El reto
“¿Cómo será la seguridad ligada al [mal] uso de los ordenadores dentro de diez años?“. ¡Guau! Sin duda, todo un reto, que la amplitud y profundidad del asunto -por cuanto en él cabe- hacen, aún, más complejo. Y eso por no hablar de la suerte que, para entonces, habrá corrido el sustantivo “ordenador” -“computadora” en otras geografías hermanas- dada la velocidad con la que todo tipo de “cosas” computadorizadas se están incorporando a la actividad diaria de organizaciones e individuos, lo que provoca que el sentido tradicional del referido vocablo se desdibuje a cada minuto que pasa. Pero esa, afortunadamente, es otra historia.
El entrecomillado con el que se inicia el párrafo anterior reproduce el “sencillo” encargo recibido desde la Dirección de “Novática” para la redacción de este artículo. Elucubrar sobre los acontecimientos que sucedan más allá del presente no parece que haya sido nunca una ciencia exacta y, por tanto, cualquier afirmación hecha a futuro podrá ser puesta en entredicho cuando dicho futuro se alcance.
“Novática” ya tuvo este mismo atrevimiento hace quince años. Entonces, cuando la revista cumplía su vigesimoquinto año de vida acercando la realidad informática a todos los miembros de la familia ATI, reunió a un grupo de profesionales a los que encomendó la tarea de esbozar un escenario localizado veinticinco años más adelante en el tiempo: en 2025. Ahora, recientemente, ha vuelto a hacerlo con motivo del cuadragésimo aniversario de la revista, que se acaba de celebrar.
Como le decía, el presente artículo hereda ese mismo mandato y ese mismo espíritu, en un reto que se antoja -al menos, aparentemente- menor, si se considera que la solicitud requerirá aventurarse “sólo” diez años en el futuro. De nuevo, para situarse en 2025.
En cualquier caso, estamos a sólo una década de comprobar las capacidades predictivas de unos y otros autores, incluido un servidor.
Seguridad, ¿qué seguridad?
Puede parecer absurdo, pero la primera duda que surge a la hora de comenzar a jugar a predecir el futuro tiene que ver con una cuestión relacionada con el lenguaje: ¿qué denominación adoptar? Los puristas defenderán con uñas y dientes los matices que diferencian los diversos calificativos que, a lo largo del tiempo, han ido recibiendo las actividades, las técnicas, etc., relacionadas con la mitigación de los peligros asociados al uso (incluido, especialmente, el mal uso) de los ordenadores por parte de organizaciones e individuos: seguridad informática, seguridad de la información, ciberseguridad, etc.
La firma de análisis de mercado Gartner ha aportado, recientemente, su granito de arena a este debate y, bajo su programa “Smarter with Gartner” (Más Inteligente con Gartner), ha abogado por un universo de múltiples “seguridades”: la física; la de las Tecnologías de Operación (TO), propias de los entornos industriales; la de las Tecnologías de la Información (TI), propias de los entornos corporativos; la de la información (a secas); la de la Internet de las Cosas (IoT, del inglés “Internet of Things”); o, simplemente, la de naturaleza cibernética. Según la consultora estadounidense, todas ellas quedan, hoy, amparadas bajo el paraguas general que conforma la seguridad digital[i].
Esa creciente toponimia de la seguridad hace difícil adivinar cuál será el término al uso dentro de una década. Pocos se opondrán, hoy, a identificar “cyber” (ciber) como el prefijo del momento; razón por la que se ha descartado para la cabecera de este artículo. Propuestas anteriores -el caso de “InfoSec” (InfoSeg), por ejemplo, puede servir de paradigma- han tenido también su momento de gloria que, sin embargo, parece haber pasado. Eso es lo que hace pensar que “ciber” ya no será el término de moda en 2025. Más al contrario, va camino de “quemarse” mucho antes, si no está chamuscado ya en este momento, como también comienzan a señalar otras voces[ii]. No obstante, piensen los nostálgicos -mal de muchos, …- que no es el único término en peligro; otros, como, “governance” (gobernanza/gobierno) o el propio “digital”, elegido, finalmente, para el título de este artículo, están amenazados del mismo uso y abuso. (El caso de “ordenador” ha quedado, ya, explicado).
En cuanto a “digital”, si bien ocupa también, como acaba de señalarse, las portadas de todo cuanto se publica en estos días en materia tecnológica, parece que aplicado a la seguridad ha disfrutado hasta ahora sólo de un corto recorrido, lo que podría darle, aún, posibilidades de desarrollo futuro. Por eso ha sido el término elegido en esta ocasión.
