podrían clasificar y resumir como sigue:

  • Cadenas de suministro resilientes y ecosistemas de defensa
  • Sistemas ciber-físicos y datos personales
  • Señuelos creíbles14
  • y defensa de objetivos móviles15
  • Contrainteligencia cognitiva16 e inteligencia artificial adversarial

Todos estos desafíos necesariamente deben cambiar la perspectiva de la comprensión de la seguridad y la confianza digital, que no estará asociada con la ausencia de riesgos, ni con la invulnerabilidad de los sistemas, sino con la capacidad de mantenerse operando a pesar de ser comprometido a través de la materialización de una riesgo conocido o desconocido.

De esta forma, el modelo A2RM permite a las organizaciones adelantar una “curaduría” de la información disponible en el entorno para hacer un trabajo de revisión, análisis y confiabilidad, que le permita distinguir lo que es importante, del posible ruido que hay en medio de las inestabilidades que se manifiestan de formas inesperadas. Es claro, que si bien, no podrá predecir el futuro, si podrá danzar con él, es decir, usar una tabla de surf (los comportamientos definidos) y explorar diferentes olas de inestabilidad e incierto para establecer las nuevas propuestas donde aun no hay definiciones ni reglas impuestas por otros17.

Esta forma de enfrentar las oportunidades e inestabilidades de la cuarta revolución industrial, debe llevar a las organizaciones a reconocer y superar el riesgo de caer en la falsa sensación de seguridad, para lo cual se hace necesario entender su complemento, la inseguridad, y así hacerle las preguntas necesarias que permitan desinstalar a los profesionales de seguridad y control de sus certezas basadas en estándares, deconstruir sus marcos de trabajo vigentes, desconectar sus logros y habilidades sobre riesgos conocidos y habilitar ventanas de aprendizaje que los lleven a descifrar la realidad del adversario, sabiendo que, como afirma George E. P. Box18 “todos los modelos están equivocados; la pregunta práctica es, qué tan equivocados deben estar para dejar de ser prácticos” y útiles.

Notas finales

1 Jordan, J.; “El Conflicto en la Zona Gris: antagonismo por debajo del umbral de la guerra” (“Gray Zone Conflict: Antagonism Below the Threshold of War”), Global Strategy, 2021, https://global-strategy.org/el-conflicto-en-la-zona-gris-antagonismo-por-debajo-del-umbral-de-la-guerra
2 Cano, J.; “Rethinking Security and Cybersecurity Practices in Organizations: A Systemic-Cybernetic Review,” Global Strategy Report 58, 2020, https://global-strategy.org/repensando-la-practica-de-la-seguridad-y-la-ciberseguridad-en-las-organizaciones-una-revision-sistemico-cibernetica/
3 Calvo, C.; Ingenuos, ignorantes, inocentes: De la educación informal a la escuela autoorganizada (Ingenuous, Ignorant, Innocent: From Informal Education to Self-Organized Schooling), Editorial Universidad de la Serena, Chile, 2017
4 Borges de Meneses, R. D.; “Deconstruction by Jacques Derrida: What Is and What Is Not a Strategy,” Universitas Philosophica, vol. 30, iss. 60, 2013, https://revistas.javeriana.edu.co/index.php/vniphilosophica/article/view/10788
5 Cabrera, D.; L. Cabrera; Thought System Simple Fact: A New Hope for Solving Complex Problems, 2nd Edition, Odyssean Press, USA, 2021
6 Ibid.
7 Cano, J.; “Computer Insecurity: A Dual Concept in Computer Security,” Revista de Ingeniería (Journal of Engineering), iss. 19, 2004, p. 40–44
8 Based on Smith, S.; J. Marchesini; The Craft of System Security, Pearson Education, USA, 2008
9 Deming, W. E.; Out of the Crisis, MIT Press, USA, 1986
10 Cano, J.; “The ‘False Sense of Security:’ The Challenge of Shaking Up Standard Certainties and Trying to ‘Tame’ Uncertainties,” SISTEMAS Magazine, Colombian Association of Systems Engineers, vol. 159, 2021, https://doi.org/10.29236/sistemas.n159a6
11 Op cit Calvo
12 Lanteri, A.; CLEVER: The Six Strategic Drivers for the Fourth Industrial Revolution, Lioncrest Publishing, USA, 2019
13 Op cit Calvo
14 Fraunholz, D.; et al.; “Demystifying Deception Technology: A Survey,” National Reference Project for IT Security in Industry 4.0, April 2018, https://www.researchgate.net/publication/324584502_Demystifying_Deception_TechnologyA_Survey
15 Cho, J.; D. Sharma; H. Alavizadeh; S. Yoon; N. Ben-Asher; T. Moore; D. S. Kim; H. Lim; F. Nelson; “Toward Proactive, Adaptive Defense: A Survey on Moving Target Defense,” IEEE Communications Surveys and Tutorials, 2019
16 This can be defined as “[T]he set of activities implemented to locate, identify and monitor, in order to neutralize and, as applicable, counteract and report, unauthorized activities of the automatic learning algorithms; that is, those that break with initially established rules and materialize inherent risks to the development and start-up of artificial intelligence algorithms.” Jiménez, F.; Manual de inteligencia y contrainteligencia (Intelligence and Counterintelligence Manual), CISDE, Spain, 2019
17 Consejo Nacional de Innovación para la Competitividad, “Strategic Guidelines for Innovation: Building Your Bridge to the Future Chile on the Horizon 2025,” May 2013, https://www.cnid.cl/wp-content/uploads/2013/05/Surfeando-2013.pdf
18 Box, G. E. P.; Empirical Model-Building and Response Surfaces, John Wiley and Sons, USA, 1987, p. 74

Jeimy J. Cano M. | PH.D., ED.D., CFE, CICA

Es un profesor universitario y consultor internacional independiente con más de 25 años de experiencia en seguridad de la información, privacidad de datos, ciberseguridad, cómputo forense y auditoría de TI. En 2016 fue reconocido como “Educador en seguridad cibernética del año” para América Latina por los Premios a la Excelencia en Seguridad Cibernética. Ha publicado más de 200 artículos sobre sus áreas de interés en diversas revistas y en eventos especializados a nivel internacional.