Educar en ciber riesgos. El reto de una sociedad en transformación digital
Por: Jeimy Cano
En los primeros días del año los inciertos y las inestabilidades globales abundan. Eventos como la confusión geopolítica generada por las intrigas y eventos recientes en Norteamérica, los avances silenciosos del Partido Comunista Chino (PCC) en la preparación de un “yuan digital” con proyección global (Barría, 2020), la brecha de seguridad materializada a través de un tercero en el Banco Central de Nueva Zelanda (Reuters, 2021) y el caso altamente visible del compromiso uno de los proveedores de software (SolarWinds) de varias agencias del gobierno norteamericano (Schwartz, 2021), muestran como lo confirma el reciente reporte del CIDOB (Soler, 2020) que este año estará marcado por la incertidumbre.
Frente a la incertidumbre se hace necesario salir a explorar diferentes alternativas y escenarios para establecer estrategias que habiliten identificar aquellas claves, con el fin de tomar las iniciativas concretas que permitan dar cuenta con el contexto de volatilidad que se plantea en la actualidad. En este sentido, los eventos que marcan el inicio de este año deben llevar a las organizaciones y ejecutivos de seguridad/ciberseguridad a actualizar sus marcos de trabajo para pasar del “proteger y asegurar” (que hay que mantener para aquello conocido) al “defender y anticipar” (de aquello que no conoce, ni sabe) con el fin de explorar y analizar las inestabilidades y establecer una postura de seguridad y defensa sensible a los cambios y las promesas de valor para sus clientes.
Más allá de ser el custodio del modelo de generación de valor de la empresa, la seguridad de la información se debe convertir en la base de la dinámica y relacionamiento intra empresarial, como fundamento del aseguramiento de los flujos de información que se desarrollan a su interior, lo que supone descubrir, analizar, intervenir y actualizar los imaginarios sociales que se tienen alrededor de la protección de la información (Cano, 2016).
Tener la lectura de éstos imaginarios permite establecer el asidero fundamental para avanzar en la construcción de una cultura organizacional de seguridad de la información (COSI) que se convierta en el pilar clave para asumir el incierto como insumo para trazar una ruta de navegación en medio de los vientos y tormentas que puedan generar los adversarios.
La mayoría de las brechas de seguridad que se han revelado a nivel internacional corresponden a engaños exitosos o acciones realizadas por las personas alrededor de la protección de la información, comportamientos frente a las aplicaciones o reacciones de los individuos frente a realidades que confrontan la lógica, la confianza y la desinformación sobre eventos concretos. En este sentido, cuanta mayor distracción se genere en el entorno, menor será la capacidad de atención y alerta frente a situaciones que puedan ser sospechosas y así, habilitar un espacio para concretar un pivote de acceso que termine en una brecha de seguridad en una organización (Campbell, O’Rourke & Bunting, 2015).
En consecuencia, este breve documento introduce la necesidad urgente de educar a la ciudadanía en general sobre los ciber riesgos, como la nueva frontera de retos del entorno digital, donde los adversarios buscan crear contextos de inestabilidad que aprovechan desde los engaños, la desinformación, manipulación de mensajes, el pánico, el incierto y la sensación “fuera de control” para que se actúe de forma errática e inesperada, y así tener mayor margen de acción fuera del marco general de los sensores de control disponibles en las organizaciones.
¿Qué son los ciber riesgos (riesgos cibernéticos)?
Definiendo un escenario con blanco móvil Los ciber riesgos son riesgos que tienen al menos tres características claves: son sistémicos (tienen efecto en cascada), emergentes (surgen como fruto del nivel de acoplamiento e interacción de diversos componentes) y disruptivos (generan efectos inesperados la dinámica del sistema), los cuales están presentes en el entorno ciber físico, lo que se traduce en una convergencia entre lo físico, lo lógico y lo biológico, como fundamento de la dinámica de la cuarta revolución industrial (Cano, 2019).
En este sentido, la materialización de un ciber riesgo, más allá del aprovechamiento de una falla o vulnerabilidad de uno de sus componentes, puede generar afectación a nivel de la persona, la sociedad, las organizaciones y las naciones, dada su condición sistémica. Esto es, que a diferencia de los impactos focalizados que se pueden concretar a nivel de la seguridad de la información al interior de la organización, los ciber riesgos se propagan y evolucionan dependiendo del nivel de convergencia, acoplamiento e interacción que se tenga en un contexto particular (Perrow, 1999).
Mientras los riesgos propios de la seguridad de la información son la base conceptual para comprender los ciber riesgos, éstos últimos se configuran y transforman de formas distintas. Lo anterior implica reconocer las relaciones y conexiones que se tienen entre el mundo físico, lógico y biológico, así como la confiabilidad de los flujos de información y el aseguramiento de los mismo, con el fin de contar con una vista ampliada de las interacciones y posibles efectos que se pueden presentar si algo no sale como estaba planeado o surge una relación que no estaba documentada inicialmente.
Por tanto, la base de la comprensión de los ciber riesgos es el entendimiento de las incertidumbres claves que se pueden presentar como pueden ser:
a) No saber qué va a pasar, ni que tan probable son los resultados.
b) Contar información imprecisa, insuficiente o contradictoria.
c) No tener el conocimiento requerido (Menon & Kyung, 2020). Bajo este entendido, se requiere que los individuos entiendan que habrá riesgos que no podrán “ver o anticipar” y desarrollar un apetito de riesgo basado en su capacidad y tolerancia a estos eventos para plantear su respuesta.
