Una Década de Aprendizaje
Por: Jeimy J. Cano M.
Ph.D en Administración de Negocios y Ph.D en Educación. Ingeniero y Magíster en Ingeniería de Sistemas y Computación por la Universidad de los Andes, Colombia.
Lo que ha pasado en una década en los temas de seguridad y control demanda un ejercicio de arqueología digital especializada que no es el alcance de esta reflexión. Más bien, lo que se busca es plantear algunos puntos de interés y coincidencia con la dinámica empresarial y global, para analizar las lecciones aprendidas y los retos pendientes que se ven a futuro.
Una lección aprendida es lo que asume y capitaliza un analista con el éxito de un adversario. Con el aumento de la superficie de ataque vía la conectividad, la movilidad y la convergencia, los atacantes cuentan con un espacio de interacción y experimentación más amplio, en el que se pueden aprovechar de relaciones documentadas o no documentadas, que ponen a prueba los mecanismos de seguridad y control disponibles y desplegados en las organizaciones (Funston & Wagner, 2010).
Cada lección aprendida durante la última década para los analistas tiene algunos patrones concretos para tener en cuenta. Dichos patrones, han sido identificados en diferentes eventos durante los pasados diez años bajo los siguientes parámetros:
• Mayor conectividad y flujo de datos en la nube tensiona la agilidad con la confiabilidad.
• Mayor convergencia tecnológica tensiona la eficiencia y la gestión de vulnerabilidades.
• Mayor interacción social e información instantánea tensiona la integridad de la información y la comunicación abierta.
• Mayor asimetría de la información tensiona los derechos humanos y las realidades geopolíticas.
• Menor atención ejecutiva a los retos de ciberseguridad tensiona los retos estratégicos de las empresas y las propuestas de productos/servicios innovadores.
Así las cosas, los retos estratégicos de las compañías, así como los de los responsables de la seguridad y el control en las empresas, encuentran puntos de contacto que deben comprender y analizar, no como fenómenos mutuamente excluyentes, sino como dinámicas conectadas para visualizar y comprender la complejidad inherente de estos retos, cuyo resultado no puede ser otro que una vista enriquecida de la realidad empresarial (Sridhar, 2019).
En consecuencia, las lecciones aprendidas de ésta última década deben configurar un cuerpo de conocimiento que permita ver patrones hacia adelante y, establecer una nueva agenda conjunta entre el negocio y los ejecutivos de ciberseguridad, para anticipar y actuar con un plan de acción propositivo (Day & Schoemaker, 2019); es decir, que no espere a ser atacado, sino que descubra los movimientos del oponente en su propio terreno, creando el incierto que debilite la gestión de riesgo del adversario, generando una ganancia teórica y práctica para la seguridad y el control de la organización.
Referencias:
· Funston, F. & Wagner, S. (2010) Surviving and Thriving in uncertainty. Creating the risk intelligent Enterprise. Hoboken, NJ. USA. John Wiley & Son.
· Sridhar, V. (2019). Emerging ICT Policies and Regulations. Roadmap to Digital Economies. Singapore: Springer Nature Singapore.
· Day, G. & Schoemaker, P. (2019). See sooner act faster. How vigilant leaders thrive in an era of digital turbulence. Cambridge, MA. USA: MIT Press.