Incluso la Organización para la Cooperación y el Desarrollo Económico (OCDE) ha optado por hablar de riesgos para la “seguridad digital” en su reciente revisión[iii] de la “Recomendación del Consejo relativa a las Directrices de la OCDE para la seguridad de los sistemas y las redes de información: Hacia una cultura de la seguridad”, publicada originalmente en 2002. Reconforta saberlo, por cuanto ello parece avalar la primera apuesta futurista que se desliza en este artículo.
Pero, realmente, ¿seguridad o resiliencia?
La seguridad, con todas sus tradicionales -milenarias- connotaciones, es un término demasiado asentado como para que uno pueda temer por su desaparición (a diferencia de lo que, presumiblemente, ocurrirá, más pronto que tarde, con los ejemplos anteriormente mencionados). Pero, por encima del debate léxico, lo verdaderamente relevante es que, cada vez más, nos adentramos en una época de total desconfianza. Estamos ante un panorama desalentador en el que ya se oyen algunas voces que comienzan a plantear hasta qué punto merece la pena sumirse en la transformación digital, dadas las penalidades cibernéticas que las organizaciones sufren día tras día[iv].
Casos como el del fabricante de juguetes Vtech[v] que el pasado noviembre sufrió un acceso no autorizado a su tienda virtual de aplicaciones, comprometiendo datos personales, tanto de niños (nombres, fechas de nacimiento, sexo), como de sus padres (nombres, direcciones electrónicas y postales, contraseñas, etc.); o el más reciente descubrimiento de debilidades en productos de su competidor Fisher-Price[vi], susceptibles de causar similares consecuencias, son una muestra de hasta dónde [los malos] están dispuestos a llegar y de nuestra propia fragilidad, contribuyendo al consenso generalizado sobre el hecho de que nadie está libre, ya, de semejante lacra.
Abusando del tópico, lo cual no lo hace menos cierto, la conclusión pasa por reconocer, una vez más, que la seguridad plena resulta inalcanzable. Y por pensar que, dado que la seguridad nunca será resuelta, a cambio, habrá de ser administrada. Esto se traduce en un cambio de paradigma en el que se está abandonando un enfoque para la seguridad basado en ‘la prevención y la protección’, para abrazar otro nuevo, fruto de una cierta resignación, que se apoya en ‘la detección y la corrección’ (incluidas la respuesta y la recuperación). ¡Un obligado cambio de modelo que se acentuará en los próximos años!
Toma sentido, de este modo, el objetivo básico por el que ha de moverse toda empresa: perdurar en el tiempo -priorizar cualquier otra meta resultaría absurdo a partir del incumplimiento de esa condición básica-. Y, en el escenario descrito, la seguridad se antoja insuficiente como garantía de esa perdurabilidad. En su lugar, el nuevo fetiche se denomina resiliencia[vii].
Apuestas arriesgadas
No todas lo serán y, probablemente, no todas lo serán tanto; pero traspasado el umbral de los primeros atrevimientos -pronosticar la desaparición del prefijo “ciber”, el efecto “freno” de la inseguridad sobre la actual corriente digitalizadora o el cambio de paradigma desde “seguridad” hacia “resiliencia” (que no resulta nuevo, en todo caso)- llega el momento de cumplir verdaderamente el encargo y enumerar algunas otras tendencias -que lo son hoy y, previsiblemente, lo serán en 2025-.
Desafíos globales
En primer lugar, y a fin de contextualizar los grandes retos que le esperan a nuestro planeta en la próxima década, cabe mencionar al Foro Económico Mundial que en su último informe sobre riesgos globales[viii] destaca la escasez de recursos esenciales -particularmente, agua y otros alimentos-, las consecuencias del cambio climático y otros eventos meteorológicos extremos, y la inestabilidad social, entre los riesgos más preocupantes. Paralelamente, la firma McKinsey apunta, también, a factores demográficos al identificar algunas de las fuerzas globales que estarían redibujando el sistema operativo de la economía mundial[ix]: la creciente urbanización (con la consiguiente migración desde las zonas rurales a las ciudades, especialmente, en determinados países emergentes) y el envejecimiento de la población. McKinsey no olvida, sin embargo, la digitalización y la globalización favorecida por esa misma digitalización y por el desarrollo de las redes de telecomunicaciones, al enumerar las fuerzas motrices del nuevo contexto económico mundial.
