jueves, 13 de julio de 2017

Fraude digital y cibercrimen ¿Estamos perdiendo la guerra?


“Una cosa nunca es completa en sí misma, sino en relación con lo que le falta”.
Jacques Derridá.
Introducción
En una realidad donde se aceleran los cambios tecnológicos y las tendencias y expectativas se vuelven volátiles e inciertas, las organizaciones se encuentran en una carrera incesante por mantener su posición privilegiada en un segmento de mercado, tratando de “sensar y responder” (Bradley y Nolan, 1998) primero que otros o buscando nuevos horizontes para conquistar “tierras inexploradas”, asumiendo los riesgos que este ejercicio conlleva, como quiera que no hay un mapa concreto del territorio y su construcción tomará tiempo y posiblemente muchas lecciones por aprender (Calvo, 2016).

En este escenario, las organizaciones criminales ha sabido capitalizar rápidamente las condiciones cambiantes del entorno, su capacidad para detectar anticipadamente las nuevas variantes de sus “negocios”, han permitido una evolución rápida adaptación que les permite una movilidad y agilidad, que desconcierta a muchos entes de policía judicial en el mundo.

Esta condición de ductilidad frente a la incertidumbre, hace que las redes delincuenciales, sean capaces de enfrentar la inestabilidad que supone navegar sobre algo que no conocen, mucha veces con temeridad y osadía, para concretar luego estrategias más concretas que los lleven a realizar con mayor tranquilidad, e incluso invisibilidad, sus acciones contrarias al ordenamiento jurídico nacional e internacional.

Frente a esta realidad, la comunidad internacional viene aumentando su capacidad de monitoreo y detección con el fin de leer con mayor claridad las tendencias que las actividades de estos “facinerosos” generan a fin de establecer escenarios que les permitan actuar frente al marco legal y así dar cuenta de los resultados de dichas acciones al margen de la ley.

Esta lucha asimétrica planteada entre “policías y ladrones”, gravita sobre un modelo causa-efecto que asiste las reflexiones de aquellos que generan políticas públicas al respecto. Un paradigma mecánico que se concentra exclusivamente en las prácticas reconocidas y los marcos validados que permiten cierto margen de acción, que supone un contexto conocido y donde el Estado en su función preponderante tiene la capacidad de influir, disciplinar y castigar.

Así las cosas, cuando el marco de acción del analista o de los cuerpos de acción policial se mantienen bajo los paradigmas conocidos y probados, pocas oportunidades para pensar diferente se van a plantear y las propuestas o soluciones que se generen estarán rodeadas de las mismas condiciones que los estándares sugieren. Por lo tanto, su capacidad de “sorprenderse con la realidad”, de “pensar en el margen de las hojas” quedará limitada, abriendo espacios para que los delincuentes capturen “mayor valor” en sus acciones, creando la inestabilidad que compromete la confianza de los ciudadanos.

En consecuencia, la guerra que se libra a nivel internacional frente a la delincuencia y el fraude, ahora en el contexto digital, requiere una revisión conceptual, habida cuenta que los métodos y técnicas que los “amigos de lo ajeno” desarrollan, no solo llevan implicaciones de comportamiento y conocimiento concreto de la realidad que quieren conquistar, sino la apertura y capacidad de reinventarse en cada instante para lograr el factor sorpresa que destruye la zona cómoda de los analista y revela la limitada capacidad de anticipar, requerida en esta nueva realidad digital, por parte de los entes policiales y organismos multilaterales que asisten estas actividades.

Observar el sistema, no es entender el sistema
Cada vez que una analista de fraude o un investigador policial se enfrenta al reto de la delincuencia transnacional y digital, lo hace desde sus conocimientos y reflexiones previas, un ejercicio que recaba en sus supuestos propios de la realidad, los cuales son resultados de sus procesos internos que usa para construir su percepción o cognición particular (Vanderstraeten, 2001).

Por lo tanto, la capacidad de observación y distinción de rarezas, inconsistencias y contradicciones (Charan, 2015) que debe desarrollar un “agente de la ley y el orden” en un escenario asimétrico como el actual, supone mantener una visión ampliada de su realidad, que implica cuestionar sus supuestos de base, para quebrar sus lentes actuales con los cuales se enfrenta al mundo y así tener mayor oportunidad para ver lo que los “bandidos digitales” pueden llegar a ver.

Muchas veces los entrenamientos y capacitaciones sobre seguridad y control, que generalmente están fundados en currículos establecidos, competencias requeridas y didácticas de repetición y memorización (Cano, 2016), a los cuales asisten los analistas de fraude y de la delincuencia digital, establecen un marco de actuación que permiten una participación conocida y estándar de estos profesionales, que da cuenta de las actividades naturales y propias de los procedimientos criminalísticos.

En consecuencia, la necesidad de estar ajustados a un protocolo particular y al mismo tiempo comprender la inestabilidad que provoca la acción criminal, enfrenta a los profesionales antifraude y entes del estado, a un dilema de acción que compromete su margen de actuación habida cuenta que, su sesgo particular de orden y estructura, entra en tensión con la entropía, volatilidad y ambigüedad que subyace en una actividad criminal, la cual buscarán encuadrar dentro de los patrones de razonamiento estructurales que estos agentes de la ley tienen en su formación.

Lo anterior, demanda desarrollar un cambio de aproximación conceptual y cognitiva, que invite no a observar la acción criminal como algo puntal con sus resultados, sino a construir y revelar el sistema que lo contiene. Esto es, establecer las redes que conectan los hechos, lo que necesariamente demanda superar la vista lineal de una investigación, para armonizar los contrarios inherentes a las propuestas de los criminales: lo regular y lo irregular, lo sincrónico y lo asincrónico, lo ofensivo y lo defensivo, lo global y lo local.

Esta aproximación, que si bien reta los procedimientos actuales de los agentes del orden, establece una posibilidad de actuación enriquecida como quiera que no es solamente conocer los alcances de una acción delictiva digital, sino entender y develar el flujo que se genera entre la legalidad y la ilegalidad, como una vista extendida del actuar del delincuente que expone las distinciones y detalles que previamente ha elaborado para concretar su acción contraria al orden.

Disuadir y enfrentar, distinciones complementarias en la lucha contra el crimen y el fraude digital
Si se logra concretar el entendimiento de la armonía de los contrarios en el actual de los profesionales antifraude y especialistas en crimen digital, es posible cambiar las acciones que se emprenden para comprender y anticipar las propuestas de los bandidos en un entorno digitalmente modificado.

El ciberespacio, como creación humana y maleable, está en constante cambio y requiere de mentes abiertas para poder observar las posibilidades que se pueden plantear tanto para movilizar ideas novedosas, como para consolidar conductas abiertamente contrarias a la ley (Fischerkeller y Harknett, 2017). Este escenario, ausente de gobernabilidad central y resiliente a situaciones adversas, funda un entorno natural para que aquellos con mente disruptiva, pasión y conocimiento establezcan reglas novedosas que se contagien y creen tendencias que muchos no fueron capaz de movilizar.

Si lo anterior es correcto, las tendencias de la cibercriminalidad y el fraude abundan en acciones estratégicamente dirigidas y algunas veces inesperadamente logradas, donde el sabotaje, el espionaje y la corrupción (ídem) son parte del discurso que estos conglomerados delincuenciales configuran, para crear escenarios que comprometan la estabilidad de la sociedad y creen el incierto que destruye la confianza de los ciudadanos respecto de sus posibilidades en un entorno como el ciberespacio.

