viernes, 17 de julio de 2015

Ciberataques: un problema sistémico organizacional

La cyberseguridad es una preocupación que crece con el riesgo tecnológico.

En este post analizó la evolución del impacto y la probabilidad de los ciberataques según el Informe The Global Risks Report del World Economic Forum desde el año 2012 al 2015. Este análisis permite ver cómo los ciberataques han conseguido un nivel de criticidad tal que hoy en día se justifica la preocupación por la seguridad pero al mismo tiempo da paso al concepto mayor de riesgo tecnológico o de la tecnologización.


Porqué preocupan los ciberataques.

Desde el año 2014 es claro que el 2015 es un año de inseguridad, pero los datos históricos ya reflejaban esta tendencia. Casos aislados como los hackeos a Sony Pictures, los correos de Hillary Clinton, o a Hacking Team muestran que se ha visto aumentado el interés por los ciberataques, lo cual se ve facilitado y avalado por varios elementos entre los cuales se destaca:


  • el creciente volumen de transacciones a nivel mundial y la llamada hiperconectividad (¿quién no está conectado o no lo estará en dos años por "las buenas o las malas"?);
  • la gran tentación por atacar datacenters o sistemas en nube (por ejemplo, ahora mismo que uno u otro medio se consolidan como negocios rentables);
  • la sofisticación y el incremento de los ataques (por ejemplo, se estima que hay entidades atacadas y otras que no lo saben, pero literalmente no se habla de entidades no atacadas);
  • la vigilancia masiva con cámaras de videovigilancia, correos electrónicos vigilados o analizados, vídeos en youtube donde salimos grabados, drones que lo ven todo, etc.
  • la exposición digital de las personas y las organizaciones al tener sus datos en internet y en dispositivos móviles (por ejemplo, el alto volumen de personas y empresas en redes sociales y la creciente cantidad de información que ellos distribuyen gratuitamente y en gran volumen);
  • la creciente seguridad urbana y uso de tarjetas comerciales y de crédito (por ejemplo, con el creciente volumen de cámaras de seguridad, o el registro de miles de datos comerciales o por almacenamiento de datos sensibles a las personas -salud, educación, finanzas, empresas, nacimiento y muerte, etc.-); 
  • la madurez tecnológica de quienes están detrás de los ataques (por ejemplo, el uso de códigos abiertos y la participación de gobiernos y grandes conglomerados que invierten en medidas reactivas y proactivas de defensa de su territorio como de sus activos digitales y de mercado); 
  • la creciente competencia industrial y gubernamental en producción de innovaciones y avances industriales (por ejemplo, el antiguo espionaje industrial ahora tiene más herramientas para conseguir información);
  • la tensión internacional del nuevo orden mundial que lleva a incrementar el espionaje cibernético y las medidas preventivas de ciberdefensa (por ejemplo: la cibermuralla China, el espionaje de la NSA, el contraterrorismo de varios países, el terrorismo digital, el bloqueo digital de Corea del Norte, entre otros); y, 
  • las nuevas amenazas que supone la internet de las cosas (internet of things) o internet de las amenazas, por ejemplo, que permitirá tener acceso a miles de datos relacionados con el uso y función de los dispositivos, pero al mismo tiempo del entorno de los mismos).  
Que pasaría si Internet cae: se precisa un Plan B - Danny Hillis

Ciberataques: evolución de su criticidad. 

En las siguientes gráficas se observa la evolución del impacto y la probabilidad de los ciberataques.

Technological Risks - Global Risks Report 2012 - World Economic Forum

Technological Risks - Global Risks Report 2013 - World Economic Forum

Global Risks Landscape - Global Risks Report 2014 - World Economic Forum

Global Risks Landscape - Global Risks Report 2015 - World Economic Forum

Como se aprecia, el impacto y probabilidad de los ciberataques se ha incrementado de forma sostenida. Pero igualmente es importante observar que los ciberataques están al nivel de crisis nacionales como crisis por el agua, conflictos entre estados, desempleo o subempleo, crisis fiscales o por las fallas en adaptarse al cambio climático.


Ciberataque: análisis sistémico

La siguiente gráfica muestra las relaciones sistémicas de los factores de riesgo de un país, observando que los ciberataques están relacionados con fallas de infraestructura o fallas de gobernanza, así como a división de infraestructura, mal uso de tecnologías, y robo o fraude de datos.

Global Risks Interconnections Map - Global Risks Report 2015 - World Economic Forum

Es claro que la seguridad y el riesgo tecnológico van de la mano, el problema es que no se aprecian tradicionalmente de forma conjunta. Tener una visión integral y claramente sistemica de seguridad y riesgo tecnológico no suele ser comprendida ni asumida por muchos directivos por diversas razones que incluyen lo cognitivo, lo tecnológico, lo financiero y lo político, y eso produce mucho riesgo a los afectados por los ciberataques: ciudadanos y clientes.

En general, la complejidad de enfrentar estos riesgos, sus relaciones, su probabilidad e impacto, y sus consecuencias muchas veces imprevistas, requiere, por sobre una previsión, una preparación a todo nivel.  

Por tal motivo, seguridad y riesgo tecnológico ligado a ciberataques requieren inversiones estructurales para asumir la madurez organizacional en materia de ingeniería tecnológica e ingeniería social.  Esto último permite aseverar que la inversión estructural implica planificar inversiones en infraestructura y acciones de cambio de la cultura y de la normativa organizacional.

No hay comentarios:

Publicar un comentario en la entrada

¿Te interesó? Suscríbete para recibir actualizaciones por correo ...

Entradas populares de la semana