Si bien no se trata, a priori, salvo en los últimos casos, de retos directamente relacionados con ‘lo digital’, sí pueden ser motivo todos ellos de algunas otras amenazas claramente ligadas a lo tecnológico. Amenazas que vemos hoy y seguiremos viendo en los próximos años: guerras (del agua u otras, incluido el terrorismo), con su traslación al ciberespacio; aumento de la brecha digital entre colectivos de población por razón de su origen geográfico, o edad, que pueden suponer pérdida de oportunidades (incluido el empleo) para el desarrollo personal y profesional; ‘hacktivismo’ reivindicativo de carácter político o social; ciberdependencia y la consiguiente ciberdebilidad/ciberexposición (entre otras, al aumento del desempleo, de nuevo) de las sociedades más tecnificadas; etc.
Ciberestrategias
El carácter global de gran parte de las problemáticas expuestas hasta aquí justifica, en una importante medida, la mayor preocupación que hoy existe entre los estados -frente al caso de las empresas- por lo que podría denominarse “la problemática ‘cíber’”. Hoy, uno de cada cuatro estados dispone, o está en vías de hacerlo, de una ciberestrategia[x]. Es de esperar que para 2025 sean alguno más.
Por el contrario, diríase sin temor a errar que el número de empresas que estarían en disposición de declarar que disponen de una estrategia tal dista mucho del 25% del censo total mundial. Por tanto, será deseable, también, que esta cifra crezca a lo largo de la década que comienza.
Asimismo, confiemos en ver algún otro país abanderando una estrategia internacional de ciberseguridad (además de los EEUU[xi]). No parece muy coherente seguir planteando estrategias nacionales en un espacio sin fronteras como es, de momento, el ciberespacio. (Por cierto, como no lo parece promover mercados únicos digitales circunscritos a un continente).
Derecho a la intimidad
Sin abandonar el ámbito gubernamental, otro importante debate que heredará la nueva década será el de la dicotomía “seguridad - intimidad”. (Lamentablemente el auge del ya citado terrorismo -“cíber” y del otro- contribuirá en muy poca medida a dilucidarlo).
Algún ciudadano de a pie -realmente, lo he escuchado de una ciudadana-, ya aboga por demandar algo así como un servicio de ‘ciberburbuja’, una especie de cápsula virtual en la que cobijar sus comunicaciones electrónicas con terceros, sus incursiones en las redes sociales, etc., de forma que tuviese garantía plena de que sólo sus allegados participasen de sus intercambios de información, en lugar de dejarlas tan expuestas, a la vista -y a la memoria- de casi cualquiera, como parece que están en la actualidad. Una especie de vuelta al recogimiento, tras un período de exhibicionismo desmedido.
Sin duda, una excelente propuesta -la de las “ciberburbujas”-, a desarrollar en esta década post-Snowden que vivimos; pero que habrá de ir acompañada, en los años por venir, de unas mayores cotas de sensibilización por parte de los propios usuarios-ciudadanos.
Y, hablando de Edward Snowden, tal vez, veamos el desenlace -una década da para mucho- de la aventura iniciada por el técnico estadounidense en el verano de 2013, con la polémica revelación de las, no menos polémicas, prácticas de la Administración de su país, en materia de cibervigilancia indiscriminada.
Consejos de administración
Retomando, de nuevo, el hilo de las empresas, se hace oportuno reparar en la situación de los consejos de administración y su actitud frente a la ciberseguridad.
Una valoración muy optimista de la situación vivida hasta ahora permitiría afirmar que ‘lo cíber’ -y, por extensión, ‘lo digital’- no ha sido un tema que interesara, en demasía, a los señores consejeros. En ello pueden haber influido los antecedentes, particularmente los académicos, de estos individuos; y su edad, la cual dibuja, a su vez, un perfil académico determinado: juristas y economistas componen, mayoritariamente, el censo de consejeros actual, lo que podría contribuir a alejarlos de la responsabilidad que hoy les toca asumir en plena era digital.