Con el sabotaje, se concretan acciones que debilitan o destruyen los logros económicos y afectan la infraestructura clave de las organizaciones o naciones. Con el espionaje incursionan dentro de los linderos de las empresas o naciones para extraer información sensible para desarrollar sus acciones criminales y con la corrupción debilitan la autoridad y el buen juicio sobre las decisiones, capturando la soberanía de la acción empresarial o nacional, despejando el terreno para actuar con mayor libertad y menos supervisión.

Si entendemos que el escenario de actuación de los criminales no puede ser objetivamente representado dentro del contexto social (Vanderstraeten, 2001)  y que por lo tanto, cada analista o profesional antifraude o especialista en criminalidad digital no puede ser entrenado para distinguir con claridad estas actuaciones, es claro que los sólo podemos observar y distinguir tanto como la capacidad de comprensión colectiva que podamos construir. Esto es, desarrollar una ventaja estratégica superior que disuada a los contrarios en su propio terreno y deconstruya la acción de la fuerza y el control estándar, frente a lo que esperan los delincuentes.

La disuasión como estrategia de lucha contra la delincuencia establece un referente práctico que debe ser creíble y validado por el escenario social donde se construye. Disuadir al atacante informático o a un defraudador empresarial, requiere crear un entorno de imaginarios sociales reforzados desde las creencias, valores y actitudes, que confirmen que la organización o la nación conocen sus métodos y sus acciones opacas, por lo cual cualquier movimiento o sugerencia en este sentido tendrá un reflector que alerte sobre aquel actuar que puede motivar una acción contraria que deteriore la confianza imperfecta (Cano, 2016b).

Es claro que la delincuencia cuenta con recursos ilimitados para crear contextos de contrainteligencia que son capaces de envolver a los investigadores forenses o analistas de fraude más expertos, para confundirlos y llevarlos fuera de su alcance, sin embargo, en la medida que el tejido social se haga más resistente a las sugerencias de la delincuencia, habrá menos espacio para concretar labores tan elaboradas como operaciones totalmente normales y lícitas, que ocultan una estrategia de corrupción que pasa desapercibida frente al más escéptico de los profesionales antifraude o especialista en crimen digital, sin que los controles vigentes se enteren de dicha transacción.

Por tanto, la disuasión combinada con una estrategia de controles internos debidamente probados y articulados en los puntos de mayor riesgo (ver figura 1), establece un continuo de monitoreo y revisión que define patrones y condiciones que se pueden cambiar frente al posible infractor, como quiera que los controles no van a ser estáticos, así como sus niveles de sensibilidad para generar las alertas. Un control dinámico genera mayor incertidumbre para el agresor.


Figura 1. Disuadir y enfrentar. Conceptos complementarios

Entre mayor inestabilidad pueda generar el sistema de seguridad y control, frente a la forma, sensibilidad y alcance de sus acciones, esto es, ajustes dinámicos de fuentes de verificación, inclusión de observadores de disciplinas distintas, cambios de patrones en la validación y control previsto y un permanente aprendizaje/desprendizaje de las tendencias de los comportamientos de las transacciones y las personas, mayor será la variedad que los analistas van a tener para comprender los siguientes movimientos de los atacantes o defraudadores.

En este sentido, los avances tecnológicos establecen alternativas de interés basadas en algoritmos de aprendizaje profundo (Marr, 2016), que ya no solamente correlacionan información, sino que dan pautas y pistas de siguientes movimientos, con el fin de despertar la imaginación de los analistas y especialistas en fraude y crimen digital, para entrar en el mismo territorio de los atacantes y delincuentes, donde es posible observar y distinguir posibilidades de acción más que probabilidades de éxito de las mismas.

Amén de lo anterior, el disuadir y el enfrentar son parte del continuo de opciones que los analistas y entes de policía judicial deben comprender, pues al final del día no es doblegar al adversario lo que se requiere, es concretar una posición privilegiada en el mismo entorno donde este opera, para poder actuar de forma efectiva, es decir, disuadirlo de la acción que planea o ejecuta, identificando y superando las causas raíces que motivan y habilitan dicho actuar.

Reflexiones finales
Cuando observamos los esfuerzos en la lucha contra el fraude y la delincuencia digital desde el paradigma causa-efecto, la sensación que se obtiene es que estamos perdiendo la guerra y que el enemigo cada vez se fortalece y mejora sus técnicas para sorprender a la sociedad de formas inesperadas.

Sin embargo, cada vez más los entes de policía judicial comprenden que en un escenario de confrontación donde las capacidades del enemigo no se conocen, donde este puede mimetizarse de formas amigables e inciertas, incluso a la vista de los mismos especialistas, se hace necesario superar la vista mecanicista del entendimiento de la delincuencia y el fraude en el contexto digital y migrar hacia un entendimiento más relacional que ofrezca pistas sobre el escenario donde actúan y crean sus propios modelos.

En consecuencia, crear una estrategia de disuasión y control que no responda a un parámetro determinado, sino a una evolución de “sensar y responder”, que habilite una rápida adaptación de los saberes previos de los analistas y especialistas en fraude y crímenes digitales, es una exigencia propia del contexto actual, habida cuenta que la inestabilidad del territorio donde opera ahora la delincuencia, exige mayores niveles de anticipación y acción que balancee el tablero de operaciones entre los participantes: policías y ladrones.

Para ello, la información se convierte en un activo estratégico (Bebber, 2017) para confrontar aquello que se conoce y crear marcos de actuación que anticipen los movimientos de la criminalidad, y así tratar de sorprenderla en su propio territorio, superando el enfrentamiento estéril y desgastador entre buenos y malos.

El reto por tanto consiste en armonizar las posturas inestables de los asaltantes y estafadores digitales, dentro de escenarios prospectivos y disruptivos que se puedan crear con los nuevos adelantos tecnológicos, que permitan ver de forma distinta la evolución de una confrontación que continúa desde la antigüedad, donde el forajido es capaz de pensar distinto y sin restricciones para llevar a cabo sus acciones criminales, y el analista o agente del orden, sólo puede actuar dentro de los cánones de que le dicta el ordenamiento jurídico establecido.

Así las cosas, entender este enfrentamiento irregular, inestable, asincrónico, ofensivo y asimétrico donde los medios se convierten en los fines, demanda demarcar un nuevo terreno de análisis y acción, donde los observadores y agentes (analistas y delincuentes) son capaces de reinterpretar sus propias actuaciones de forma independiente, con el fin de mantener un mínimo de paranoia bien administrada como soporte fundamental de la confianza imperfecta que cada empleado y ciudadano asume, al ser partícipe de una realidad volátil, incierta, compleja y ambigua.

Referencias
Bebber, R. (2017) Treating information as a strategic resource to win the “information war”. Orbis. Foreign Policy Research Institute. Summer. Doi: 10.1016/j.orbis.2017.05.007. 394-403
Bradley, S. y Nolan, R. (Eds) (1998) Sense and respond: capturing value in the network era. USA: Harvard Business School Press.
Calvo, C. (2016) Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de la Serena.
Cano, J. (2016) La educación en seguridad de la información. Reflexiones pedagógicas desde el pensamiento de sistemas. Memorias 3er Simposio Internacional en “Temas y problemas de Investigación en Educación: Complejidad y Escenarios para la Paz”. Universidad Santo Tomás. Bogotá, Colombia. Recuperado de: http://soda.ustadistancia.edu.co/enlinea/congreso/congresoedu/2%20Pedagogia%20y%20dida%B4ctica/2%209%20LA%20EDUCACION%20EN%20SEGURIDAD%20DE%20LA%20INFORMACION.pdf
Cano, J. (2016b) Protección de la información. Un ejercicio de confianza imperfecta. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2016/09/proteccion-de-la-informacion-un.html
Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.
Fischerkeller, M. y Harknett, R. (2017) Deterrence is not credible strategy for cyberspace. Orbis. Foreign Policy Research Institute. Summer. Doi: 10.1016/j.orbis.2017.05.003. 381-393
Marr, B. (2016) What Is The Difference Between Deep Learning, Machine Learning and AI? Forbes. Recuperado de: https://www.forbes.com/sites/bernardmarr/2016/12/08/what-is-the-difference-between-deep-learning-machine-learning-and-ai
Vanderstraeten, R. (2001) Observing systems: a cybernetic perspective on system/environmental relations. Journal for theory of social behavior. 31, 3. 297-311.

jueves, 6 de abril de 2017

10 principios para liderar la próxima revolución industrial. Una lectura desde la ciberseguridad y la seguridad de la información.