Así las cosas, parte de la educación de las personas en el tema de ciber riesgos pasa por una comprensión del riesgo cibernético y la predisposición cultural hacia la reducción de los riesgos de seguridad (Mee, Brandenburg & Lin, 2020), así como por las habilidades necesarias para estar atentos frente a eventos, que, aun siendo normales, puedan generar sospecha de algo no está funcionando de acuerdo con lo esperado. En consecuencia, las estrategias que se generen para educar a las personas en estos temas deberán privilegiar una mirada interdisciplinaria y un pensamiento sistémico como base de aquellas preguntas que serán el asidero de la “ciber higiene” necesaria para aumentar la resistencia al ataque de los adversarios.
¿Cómo educar a las personas frente al riesgo cibernético?
Un ejercicio más allá de enseñar un cúmulo de temas. Si aceptamos que educar, como lo afirma John Ruskin, “no significa enseñarle algo a una persona que no sabía, sino transformarlo en una persona que no existía”, el reto en la educación de ciber riesgos se traduce inicialmente en sorprender a las personas sobre las realidades y desafíos del entorno ciber físico, para desde allí conectar con sus saberes previos y motivar el desarrollo de mejores preguntas, y no ofrecer muchas respuestas.
Es desde esta perspectiva, desde las preguntas propias de las personas alrededor del nuevo entorno ciber físico donde se inicia el proceso de construcción y conexión de los saberes previos de las personas, para desarrollar nuevos constructos de conocimientos y prácticas, que irán más allá de seguir una receta (propia de las prácticas particulares de seguridad de la información) para configurar criterios de toma de decisiones que privilegiarán sus propias inquietudes, las reflexiones que hagan alrededor del tema, los diferentes puntos de vista de otros participantes y sus certezas básicas. Este tipo de estrategia educativa no está fundada en el desarrollo de competencias mecánicas que todos los participantes deben repetir para asegurar que “han sido educados” y “han aprobado” un cuerpo de conocimientos, sino en el reconocimiento del contexto particular de cada persona, sus inquietudes más relevantes y frecuentes alrededor de los ciber riesgos, y las relaciones que tiene con sus diferentes grupos de interés dentro de una comunidad. Por tanto, el aprender sobre ciber riesgos implica exponerse a distintos escenarios no convencionales y evaluar la respuesta de la persona que considere al menos su apetito al riesgo, las prácticas vigentes de seguridad y control, y el nivel de comodidad o incomodidad frente al incierto (Cano, 2016).
De esta forma, no sólo se podrá confrontar todo el tiempo aquello que ha aprendido en ejercicios anteriores, sino que irá desarrollando nuevas posturas o enriqueciendo otras, de tal norma que se genere una postura de seguridad y control, que no sólo responda a las prácticas establecidas en los estándares, sino que se ajusta a la realidad y contexto vigente lo que implica reconocer el carácter volátil e incierto de los riesgos cibernéticos en el escenario actual.
Tratar de formar competencias (conocimiento estandarizado) para tratar los ciber riesgos, es limitar la incertidumbre natural de este tipo de riesgos, creando una opacidad en el análisis y comprensión de los mismos, como quiera que no existen a la fecha respuestas estándares que den cuenta con la dinámica del riesgo cibernético y los impactos de su materialización. Así las cosas, los esfuerzos de educación deberán iniciar desde el estudio de la mente del atacante y sus recursos, para luego compartir de forma colectiva propuestas con sus pares del entorno, y desde allí, producir las acciones pertinentes a la situación que se tiene en el momento (Cano, 2016).
Lo anterior implica “superar la primacía de las relaciones de causa y efecto como marco explicativo” (Calvo, 2017, p.73) y abrir las fronteras al pensamiento sistémico y complejo, donde las causalidades se multiplican y entrelazan de manera imprevisibles. En consecuencia, se hace evidente la necesidad de una alfabetización sistémica (Booth, s.f.), como fundamento para “diseñar» (diseñar y soñar) (Calvo, 2016) propuestas alternativas y novedosas que no teman a la equivocación ni a la ignorancia.
Reflexión Final
Los entrenamientos o formación en temas de seguridad de la información, basado en listados de temas a cubrir, aplicación de controles fundados en los estándares, sumando a la técnica del “miedo” (si no haces esto o aquello, podrás ser sancionado), terminan creando una espiral decreciente de aprendizaje que moviliza el imaginario de las personas sobre la seguridad de la información, como una temática que es una responsabilidad de la empresa y por lo tanto, es algo que otros hacen por ella.
En este escenario se deja de construir una red interna de alerta y protección, que configura una vez más a los temas de protección de la información como una temática técnica que está fuera del alcance de las personas del común.
Por tanto, educar en los retos de los riesgos cibernéticos, demanda una formación básica en las prácticas de la seguridad de la información, para luego movilizarse al contexto de un entorno digital interconectado y convergente (ISO, 2020), donde el riesgo es parte natural de su dinámica, y las personas toman decisiones frente al incierto que esto genera. Es así, que la educación en el riesgo cibernético exige una reflexión interdisciplinar que conecte diferentes puntos de vista, impactos y acciones que permitan a las personas movilizarse mejor en medio de la incertidumbre (Huerta, Pérez, Zambrano & Matsui, 2014), para lo cual se hace necesario reconocer las opciones y apuestas de los adversarios, construir de forma colectiva alternativas de acción y tomar la decisión que correspondan en el momento adecuado.
Lo anterior supone, “ejercitar la sospecha sobre aquello que se nos muestra como aparentemente lógico, verdadero y coherente” (Medina, 2008, p.164), para sumergirse en un mundo de incertidumbres donde son importantes las preguntas y no las respuestas; una oportunidad para “liberarse del encadenamiento a un concepto lineal, que obliga a repetir afirmaciones dichas por otros” (Calvo, 2016, p.30).