En 2025 la Biología estará haciendo su trabajo y habrá comenzado a colocar en los consejos a unos nuevos sesentones -la firma Spencer Stuart sitúa la edad media del consejero español en los sesenta años[xii]-. La diferencia con sus actuales colegas será que, para entonces, aquellos habrán desarrollado toda o gran parte de su carrera tras el debut de la Internet comercial (1995), lo que supondrá un mínimo de treinta años interactuando con el medio digital. Como consecuencia, la confianza en el efecto del salto generacional lleva a imaginar unas futuras agendas corporativas distintas a las que manejan hoy la mayoría de consejeros.
Mientras se produce ese salto, otros parecen ser los incentivos que contribuirán a acercar el mensaje ‘cíber’ a los consejos de administración: haber sufrido en carne propia -o en las proximidades- algún incidente digital; el mandado de los organismos reguladores; la opinión de las agencias de calificación y las pólizas cibernéticas (presumiblemente, también, para los ciudadanos, en cuyo caso vendrán asociadas al seguro del hogar o a la factura del sistema de alarma que nos remita nuestra compañía de seguridad).
Digitalización no, “software-ización”
Todo apunta, y todo el mundo parece defender -en este texto se ha hecho más arriba-, que estamos asistiendo a un proceso general de digitalización. Un proceso en el que los elementos E-I-T (Electrónica-Informática-Telemática) están provocando un cambio de modelo en la forma en que personas, empresas y administraciones se están comportando, relacionando y operando, individualmente y entre ellas. Sin embargo, un análisis más reposado del fenómeno permite identificar un denominador común en todo el proceso, y en la electrónica, la informática y la telemática, en particular: el software.
Es de esperar que en la década que comenzamos haya nuevos avances en la forma de escribir software -no sólo en el “cómo”, sino también en el “quién”; un “quién” hasta ahora reservado, mayoritariamente, para programadores humanos-. Es de esperar, asimismo, que ese mismo software, que cada vez más lo permea todo, siga ocupando el segundo puesto entre los eslabones más débiles de la seguridad, sólo por detrás del que ocupan los individuos que lo crean y, sobre todo, que lo usan.
Las flaquezas (vulnerabilidades) que presentan, de forma inherente, los sistemas cibernéticos lo son en gran medida por las flaquezas (vulnerabilidades) de su software. Nada, salvo el optimismo, apunta a que los esfuerzos en mejorar la calidad del software den mejores frutos que los recogidos hasta la fecha; más, si cabe, en un contexto en el que la frenética necesidad de contribuir a aumentar ese volumen de software -“software-izar”- en busca de nuevas funcionalidades amenaza con dejar de lado otros atributos de la calidad, como la seguridad.
Ciberincidentes
Los futuros incidentes digitales, como los de hoy, van a seguir estando provocados por atacantes o saboteadores (externos e/o internos), crecientes en número y capacidades (ejércitos de un solo hombre, delincuencia organizada, estados); errores y negligencias de los usuarios; y fallos de los propios sistemas (de nuevo, mala calidad, unida a configuraciones incorrectas u obsolescencia, entre otros factores).
Dada esa variada casuística, que probablemente se mantendrá dentro de diez años, es evidente que no todos los incidentes merecen, ni van a merecer, el calificativo de “ciberataque”. Lo verdaderamente arriesgado aquí es apostar por la proporción, que deparará el futuro, de un tipo de incidente frente a otros. Hoy, dos de cada tres ciberincidentes están provocados por alguna causa o causante interno, tal y como declaraba hace unos meses el responsable de ciberseguridad de una conocida multinacional española del sector energético. De la misma manera, dos de cada tres ciberincidentes no son fruto de un ataque. La masiva eclosión de software que se avecina, aludida anteriormente, hace pensar que los fallos y los errores -por este orden- serán los reyes de la fiesta de los incidentes en el futuro.
Nuevos ciberespacios y viejas consecuencias
Ese ámbito artificial creado por medios informáticos que William Gibson bautizó en 1981 con el nombre de “ciberespacio”, está dejando paso, hoy, a un nuevo paisaje en el que aquél comienza a perder parte de su naturaleza etérea para confundirse con el paisaje de lo real: es el “espacio ciber-físico”, un lugar en el que las actuaciones llevadas a cabo en el ámbito de lo virtual tienen consecuencias directas sobre el mundo real.
Los catalizadores que hoy conocemos para impulsar el crecimiento del nuevo espacio ciber-físico, guardan una estrecha relación con lo que se ha dado en llamar “Internet de las Cosas”, paradigma en el que prima la conectividad entre máquinas, realizada con un cierto -elevado- grado de autonomía. Es, por tanto, el espacio, entre otros, de los vehículos autónomos de todo tipo (terrestres, aéreos y marinos); el de los robots, industriales o militares; y, en suma, el de formas de inteligencia artificial existentes y venideras.