La próxima revolución industrial está a la vista y todos aquellos que no se han anticipado para este evento estarán buscando respuestas en aguas revueltas y situaciones contradictorias, condiciones que no los dejarán leer el entorno con la tranquilidad y claridad que se requiere. Sobre este particular los consultores Schwieters y Moritz (2017) han establecido los 10 principios para liderar la próxima revolución industrial, como una carta de navegación ejecutiva para enfrentar la incertidumbre y la inestabilidad del entorno en los próximos años de manera sistemática y rentable.

Cada uno de estos principios (ver figura 1), leídos desde los retos de la ciberseguridad y la seguridad de la información, dan cuenta de la necesidad de un esfuerzo compartido entre la función de resiliencia organizacional y la de aseguramiento de la información, y no como entes aislados de la dinámica empresarial, sino como engranajes aceitados que anticipan y defienden los planes estratégicos de la organización, a pesar de los inciertos que se puedan presentar.

Figura 1. 10 principios y su lectura desde la ciberseguridad y la seguridad de la información

Principio No. 1 Repiense su modelo de negocio
Este primer pilar informa sobre la necesidad de aumentar la flexibilidad y agilidad de las lecturas del ambiente de negocio, como quiera que no hacerlo o no anticipar las nuevas discontinuidades tecnológicas, implica comprometer la viabilidad misma de la empresa. Identificar nuevas fuentes de valor para los clientes, descubrir nuevos patrones de comportamiento y experiencias útiles fundan los nuevos normales que serán parte de las exigencias para las empresas de la próxima revolución industrial.

Las capacidades del negocio no son ni serán las misma en este nuevo contexto, por tanto la información como fundamento de la interacción y flujo de procesos emergentes, será un activo fundamental que deberá ser cuidado y entendido en el contexto del ecosistema digital naciente, habida cuenta que parte del valor percibido por los nuevos clientes, será la confianza necesaria en los productos y servicios digitalmente modificados, para concretar el cambio de percepción que se espera en la realidad de las personas impactadas.

Principio No.2 Construya su estrategia alrededor de plataformas
De acuerdo con los consultores una plataforma es “una combinación de estándares y sistemas interoperables, que crean una base tecnológica fundada en el paradigma “conecte y juegue” en la que una amplia gama de proveedores y clientes pueden interactuar sin problemas con la misma colección de hardware, software y servicios” (Schwieters y Moritz, 2017). Entender que la organización abandona su tradicional cadena de valor propia de la antigua revolución industrial, anticipa las nuevas reflexiones que los ejecutivos plantean alrededor de la nueva propuesta de valor que se construye desde la lectura de los nuevos ecosistemas digitales basados en infraestructuras tecnológicas ágiles y flexibles.

En este nuevo escenario la ciberseguridad y la seguridad de la información, no sólo deberán articular sus tradicionales estrategias de gestión de accesos, sino diseñar actividades de monitoreo y aprendizaje profundo de los comportamientos de los participantes del ecosistema, como una forma de mantener una defensa activa de este, es decir, una plataforma embebida que cruza la dinámica de clientes y proveedores, que se afina en cada momento, se ajusta, advierte y pronostica movimientos inesperados de los participantes, con el fin de motivar intervenciones cuidadosa y preventivas, que más que limitar, mantienen una postura de aprendizaje que suma en la experiencia del usuario final.

Principio No.3 Diseñe para los clientes
Las nuevas plataformas habilitan una interconexión más fluida entre productores y consumidores. Los datos de las actividades que los usuarios finales realizan sobre estas plataformas establecen los insumos base requeridos para modelar nuevas experiencias que puedan ser transformadoras de la práctica actual de cada uno de ellos. Esta nueva lectura de patrones y aprendizaje permanente, traduce deseos y expectativas en relaciones, contactos y productos que cambian la manera de hacer las cosas para comunidades específicas en la sociedad.

Este fundamento le da un mandato a las prácticas y marcos de ciberseguridad y seguridad de la información, el control de acceso es la puerta de entrada al ecosistema digital, pero es el control de uso, basado en la confianza digital, es lo que hace la diferencia en las interacciones de los participantes de dicho ecosistema. Esto es, tanto proveedores clientes se hacen responsables de la forma como la información fluye y las capacidades que se pueden generar basado en la lectura de los comportamientos y experiencias de aquellos que se benefician de las nuevas propuestas de negocio. Lo anterior se funda en una ética digital, que no es negociable para aquellos que quieran hacer parte del ecosistema digital que se construye.

Principio No. 4 Aumente su visión tecnológica
Este principio implica comprender que significa ser digital. No es comprender y dominar los aspectos técnicos de las nuevas discontinuidades tecnológicas (que claramente se debe hacer los equipos destinados para tal fin), sino habilitar una capacidad de reflexión e innovación que permitan conectar el mundo físico con las posibilidades digitales. Un ejercicio aprendizaje colaborativo, que desconecta la realidad vigente y la integra de forma inédita con posibilidades tecnológicas antes inexploradas, teniendo en cuenta los riesgos emergentes en este nuevo mundo relacionados con la privacidad y los ciberataques (Waslo, Lewis, Hajj y Carton, 2017).

Aumentar la capacidad de una lectura digital del entorno, es aumentar la visual de riesgos y amenazas emergentes, con el fin de tomar riesgos inteligentes, que considerando las exigencias del modelo de negocio, pueda adelantar decisiones informadas en una realidad de propuestas, productos y servicios inestables, que cambian en cada momento los supuestos base para concretar posturas resilientes y confiables que aseguren una postura digitalmente responsable tanto para empresa como para los proveedores, productores y clientes.

Principio No. 5 Innove rápida y abiertamente
Esta declaración establece una nueva realidad para las empresas que quieren posicionarse en el escenario de la nueva revolución industrial. Un cambio de la mentalidad sobre el error, los procesos de producción y la forma de desplegar sus productos o servicios. Un cambio que exige comprender el error como parte del proceso, el cual se articula en la práctica de prototipos y simulaciones, para crear escenarios posibles donde es viable anticipar riesgos y fallas, que abren a situaciones que cambian el statu quo de la industria. Algunos ejemplos: la inteligencia artificial, máquinas autónomas y la cadena bloques.

En seguridad y ciberseguridad este mandato profundiza la práctica ya desarrollada de prototipos y simulaciones, el fundamento de las pruebas y escenarios controlados en laboratorios de prácticas, que ahora se convierte en una fábrica permanente de aprendizajes que asistidas por tecnologías inteligentes, es posible configurar y modificar lecturas de las amenazas existentes, para desarrollar defensas contra asimetrías aún inexistentes, que dan cuenta de una postura resiliente y confiable de la organización, sin perjuicio que la inevitabilidad de la falla concrete una nueva lección aprendida para la empresa y sus relaciones en el ecosistema digital.

Principio No. 6 Aprenda más de sus datos
Reconocer patrones, generar nuevos entendimientos y descubrir nuevas tendencias permite a las empresas hacer elecciones más acertadas y mantenerse avanzando al mismo tiempo. Este principio es una apuesta por un uso estratégico de los datos, de los comportamientos y expectativas de los participantes del ecosistema digital del cual hace parte la corporación. Una práctica que rompe los commodities creados con información, para habilitar nuevos puntos de vista que desconectan la realidad, conectan las nuevas tendencias y crean ganancias teóricas que permiten una vista distinta del entorno.

En ciberseguridad y seguridad de la información la lectura no es distinta. Aprender de los datos es lo que estas dos temáticas deben hacer de forma decidida, no solamente para saber qué ocurre y cómo ocurren los eventos, sino para crear capacidades distintivas de defensa activa, que permita a la organización moverse con mayor claridad en entornos turbulentos y propensos a los riesgos que afecten la información, capitalizando los eventos desafortunados como lecciones aprendidas, que permitan crear escenarios simulados avanzados que ilustren nuevos patrones resilientes en la organización y sus procesos.

Principio No. 7 Adopte modelos de financiación innovadores
Las organizaciones que desean avanzar con celeridad en la próxima revolución industrial deben asegurar estrategias de financiación con retornos de corto y largo plazo, motivando ganancias tempranas basados en modelos de colaboración global y adoptando modalidades de pago, con baja intermediación basada en la tecnología de “cadena de bloques”, con el fin de poder aumentar rápidamente el impacto de sus productos y servicios en comunidades específicas, haciendo uso eficiente de las relaciones creadas a través del ecosistema capitalizando el valor entre empresas y compartiendo el mismo con sus clientes.

En ciberseguridad y seguridad de la información, la estrategia de tercerización y capitalización de infraestructura eficiente y efectiva de capacidades distintivas de anticipación y prevención, se convierte en una forma de fortalecer una postura de seguridad y ciberseguridad concreta, que funda un perímetro de seguridad y control, ya no basado en inversión de infraestructura propia, sino en productos y servicios digital e inteligentemente modificados, que tienen en los registros y sensores instalados, la lectura del umbral de riesgo permitido por la empresa y sus activos digitales más relevantes en el desarrollo de sus actividades de negocio.

Principio No. 8 Enfoque en el propósito, no en el producto
Este pilar recuerda a las organizaciones las razones por la cuales existe, aquella forma particular de atraer a los clientes, esa forma distinta y única por la cual todos se van a acordar de su empresa cuando ella ya no exista. El propósito es la esencia de la promesa de valor, ese cambio de percepción único y excepcional que la corporación concreta en su actuar en el entorno, que le da sentido a su participación en un entorno abierto y competitivo que definen los ecosistemas digitales.

En lectura de la ciberseguridad y la seguridad de la información este fundamento responde al sueño, a la noticia del futuro que define el derrotero de acciones de estos dos conceptos. Es la motivación por el logro de operaciones y acciones resilientes de la empresa, que permiten un flujo de información confiable, que cuida de las expectativas de los clientes y que custodia el valor esta genera para la empresa. El reto al final no es incorporara capacidades claves de anticipación, defensa y respuesta, sino crear el entorno y ecosistema de seguridad que mantenga la promesa de valor de la empresa aun en situaciones de riesgos y amenazas materializados.

Principio No. 9 Asegure y proteja los datos (sea confiable)
Este principio está directamente relacionado con los temas de seguridad y control. Es la apuesta por el concepto de monitoreo y acción inmediata, que implica aprender, destacar y desarrollar patrones de comportamiento, que incrementen la confiabilidad de la plataforma de tal manera, que los diferentes actores saben que las posibles desviaciones que se puedan generar serán alertadas y manifestadas para tomar los correctivos, no solo por la empresa, sino por todos los participantes del ecosistema.

Este principio refleja el concepto de una seguridad colectiva, que comparte información de eventos adversos en el entorno, para aumentar la capacidad de respuesta no de uno de los participantes, sino de todo el ecosistema con el fin de crear una postura de seguridad y control compartida que da cuenta de la responsabilidad digital empresarial y personal, como fundamento de los comportamientos legítimos y transparentes que se deben presentar en las interacciones previstas en dicho ecosistema digital.

Principio No. 10 Humanice antes que automatice
Este principio recaba en el respeto por la persona, por lo que ella significa y sus elecciones que hace día a día. Si bien la tecnología que se incorpora hará más eficiente y efectivo muchos procesos, creando contexto de experiencias distintas y novedosas, es claro que lo más distintivo de las personas más que su capacidad para resolver problemas o lograr resultados, es su empatía, juicio intuitivo y autenticidad, características que no podemos pronosticar o predecir de antemano.

En este sentido, en ciberseguridad y seguridad de la información, siempre habrá espacio para las heurísticas y reflexiones humanas, que considerando aspectos propios de las interacciones entre comunidades, personas, atacantes o experiencias personales, son capaces de superar los análisis más sofisticados de sistemas o tecnologías inteligentes. La suspicacia, la sagacidad, la tolerancia al error y al riesgo, la complejidad del entorno y sus propias ambigüedades, hacen del analista de seguridad, un mundo de respuestas a preguntas que aún no surgen y de interrogantes a situaciones que aún no ocurren.

Reflexiones finales
Estos 10 principios y sus aplicaciones en el contexto de la ciberseguridad y la seguridad de la información, establecen una hoja de ruta de transformación de la práctica de seguridad y control que detalla las reinvenciones y reconfiguraciones que se deben revelar en los linderos actuales de los estándares y buenas prácticas de resiliencia y aseguramiento, como quiera que no hacerlo implica convertir a estos dos conceptos claves del nuevo milenio, en fuentes de roces e inflexibilidad empresarial, que marginen a las organizaciones de las grandes oportunidades y desafíos que se plantean en la actualidad y en el futuro, bajo la mirada atenta de una sociedad digitalmente modificada. 

Referencias
Schwieters, N. y Moritz, B. (2017) 10 Principles for Leading the Next Industrial Revolution. Strategy+Business. Marzo. Recuperado de: https://www.strategy-business.com/article/10-Principles-for-Leading-the-Next-Industrial-Revolution  
Waslo, R., Lewis, T., Hajj, R. y Carton, R. (2017) Industry 4.0 and Cybersecurity. Managing risk in an age of connected production. Deloitte University. Marzo. Recuperado de: https://dupress.deloitte.com/dup-us-en/focus/industry-4-0/cybersecurity-managing-risk-in-age-of-connected-production.html

lunes, 20 de marzo de 2017

Riesgos y seguridad de la información. Una lectura desde las ciencias sociales y las reflexiones sistémicas

Introducción
Por más de cincuenta años se han explorado respuestas al reto de la protección de la información desde la perspectiva técnica, técnico-social, matemático formal, entre otras, las cuales han ofrecido vistas particularmente interesantes, motivando reflexiones que han sido capitalizadas en productos o servicios que hoy son parte integral de las prácticas de las organizaciones modernas.

Este ejercicio de la protección de la información, demanda no sólo el conocimiento claro de los comportamientos de los individuos y sus prácticas, sino el reconocimiento de su perfil de riesgos, del entendimiento de los inciertos, ambigüedad, complejidad e historia personal que subyace en la experiencia de las personas, como quiera que es allí donde la acción final de control o aseguramiento tiene el asidero de la práctica que se tiene.

Bajo este entendimiento, se hace necesario recurrir a las ciencias sociales y las reflexiones sistémicas, para abordar la realidad del riesgo, desde un observador externo que reconoce un entorno y la dinámica de las relaciones que las personas establecen frente a la experiencia de lo incierto e inestable, así como desde un observador interno, que asume la complejidad del entorno y las decisiones que debe tomar un individuo en el ejercicio de superar una situación ambigua o contradictoria.