Sin embargo, si en algún contexto se materializa, de forma clara, en la actualidad, el espacio ciber-físico es en el ámbito de los sistemas de control industrial (aquellos sistemas de información empleados en el control y la supervisión de procesos [físicos] productivos, propios, a priori, de los entornos fabriles). ¡Aunque dichos sistemas están también presentes en otros entornos (desde la construcción -edificios inteligentes-, pasando por las tecnologías de la información -centros de proceso de datos-, hasta la medicina -robots expendedores de medicamentos o robots cirujanos-, etc.!
En estos ámbitos, en los que los espacios físico y cibernético están, cada vez, más entrelazados, y en los que la Internet de las Cosas y la Internet Industrial de las Cosas podrán ser objetivo y fuente, al mismo tiempo, de ciberataques, puede preverse para los próximos años un aumento de los sabotajes dirigidos a las tecnologías empotradas inteligentes, como la “infección” de equipos robóticos -y otras formas de inteligencia artificial- con algún tipo de software dañino que modifique su comportamiento hasta el punto de hacer que se vuelvan, incluso, contra los humanos.
Las consecuencias de los incidentes, provocados o fortuitos, en estos nuevos espacios ciber-fisicos, lejos de resultar novedosas, son -y van a serlo cada vez más acentuadamente- similares a las viejas consecuencias para las personas, el patrimonio y el medioambiente que la acción del hombre ha causado siempre antes de la irrupción de la era digital.
* *
Pero, para no errar solo en los pronósticos -insisto, “mal de muchos, …”-, permítame que dé voz, ahora, a una serie de expertos, todos amigos y profesionales internacionalmente reconocidos, cuyos testimonios, a buen seguro, aportarán el verdadero valor que pueda encerrar este artículo.
La opinión de los expertos
Vaya por delante mi más sincero agradecimiento a las desinteresadas y, al mismo tiempo, interesantísimas contribuciones de todos ellos.
Ignacio Paredes (@IParedes), Emiratos Árabes Unidos
Tecnólogo Jefe, Booz Allen Hamilton
Co-fundador y Coordinador Regional para Oriente Medio y Asia, CCI
“En el particular ámbito de la ciberseguridad en entornos industriales, confío en poder ver en 2025 sistemas de supervisión de la seguridad capaces de capturar y correlacionar los eventos que tengan lugar a nivel de planta industrial, con los que ocurran en los dispositivos y equipos de la informática corporativa, con los registrados por los elementos de ciberseguridad y con aquellos que tengan como escenario el mundo físico (disturbios, guerras, tensiones políticas, caídas de la bolsa, …) con el fin de: por un lado, obtener una visión completa del estado de una determinada instalación industrial; y, por otro, de predecir la evolución del riesgo que afecte a la misma”.
Diego Andrés Zuluaga Urrea, Colombia
CISO, ISAGEN
Coordinador Regional para Colombia, CCI
“En diez años preveo una seguridad adaptativa al entorno, en escenarios donde los dispositivos, cada vez más, estarán integrados e hiperconectados. La frontera entre vida laboral y personal cada vez se hace más difusa. El individuo es un solo ser que aporta a diferentes grupos sociales donde se desempeña de una u otra forma. De ese modo, la seguridad deberá entender la información, su clasificación y el contexto en el cual se está usando y, de acuerdo con ello, habrá de contribuir a separar los niveles y profundidad de acceso que cada circunstancia requiera, y a protegerla frente a las nuevas amenazas. Se emplearán, para ello, tecnologías de análisis de datos del entorno y de la información misma, que permitirán adaptarse a las circunstancias.
Asimismo, en mi ámbito profesional más cercano, la industria, yo esperaría que la ciberseguridad estuviese presente ‘por diseño’ en todos los sistemas de control industrial y que fuera tan natural como lo es hoy en las redes corporativas, con sistemas de gestión y mejora continua, liderados desde áreas que entiendan integralmente las necesidades conjuntas de las TO y de las TI. Cabe pensar que, para entonces, los incidentes sobre este tipo de infraestructuras serán habituales y su impacto dependerá de la preparación y resiliencia de las organizaciones que los reciban”.