Así las cosas, establecer un marco de protección de la información basado en riesgos, demanda una lectura de doble vía desde el entorno al individuo y viceversa, de tal forma que se pueda balancear las exigencias propias de la dinámica de la persona frente a un entorno inestable, con el fin de que tome las decisiones necesarias y suficientes para estar concentrado en lo que puede ser y no, en lo que no ha sucedido (Carmen, 2015), y así superar el dilema de control (Espejo y Reyes, 2016) que se plantea cuando no tiene la variedad suficiente para dar cuenta de la acción que debe tomar.

Proteger la información en el escenario de un mundo volátil, incierto, complejo y ambiguo, donde cada vez hay menos oportunidad para mantener secretos o información confidencial, implica explorar no solamente las buenas prácticas actuales y estándares de la industria, sino recabar en el imaginario de las personas y sus percepciones particulares de los riesgos frente a la información, como una forma de revelar la esencia de las decisiones que ellas toman para salvaguardarla.

En este contexto, la contraposición entre riesgo y seguridad, establece una vista complementaria que no busca opacar o resaltar alguna de ellas, sino explorar los puntos de conexión existentes en el escenario particular de las decisiones de las personas frente al tratamiento de la información y cómo en este reto de comprensión de relaciones circulares, es posible establecer un marco de acción que oriente a los individuos para superar la esencia misma de la venta de los temas de seguridad basado en el miedo, las dudas y la incertidumbre.

Por tanto, este documento explora un marco conceptual de tratamiento de la información fundamentada en las ciencias sociales y las perspectivas sistémicas, que conecte la realidad del riesgo con los retos de las seguridad y control, de tal forma que ofrezca orientaciones de actuación para los individuos con el fin de habilitar una toma de decisiones situada, aún en escenarios inciertos, complejos y ambiguos.

Recreando el concepto de riesgo. Una revisión desde los estudios sociales
El estudio del riesgo en el escenario de la protección de la información se ha conceptualizado con una vista negativa, como toda situación o acción contraria que puede comprometer alguna de las características claves de la seguridad de la información: confidencialidad, integridad y disponibilidad, generando impacto adverso sobre los intereses personales o empresariales que representa ese particular conjunto de datos procesados.

Basado en este entendimiento, las personas y las organizaciones crearon un imaginario de prevención y advertencia sobre esas situaciones, los cuales hicieron carrera con marcada velocidad en las prácticas de seguridad y control donde el control de acceso, se configura como la práctica de restricción natural para determinar quiénes pueden o no tener conocimiento de una información particular. Estas restricciones responden a declaraciones de los dueños de la información quienes definen como base la tupla: usuario, acción, objeto, que delinea quién puede acceder, bajo que acción: lectura, escritura, modificación y finalmente el componente autorizado a ser afectado: archivo, base de datos, registro, etc.

La violación de las reglas definidas por el control acceso, establecen un atentado directo a la protección de la información, como quiera que cada regla definida corresponde a una forma de disminuir el incierto sobre condiciones claves que se deben cuidar sobre una información específica, lo que en últimas, custodia un interés particular de la organización respecto de los impactos de su revelación o exposición fuera de los límites definidos por la empresa.

Cuando leemos el riesgo desde la orilla de los científicos sociales comprendemos que esta realidad es dependiente del contexto de las personas, cuya valoración positiva o negativa, estará mediada por la experiencia particular de un individuo o conjunto de personas, con el fin de tomar las acciones más adecuadas al medio donde se encuentran (Luhmann, 2006). En este sentido, la historia de la persona, la ambigüedad, la incertidumbre y la complejidad definen el marco general donde el individuo configura su nivel de exposición para establecer que tan tranquilo o inquieto se puede sentir respecto de una situación particular.

La certeza es un estado mental subjetivo (López-Barajas, 2009), que está cimentado sobre conocimientos y experiencias previas, que fundan la forma como una persona entiende una situación particular con el fin de adjudicarle un calificativo de exposición o no, el cual por lo general se encuentra asociado con una brecha de información y saber. Mientras esta brecha sea mayor, mayor será su percepción de incierto e incapacidad de manejar con lo que conoce, creando un dilema de control respecto de su flexibilidad para enfrentar la situación bajo evaluación.

En este escenario, la protección de la información no sólo deberá estar asociado con un mecanismo de control de acceso, que busca disminuir o superar el dilema de control (Espejo y Reyes, 2016), sino con el contexto donde opera la persona, comprendiendo la situación que supera sus saberes y las variables del entorno que generan ambigüedad e incertidumbre para tomar la decisión que se requiere.

Alineando el contexto con las prácticas de seguridad y control
Si bien es claro que por lo general las personas son responsables por el manejo de tareas que son inherentemente más complejas que su propia capacidad para distinguir y actuar, esto es lo que hace retador cada momento de ellas en las organizaciones. En este sentido, muchas de las actividades requieren el apoyo de otros individuos para que se hagan realidad, lo que necesariamente implica un aumento de la variedad y del espectro de posibilidades que le permitan decidir sobre una situación en particular.

Cuando en el ejercicio de protección de la información, las buenas prácticas y estándares no son suficientes para actuar en consecuencia, se entra en el escenario de la incertidumbre, donde se experimenta el estado de indeterminación frente a una causa y sus efectos, que lleva a interpretaciones legítimas de las personas frente significados socialmente aceptados, los cuales son conceptualizados en la historia personal particular basada en momentos e impactos semejantes (Rosa, Renn y McCright, 2014).

Para lograr una alineación respecto de las prácticas y las inestabilidades del contexto en el ejercicio de asegurar la información, es necesario revelar los supuestos e imaginarios de la seguridad de la información en los individuos, para luego efectuar las interpretaciones ajustadas con las expectativas requeridas por la organización. En este sentido, si no posible determinar un estado futuro de una acción, habrá que focalizar la acción más en aquello que puede ser y no en algo que no ha pasado, con el fin de procurar un cierre de la brecha informacional y de saberes que está en juego y motivar una acción informada y ajustada a aquellos estados relevantes que la empresa ha fijado como válidos.

Lo anterior supone el desarrollo de unas capacidades dinámicas (Teece, Peteraf y Leih, 2016) en los individuos, que les permita entre otros aspectos, detección proactiva para crear hipótesis sobre las implicaciones futuras de los eventos y tendencias observadas; acción informada, que entiende la brecha de saber e información para movilizar su actuación y desaprendizaje permanente, que considerando los saberes previos, es capaz de conectar con las inestabilidades del entorno.

En esta línea, la seguridad de la información no se asume con una declaración cierta y estática, sino como un cuerpo de conocimiento que evoluciona con el entorno, el cual se reconfigura en cada instante en la dinámica de la protección de la información, mediada por las capacidades dinámicas que deben ser desarrolladas en los individuos, habida cuenta que cada nueva situación incierta revela nuevas oportunidades para concretar nuevos espacios de conocimiento que permitan una protección ajustada a los escenarios inciertos de las empresas.

El ejercicio de alineación del contexto con las prácticas, no supone acciones exclusivamente de restricción para aumentar las certezas, sino un ejercicio de amplificación de la variedad existente, como quiera que se requiere alcanzar una estabilidad dinámica en un entorno particular y relevante que permite colaborar con otros, para asumir las diferentes expresiones de la complejidad que supone proteger la información en un entorno cambiante y con discontinuidades tecnológicas permanentes (Espejo y Reyes, 2016).

Esto es, desarrollar una postura sistémica de la realidad, que reconoce que el mapa que se ha construido desde los supuestos y creencias, donde se validan las decisiones humanas, es una imagen borrosa e incompleta del territorio. Lo anterior supone descubrir en cada momento, aspectos complementarios de las interpretaciones efectuadas, reconociendo que no se tiene la variedad requerida o conocimientos necesarios para abordar una situación particular y por tanto, reconocer que no se sabe, es la experiencia más valiosa que se puede experimentar para poder “desaprender” y descubrir oportunidades inexploradas.

Un marco conceptual para el tratamiento de la información. Aportes desde las ciencias sociales y las reflexiones sistémicas
Para plantea un marco de acción para el tratamiento de la información, en un escenario volátil e incierto, es necesario comprender que las partes interesadas en proteger la información no son perfectas y que harán su mejor esfuerzo para concretar un nivel de exposición acordado, sin perjuicio de los posibles eventos adversos que se pueden presentar por efectos de la inevitabilidad de la falla.

Esto supone entender que riesgo y seguridad son un continuo de experiencias de confianza imperfecta, una confianza que se funda en los comportamientos y decisiones inestables de las personas. En palabras de Cano (2016):

Es comprender que las circunstancias, los contextos y contradicciones motivan actuaciones que pueden ser contrarias a lo esperado, una lectura de umbrales de tolerancia a fallas que sabe de la naturaleza limitada de las personas y la tendencia al error, que invita más a la reflexión y confrontación de sus propias actuaciones, para construir en conjunto con otros y afinar dichos umbrales, hasta definir aquel que es aceptado y tolerado por la empresa.

La estabilidad de esta confianza está en el entendimiento y estrategias que tiene la organización para actuar cuando los umbrales se superan y cómo desarrolla su capacidad de recuperación y resistencia ante la inevitabilidad de la falla. La estabilidad no se ve como un rango estático de compromiso de la organización, sino como una vista dinámica de la evolución del imaginario de protección que la empresa moldea con sus decisiones y aseguramiento de prácticas de acuerdo con sus propias necesidades.”

Bajo estos fundamentos, sólo cuando entiendo con claridad el resultado incierto de lo que está en juego, puedo comprender el nivel confiabilidad que se puede tener frente a la decisión de protección y de igual forma, sólo retando el nivel de confiabilidad actual disponible para los propósitos e intereses de las personas y de la empresa, puedo conocer el resultado de incierto que puede generarse con la decisión que se toma.

Lo anterior, supone que el ejercicio de comprensión de doble vía (riesgo-seguridad) (Ver figura 1), habilita a las personas para desarrollar las capacidades dinámicas (detección proactiva, acción informada y desaprendizaje permanente) con el fin de encontrar el rango de exposición que se acuerda frente al resultado de la acción que se ejecuta. Es decir, la confiabilidad no está en el riesgo cero o la protección ciento por ciento, sino en el cumplimiento de los umbrales definidos por las partes y las acciones resilientes establecidas para enfrentar los inciertos y la materialización de vulnerabilidades latentes o emergentes.


Figura 1. Riesgo y seguridad: una relación de doble vía (Autoría propia)

De esta forma, el riesgo no se configura como un elemento negativo per se, ni la seguridad como una función estática que busca el 100% de efectividad de sus acciones, sino como un continuo inestable que negocia rangos de tolerancia a la falla, donde los individuos y las empresas construyen distinciones y prácticas de forma permanente para reconstruir las prácticas conocidas y renovar los entendimientos de la protección más allá de la reducción de la incertidumbre reflejada en los controles tradicionales expuestos en los estándares ISO.

Reflexiones finales
La práctica de seguridad y control que se tiene en la actualidad responde a una lectura de la protección como restricción de eventos o inestabilidades, en procura de alcanzar confiabilidad y estabilidad que satisface el imaginario de cero incidentes requerido por las organizaciones.

Lamentablemente este imaginario se debilita en el escenario de volatilidades e inestabilidades que se presentan actualmente, como quiera que la inevitabilidad de la falla es la constante que la inseguridad de la información utiliza para materializarla de forma inesperada, ocasionando percances a nivel personal y organizacional que sacan de la zona cómoda tanto a ejecutivos como a los profesionales de la seguridad de la información.

En consecuencia y dado que se hace necesario avanzar en medio de un entorno incierto y vulnerable, tanto las personas como las organizaciones debe tomar riesgos de forma inteligente esto es, en un continuo de confianza imperfecta, que leído en términos prácticos supone ver los impactos estratégicos, las afectaciones tácticas, las lecciones aprendidas y los grupos de interés que se pueden ver afectados” para formular “escenarios, prototipos, simulaciones y pruebas que permitan desconectar los supuestos de los conceptos actuales para reconectarlos y crear nuevas ganancias teóricas y prácticas antes inexistentes.” (Cano, 2017).

En este sentido, si bien las normas, buenas prácticas y estándares permiten un cuerpo de conocimiento base, se hace necesario dominar las capacidades dinámicas presentadas previamente, en el contexto de los riesgos que se deben tomar de manera inteligente, habida cuenta que no es la reducción de la incertidumbre lo que cuenta, sino el entendimiento del flujo continuo de certezas e inciertos que supone el riesgo y la seguridad para una persona y una organización.

Por tanto, el imaginario actual de seguridad y control deberá evolucionar de la invulnerabilidad como fuente de confianza perfecta, a la vulnerabilidad y los umbrales de falla, como nuevo referente que se construye sobre la base de la confianza imperfecta, la cual hace parte natural de los comportamientos y decisiones inestables que las personas toman frente a contextos y situaciones distintas.

Referencias
Cano, J. (2016) Protección de la información. Un ejercicio de confianza imperfecta. Blog IT Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2016/09/proteccion-de-la-informacion-un.html
Cano, J. (2017) Riesgos inteligentes. Blog Frase de la Semana. Recuperado de: http://frasedelaseman.blogspot.com.co/2017/03/riesgos-inteligentes.html
Carmen, A. (2015) La ley del quizás. Cómo transformar la incertidumbre en posibilidad. Barcelona, España: Editorial Urano.
Espejo, R. y Reyes, A. (2016) Sistemas organizacionales. El manejo de la complejidad con el modelo del sistema viable. Bogotá, Colombia: Ediciones Uniandes, Universidad de Ibagué.
López-Barajas, E. (2009) Antropología, epistemología e innovación en educación permanente. En López-Barajas, E. (Coord.) (2009) El paradigma de la educación continua. Reto del siglo XXI. Madrid, España: Narcea, S.A. 15-56
Rosa, E., Renn, O. y McCright, A. (2014) The risk society revisited. Social theory and governance. Philadelphia, Pennsylvania. USA: Temple University Press.
Teece, D., Peteraf, M. y Leih, S. (2016) Dynamic Capabilities and Organizational Agility: risk, uncertainty, and strategy in the innovation economy. California Management Review. Summer. 58, 4. 13-35
Luhmann, N. (2006) Sociología del riesgo. México, México: Universidad Iberoamericana - Instituto Tecnológico y de Estudios Superiores de Occidente, A.C (ITESO).

lunes, 13 de febrero de 2017

Anatomía de un ataque basado en redes sociales. El reto de proteger el valor de una empresa en un contexto social y digitalmente modificado

Introducción
Las redes sociales han cambiado la forma como interactúan las personas. Es un medio que habilita una comunicación abierta y generalmente informal, donde se comparte todo tipo de expresiones (imágenes, video, audio) de afecto, rechazo, gusto, promoción, venta o posicionamiento, bien de un producto, servicio o sencillamente de la dinámica de la vida de una persona o comunidad.

En el contexto de las redes sociales son los individuos los que tienen la voz y la capacidad de influir, convocar o provocar sentimientos diversos (positivos, negativos o neutrales) respecto de situaciones, instituciones, productos o servicios, habida cuenta que su experiencia particular establece, posiblemente, un referente para otras personas que puedan estar interesadas en los mismos temas sobre los cuales opina a través de los medios sociales digitales (De luz, 2014).