Patrick C. Miller (@PatrickCMiller), EEUU
Socio-Director, Archer Energy Solutions
Presidente Emérito, EnergySec
“Tal vez parezca una locura; pero creo que, en diez años, uno de los temas que marcará tendencia será la seguridad de Inteligencia Artificial (IA). Estamos acercándonos a la IoT y a la IIoT (Internet Industrial de la Cosas, del inglés ‘Industrial Internet of Things’). Cuando sean una realidad, producirán más datos y presentarán tal complejidad, que la única forma de gestionar los ‘sistemas’ y obtener el valor esperado de ellos será mediante la aplicación de inteligencia artificial. La IA se empleará para administrar y analizar datos; pero, también, para que los sistemas se gestionen a sí mismos, de forma autónoma (por ejemplo, auto-reparación, auto-optimización, etc.). Imagino que los ‘hackers’ comenzarán a explotar la funcionalidad y las debilidades de la IA, así como a utilizar la propia IA para atacar a otros sistemas. Esto dará como resultado una situación en la que tendremos IA frente a IA”.
Robert M. Lee (@RobertMLee), EEUU
Fundador y CEO, Dragos Security
Profesional del Año en el campo de la Ciberseguridad Industrial (EEUU, 2015-16)
“Con respecto a lo que hoy es tendencia y a lo que esperamos ver dentro de una década, estará centrado en el crecimiento e integración de los datos. Justo ahora existe un gran debate alrededor de la IIoT, la convergencia entre las TI y las TO, y el valor que, para las operaciones, pueden tener prácticas como la supervisión de la seguridad de las redes. A lo que creo que forzará todo esto es a un cambio en la forma en que observamos y tratamos los datos de nuestro entorno. Confío en que ello suponga que tendremos un mayor acceso a los datos -léase, más infraestructura gestionada-, más ojos sobre esos datos -por ejemplo, Centros de Operaciones de Seguridad de TI/TO- y que veamos innovación en el modo de obtener datos de forma menos invasiva -por ejemplo, mediante Redes Industriales Definidas por Software-. Creo que esto marcará la tendencia debido a la importancia y al valor de los datos, así como a la implicación de los diferentes interesados y al creciente número de dispositivos conectados a redes dentro del conjunto de los sistemas de control industrial”.
Claudio Caracciolo (@HoleSec), Argentina
Embajador de Seguridad, Eleven Paths/Telefónica Digital Identity & Privacy
Coordinador regional para Argentina, CCI
“Claramente, los modelos de integración entre redes continuarán fusionándose, cada vez más, en la próxima década.
En la industria, los sistemas de control industrial tendrán como requisito de diseño la movilidad para su propia supervisión y control. Además, los conflictos violentos relevantes, como guerras o atentados, que afecten a este tipo de sistemas harán que sea necesario poner en marcha modelos de defensa más eficaces.
En ese sentido, los fabricantes deberán optimizar sus esfuerzos, por lo que contratarán expertos en ciberseguridad para revisar sus productos y redefinir sus procesos. De igual modo, preveo un crecimiento de la actividad consultora en materia de ciberseguridad industrial. Las empresas de servicios de seguridad tendrán mayores conocimientos y contratarán expertos del mundo de las TO y del de la seguridad corporativa para diseñar planes conjuntos de protección de infraestructuras industriales -algunas ya lo están haciendo y, de hecho, creo que esos servicios se convertirán en un producto de uso común en un par de años-.
Finalmente, el concepto de ‘red de auto-defensa’ (del inglés, ‘self-defending network’), promovido, años atrás, por el fabricante estadounidense Cisco, deberá llegar también a los sistemas industriales. Estamos en la etapa de ‘revisión y rediseño’, luego pasaremos por la de ‘prueba/verificación periódica’ y, finalmente, creo que llegaremos al ‘modelo de auto-defensa’”.
Samuel Linares (@InfoSecManBlog), Emiratos Árabes Unidos
Tecnólogo Jefe, Booz Allen Hamilton
Co-fundador y Coordinador Regional para Oriente Medio y Asia, CCI
“La seguridad ‘transparente’: ese es, para mí, uno de los grandes retos de la próxima década.
Tradicionalmente, todas las medidas de seguridad han sido, y son, muy ‘intrusivas’ desde el punto de vista del usuario. Creo que, a largo plazo, todo debería ser, y será, más ‘transparente’. Se tratará de que, aunque la seguridad esté ahí, implantada a todos los niveles, no la notemos; no tengamos que realizar ninguna acción explícitamente, en nuestra calidad de meros usuarios. (Si la cámara de mi ordenador portátil ‘ve’ que soy yo, y ‘nota’ que soy yo, yo no debería tener que hacer nada y, al mismo tiempo, debería resultar autenticado favorablemente).