El flujo de información que se moviliza por los medios sociales digitales sobrepasa la capacidad de procesamiento que se puede llegar a tener y por lo tanto, establece una fuente de datos, por lo general, no estructurados, que guardan las emociones y sentimientos de aquellos que los administran, bien sea a título personal o en el escenario de la estrategia de medios digitales de una empresa.

En consecuencia, los medios sociales digitales habilitan una puerta para el flujo de información de todo tipo, que enmarca una ventana abierta para que cada individuo pueda compartir y expresar sus reflexiones de forma directa con el mundo, e igualmente filtrar información personal, confidencial, estratégica o de negocio, que comprometa los activos digitales clave de la empresa y genere así, una pérdida de reputación, financiera y de conocimiento que atente contra los planes corporativos en su afán de conquistar una posición privilegiada en su entorno (Cano, 2012).

Toda expresión que se manifieste en medios digitales sociales, establece una huella y una sombra digital para la empresa o la persona. Mientras las publicaciones efectivas que se hacen en los medios sociales digitales establecen la huella de la empresa y su tono de conversación, la sombra es lo que la información publicada de manera agregada y analizada dice de la empresa. La huella digital está bajo el control de quien la publica, mientras la sombra digital está en manos de quien procesa la información y las intencionalidades de sus análisis (Brekle, 2015).

Por tanto, las redes sociales se convierten para las empresas modernas en una ventaja competitiva de visibilidad en un sector específica y en un vector de ataque clave, que con frecuencia es ignorado por los analistas, como quiera que la volatilidad de los comentarios que se hacen y la baja especialidad técnica que se requiere para su uso, lo hace menos atractivo para estos perfiles. Subvalorar la capacidad de influencia e impacto de las redes sociales en un entorno como el actual, es evadir la responsabilidad de la protección del valor de una empresa, que ahora se encuentra social y digitalmente modificada.

En este sentido, se presenta a continuación la anatomía de un ataque basado en redes sociales, los cuales generalmente son invisibles a la dinámica social, motivados por intereses de terceros no conocidos, ejecutados tanto actores estatales como no estatales, para provocar cambios de opinión, comportamiento o imagen de una nación, empresa o individuo.

Cambio en el panorama de las amenazas
Si bien se han publicado noticias sobre el incremento de los ataques en el contexto del internet de las cosas, como es el caso de la botnet Mirai, conformada por al menos 500.000 dispositivos como DVRs (Digital Video Recorder) y cámaras de vigilancia, los cuales generalmente están en manos de individuos, que afectaron 18 centros de datos de la empresa Dyn alrededor del mundo, perturbando más de 10 millones de direcciones IP y los servicios de empresas como Twitter, Amazon, Spotify y Netflix (Gates, 2017), las redes sociales se advierten como el foco de revisión y monitoreo más relevante para la seguridad de la información y la ciberseguridad, dada la volatilidad y volubilidad que se puede presentar con los mensajes, donde técnicamente es posible perder el control de aquello que se quiere transmitir a la audiencia global.

Es la información disponible, sus flujos y la forma como ella se puede analizar, la que establece ahora el nuevo normal para los especialistas en medios sociales digitales. La capacidad de monitorear patrones y confirmar tendencias, establecen los nuevos estándares de las empresas y sus campañas de mercadeo, para posicionar una marca, producto o persona a nivel global.

En este ejercicio, los riesgos claves que se advierten en el escenario son la capacidad de promover la desinformación de forma invisible, la inhabilidad para medir los impactos en una marca y la pérdida de control de los mensajes por el efecto del Crowd sourcing, donde la comunidad abierta participa para tratar de promover, compartir o resolver una problemática particular aportando su trabajo, dinero, conocimiento y/o experiencia, esperando un beneficio mutuo (Estellés y González, 2012).

Esta nuevas condiciones del entorno, que se mantienen activas con las constantes menciones en los medios del uso de plataformas como Twitter, Facebook o Instagram, generan la suficiente distracción para que, los especialistas en desinformar y crear escenarios contrarios actúen de forma inadvertida, con el fin de ir concretando mensajes y opiniones de acuerdo con las intenciones para las cuales se les haya contratado, y así cambiar las tendencias y elaborar imaginarios en las personas de forma sutil y prácticamente imperceptible, pero real y efectiva frente a la realidad.

La necesidad de las personas de comunicarse y compartir funda el contexto natural para identificar formas para hacer fluir la información. El engaño, la sugerencia de la “información debe ser libre”, la invocación de creencia, conceptos y valores en situaciones particulares, desarrolla el ambiente necesario para el atacante que se esconde detrás de la marea de información creada para motivar acciones específicas como robos de información sensible, espionaje corporativo, robos de identidad que comprometen no solo a las personas involucradas, sino que crean un efecto dominó sobre la empresa y su reputación.

Este nuevo panorama de amenazas, demanda el desarrollo de capacidades analíticas y de pronóstico que permitan detectar y anticipar posibles cambios de tendencias en los medios sociales digitales que puedan afectar en el mediano y largo plazo los objetivos estratégicos de la empresa, los cuales ahora son más visibles y sensibles a las opiniones de terceros, algunos interesados en apalancarlos y otros con intenciones no establecidas que pueden afectarlos.

Configurando un ataque a través de medios sociales digitales (Raggo, 2016)
El foco fundamental de un ataque premeditado a través de las redes sociales no es afectar la reputación o imagen de la empresa exclusivamente, sino capitalizar la confianza de los medios disponibles para crear el contexto necesario donde desarrollar y confirmar la sensación de veracidad de las publicaciones, que afecte la postura de los lectores respecto de un tema particular.

A continuación se detalla y explica un marco general de la anatomía de un ataque basado en redes sociales. Ver figura 1.

Figura 1. Anatomía de un ataque basado en redes sociales (Basado en: Raggo, 2016)

En primer lugar, el atacante debe conocer y detallar tanto la huella digital como la sombra digital de la empresa o la persona objetivo. Esto implicar una exploración y seguimiento detallado de las redes sociales más activas como son, entre otras, linkedin, Twitter, Facebook, Google+ e Instagram con el fin de establecer un perfil particular, la dinámica de sus conexiones, las posturas en sus publicaciones y sobre manera, la frecuencia con que hace frecuencia en cada una de ellas.

Una vez se tiene identificado la huella y la posible sombra digital del objetivo, se establece un monitoreo particular de las cuentas identificadas en cada una de las redes sociales, los #hashtag que usa con frecuencia, las menciones que tiene y las palabras clave que son utilizadas para generar las publicaciones en los medios sociales digitales. Esta información, permite elaborar y desarrollar una estrategia que habilite una posible suplantación de la presencia de la persona u organización, lo cual es viable ejecutarlos habida cuenta de la caracterización del tráfico generado por el objetivo.

El siguiente paso es la personificación del individuo u organización objetivo, creando perfiles con sutiles errores ortográficos, fotos semejantes a las originales retocadas con procesadores de imágenes, usando palabras claves y #hashtag equivalentes a las cuentas originales, siguiendo a personas o empresas similares, para crear la sensación de confianza y consistencia que se espera a través de las conexiones, seguidores y amigos.

Si lo anterior, motiva la generación de tráfico y seguidores en el nuevo perfil, se activa el uso de enlaces cortos, generalmente automatizados por las distintas redes sociales, para crear accesos maliciosos que comprometan la seguridad, la privacidad y el control de otras cuentas, motivando enlaces de phishing, descarga de aplicaciones con malware, en pocas palabras campañas que comprometan credenciales e información clave de las personas y las organizaciones que alteren la reputación y la imagen de la empresa o los individuos, con fines específicos.

Si el ataque resulta exitoso, se generará un marco de confusión, desconcierto y desconfianza donde la población de seguidores no sabrá quién tiene la verdadera cuenta, aumentando la inestabilidad de los mensajes de reparación o desestimación que se generen por parte de la empresa o persona. En este sentido es necesario, contar con un plan de atención de incidentes en redes sociales, que cuente con una estrategia clara que permita enfrentar, mitigar y superar la condición de incertidumbre creada y los posibles daños que se hayan podido causar por los enlaces maliciosos enviados desde las cuentas falsas personificadas.

Enfrentando el reto de un ataque a través de medios sociales digitales
Desarrollar una estrategia para enfrentar un ataque basado en redes sociales, implica más que afinar las tecnologías de seguridad informática vigentes frente a las URL maliciosas y la habilitación de un segundo factor de autenticación para las cuentas claves en las diferentes redes sociales disponibles de las empresas (Eset, 2014); supone una estrategia transversal y global que demanda un entendimiento de la presencia de la persona u organización en el mundo social digital.

Para ello, Bahadur, Inasi y De Carvalho (2012) proponen una estrategia basada en una matriz de valoración de amenazas en redes sociales denominada H.U.M.O.R, que considera las amenazas del talento humano, el uso de los recursos, las pérdidas monetarias o financieras que pueden generarse, los impactos operacionales que se pueden causar y los efectos sobre la reputación de la empresa. En pocas palabras, lo H umano, el U so de los recursos, lo M onetario, la O peración y la R eputación.

Frente a lo Humano, los autores hablan de contar con políticas concretas sobre la diseminación de información, guías para los empleados sobre el uso de las redes sociales, el entrenamiento y educación de las personas frente a los riesgos de estas redes, los marcos regulatorios y de cumplimiento del uso de los medios sociales digitales y particularmente la responsabilidad personal y empresarial sobre lo que implica participar en una red social.

Sobre el Uso de los recursos, se advierte sobre el desarrollo de políticas alrededor de los contenidos, el plagio, el manejo de la propiedad intelectual de la empresa, el uso de las herramientas apropiadas de acuerdo con los públicos que se quieren impactar, las respuestas frente al uso incorrecto de los activos digitales claves de la compañía y la cautela frente a los posibles abusos de la marca y sus activos que se puedan detectar.

Las consideraciones sobre el tema monetario o financiero, implica contar con presupuesto disponible tanto el desarrollo de ejercicio sencillos y avanzados de compromiso de la marca, provisiones previstas frente a ataques exitosos basados en redes sociales y el fortalecimiento del monitoreo y control de las tendencias y posicionamiento de la presencia en el contexto abierto de la red.

A nivel de operaciones, comprender el escenario donde se mueve la empresa, identificar los activos claves de información que son susceptibles de ser comprometidos, así como las posibles responsabilidades que pueden tener la empresa frente a terceros, mantener una valoración de amenazas y riesgos en redes sociales frecuentemente afectada por eventos externos, la coordinación necesaria con las áreas de comunicaciones y talento humano de las empresas frente a situaciones contrarias que se puedan presentar.

Con el tema de la reputación, el reto es contar con un adecuado proceso de gestión de incidentes, contar con un monitoreo permanente de la dinámica de la empresa a nivel global frente a sus grupos de interés y sus objetivos de negocio, desarrollar alianzas estratégicas con entes de policía judicial y empresas de protección de marca a nivel internacional, que anticipen y controlen posibles atentados contra la imagen de la empresa.

Como se puede observar, gobernar y gestionar los riesgos propios de las redes sociales, no es un esfuerzo exclusivamente del área de tecnologías, es un compromiso corporativo que parte de la dinámica natural de la interacción humana, que atraviesa la formalidad corporativa frente a su entorno y que se convierte en una virtud o una amenaza según la intencionalidad que tanto los internos como los externos quieran concretar bien a favor o contra de los intereses empresariales.

Reflexiones finales
Las redes sociales son un laboratorio social donde las empresas y las personas crean un tejido de significados que se reinventa cada momento en el ejercicio de compartir y construir realidades y tendencias que afectan la dinámica de las compañías y los gustos de las personas. En este contexto, ignorar la influencia de este flujo de mensajes llenos de intencionalidad y necesidad de presencia en la red, es ausentarse de la creación de imaginarios colectivos que definen tendencias y posturas que afectan la imagen o reputación de una empresa.

Amén de lo anterior, se hace necesario establecer una estrategia concreta para diseñar, mantener, monitorizar y atender la práctica de proteger la integridad, identidad, imagen y reputación de la empresa o una persona, frente a los embates de las tendencias sociales normales de las opiniones de los individuos, así como de los ataques premeditados, invisibles y mal intencionados que buscan comprometer la confianza de la empresa, sus productos y servicios, como una forma de invalidar sus esfuerzos y retirarla de forma sutil del contexto competitivo de su sector.

Las redes sociales establecen el nuevo referente de protección del valor de una empresa en el siglo XXI, habida cuenta que su presencia en la red responde a una dinámica de mensajes y consolidación de marca que le permite estar presente en la mente de sus clientes, como una compañía de confianza, que construye su propia identidad en conjunto con sus grupos de interés.

Así las cosas, poder identificar, controlar y anticipar ataques mediados por las redes sociales, exige una disciplina de seguridad, privacidad y control basada en analítica, escenarios y estudios prospectivos, que permita a la empresa desarrollar perfiles digitales sociales asegurados de tal manera, que cualquier intento de sabotaje en contra de la empresa en este sentido, sea rápidamente identificado y gestionado, aumentado la confiabilidad de la marca y lo que ella pueda significar para sus grupos de interés.

Es claro que detener un ataque en contra de una empresa vía los medios sociales digitales, no es una tarea fácil, menos cuando ésta no se encuentra preparada para enfrentarlo y darle un adecuado tratamiento; por tanto, la preparación y las simulaciones se hacen necesarias en este entorno asimétrico e incierto que se tiene en la actualidad, para incrementar el nivel de sensibilidad requerido en los niveles ejecutivos y en cada uno de los colaboradores de la empresa.

En definitiva, el reto de proteger una marca y la imagen de una empresa en internet, está en manos e intenciones de aquellos que generan las publicaciones y las posturas que leen los participantes de la red: las personas.

Referencias
Bahadur, G., Inasi, J. y De Carvalho, A. (2012) Securing the clicks. Network security in the age of social media. USA: McGraw Hill.
Brekle, K. (2015) La sombra digital. Blog Ontrack. Recuperado de: http://blog.ontrackdatarecovery.es/la-sombra-digital/
Cano, J. (2012) Inseguridad en redes sociales. La inevitabilidad de la falla en nuestros comportamientos y valores. Blog IT-Insecurity. Recuperado de: http://insecurityit.blogspot.com.co/2012/02/inseguridad-en-redes-sociales-la.html
Eset (2014) Guía de seguridad en redes sociales. Recuperado de: http://www.welivesecurity.com/wp-content/uploads/2014/01/documento_redes_sociales_baja.pdf
Estellés, E. y González, F. (2012) Towards an integrated crowdsourcing definition. Journal of Information Science. 38, 2. 189-200. Recuperado de: http://journals.sagepub.com/doi/full/10.1177/0165551512437638
Gates, M. (2017) Rise of de IoT Botnets. Security Management. February. Recuperado de: https://sm.asisonline.org/Pages/Rise-of-the-IoT-Botnets.aspx
Raggo, M. (2016) Attacks on Enterprise Social Media. Presentación. Recuperado de: https://cdn.shopify.com/s/files/1/0177/9886/files/phv2016-mraggo.pdf