Un segundo reto será la visibilidad total de las infraestructuras.
La integración, la correlación y la supervisión total de las infraestructuras corporativas, e industriales, integrando -mediante analítica de datos, por ejemplo- toda la información disponible sobre la operación de los procesos productivos (apoyada en sistemas SCADA), la prevención de riesgos laborales, la ciberseguridad, la seguridad física, la seguridad medioambiental, etc.”.
César Cerrudo (@CesarCer), Argentina
CTO, IOActive Labs
Promotor y Miembro de la Junta Directiva, SecuringSmartCities.org
“Es difícil predecir un escenario a diez años, sobre todo cuando se trata de tecnología, ya que todo cambia y avanza muy velozmente.
Lo que si me atrevo predecir es que, en una década, casi todo tendrá software y estará conectado a Internet, o a alguna otra red; incluso, tal vez, nuestro cuerpo o partes de nuestro cuerpo. Esto hará que la ciberseguridad sea más importante que nunca.
En el caso de las ciudades, toda su infraestructura también estará conectada y todo será digital. Los servicios se adaptarán a las necesidades de los ciudadanos en tiempo real gracias a la información recolectada desde miles de sensores y fuentes diversas. La superficie de ataque digital a una ciudad será inmensa; y, seguramente, habrá organismos dedicados específicamente a lidiar con ciberataques a las ciudades y a tratar de mantenerlas seguras”.
Jeimy Cano (@ITInsecure), Colombia
Director, Revista “Sistemas” de la Asociación Colombiana de Ingenieros de Sistemas (ACIS)
Analista Asociado, iTTi
“La ciberseguridad está inmersa en una dinámica internacional volátil, incierta, compleja y ambigua, lo que la hace inestable y cambiante conforme se advierten nuevas formas de convergencia en un mundo digitalmente modificado.
En este sentido, los responsables de esta materia deberán tener claras, al menos, seis habilidades clave para navegar en medio de lo desconocido, recalibrar la estrategia, ubicar el punto al cual quieren ir y mantener el equipo de trabajo en marcha para evitar la parálisis[xiii]:
1. Anticipar cambios en el entorno digitalmente modificado.
2. Retar los supuestos y el statu quo, para pensar de forma no convencional.
3. Interpretar los datos y puntos de vista, más que sólo confirmar la evidencia de sus propias creencias.
4. Decidir qué hacer tras revisar las opciones y tener la capacidad de explorar posibilidades hacia adelante.
5. Alinear los intereses e incentivos de los directivos, basados en diferentes puntos de vista.
6. Aprender de los éxitos y errores a través de laboratorios y pilotos, capitalizando las lecciones aprendidas y por aprender.
En este escenario, la ciberseguridad deberá estar atenta a cambios inesperados y contradictorios que perturben la realidad de sus actuales estándares.
Algunas reflexiones a futuro podrían girar en torno a temas como resiliencia móvil, ecosistemas digitales emergentes o diseño ciberseguro de instalaciones; cada uno de los cuales está asistido por la tendencia de una mayor digitalización de la interacción entre personas y organizaciones; y, particularmente, la de la acelerada convergencia de lo físico y lo lógico a nivel global”.
* *
Ahora mantenga la paciencia. En tan sólo una década podrá comprobar cuántos aciertos y cuántos errores ocultaban estas páginas. ¡Aguarde hasta entonces!
* * *
Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 235, enero-marzo 2016. Referencia: Secciones técnicas. NOVÁTICA 235, pgs.62-67 – "Seguridad digital 2025" – Miguel García-Menéndez.
---------------------------------------------
[i] Gartner, Inc. “Understanding your new role in Digital Security” (Comprender su nuevo papel en la Seguridad Digital). Obtenido vía @iTTiresearch en Twitter. URL (a 2015.11.27) :: https://twitter.com/iTTiresearch/status/608295938185170944
[ii] Dickson, John B. “We need a new word for cyber” (Necesitamos un nuevo término para ciber). Dark Reading (DarkReading.com). 23 de noviembre de 2015. URL (a 2015.11.28) :: http://www.darkreading.com/attacks-breaches/we-need-a-new-word-for-cyber/a/d-id/1323278
[iii] Organización para la Cooperación y el Desarrollo Económico (OCDE). “Digital Security Risk Management for Economic and Social Prosperity. OECD Recommendation and Companion Document” (Gestión, para la Prosperidad Económica y Social, del Riesgo para la Seguridad Digital. Recomendación de la OCDE y Documento de Acompañamiento). OCDE. 17 de septiembre de 2015. URL (a 2015.12.01) :: http://www.oecd-ilibrary.org/docserver/download/9315051e.pdf?
[iv] Scott, John. “What are cyber disruptions costing businesses?” (¿Cuánto les están constando las ciberperturbaciones a las empresas?). Entrevista a Jason Healy, autor del éxito editorial de 2012 “A Fierce Domain, Cyber Conflict 1986 to 2012” (Un Dominio Feroz. Ciberconflictos 1986-2012) y fundador y miembro senior de la Iniciativa de Políticas Cibernéticas del Centro Brent Scowcroft sobre Seguridad Internacional del gabinete de análisis estratégico estadounidense The Atlantic Council. Aparecida en “Agenda” del Foro Económico Mundial. 26 de octubre de 2015. URL (a 2015.11.29) :: https://agenda.weforum.org/2015/10/what-are-cyber-disruptions-costing-businesses/
[v] Kleinman, Zoe. “Children's electronic toy maker Vtech hacked” (El fabricante de juguetes electrónicos para niños, Vtech, ‘hackeado’). BBC News/Technology. 27 de noviembre de 2015. URL (a 2016.04.06) :: http://www.bbc.com/news/technology-34944140
[vi] Yadron, Danny. “Fisher-Price smart bear allowed hacking of children's biographical data” (El osito inteligente de Fisher-Price permitía el ‘hackeo’ de datos biográficos de los niños). 2 de febrero de 2016. URL (a 2016.04.06) :: https://www.theguardian.com/technology/2016/feb/02/fisher-price-mattel-smart-toy-bear-data-hack-technology
[vii] Calder, Alan P. “Cyber security is no longer sufficient to ensure business sustainability. Cyber resilience should become the new boardroom priority” (La ciberseguridad ya no es suficiente para asegurar la sostenibilidad del negocio. La ciberresiliencia debería convertirse en la nueva prioridad del consejo de administración). Obtenido vía @info_CCI en Twitter. URL (a 2016.04.07) :: https://twitter.com/info_CCI/status/582441048112304128
[viii] Foro Económico Mundial. “The Global Risks Report 2016” (El Informe de Riesgos Globales 2016). En su página 13, figura 1.2, señala los cinco riesgos de mayor preocupación para los próximos diez años, según la Encuesta de Percepción de Riesgos Globales realizada en 2015. 14 de enero de 2016. URL (a 2016.04.07) :: http://www3.weforum.org/docs/Media/TheGlobalRisksReport2016.pdf
[ix] Dobbs, Richard; James Manyika, and Jonathan Woetzel. “The four global forces breaking all the trends” (Las cuatro fuerzas globales que están rompiendo todas las tendencias). McKinsey & Company (McKinsey Global Institute). Abril de 2015. URL (a 2016.04.07) :: http://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/the-four-global-forces-breaking-all-the-trends
[x] ENISA. “National Cyber Security Strategies in the World” (Estrategias Nacionales de Ciberseguridad en el Mundo). Agencia Europea para la Seguridad de las Redes y la Información (ENISA). Abril de 2015. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-world
[xi] The White House. “International Strategy for Cyberspace. Prosperity, Security and Openness in a Networked World” (Estrategia Internacional para el Ciberespacio). La Casa Blanca, Washington (EEUU), mayo de 2011. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/international-strategy-for-cyberspace/at_download/file
[xii] Spencer Stuart. “International comparation” (Comparativa internacional). Extracto y comparativa de la serie “Board Index 2015” (Índices de los Consejos 2015), 2015. URL (a 2016.04.07) :: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/international-strategy-for-cyberspace/at_download/file
[xiii] Krupp, Steven and Paul J. H. Schoemaker. “Winning the long game. How strategic leaders shape the future” (Ganar en el largo plazo. ¿Cómo moldean el futuro lo líderes estratégicos?). PublicAffairs. 2 de diciembre de 2014. URL (a 2015.12.01) :: http://www.amazon.com/Winning-Long-Game-Strategic-Leaders/dp/161039447X
[xii]
