No toda tecnología nueva, por novedosa o rupturista que sea, se convierte en disruptiva. La definición de tecnología disruptiva implica, por sí misma, un profundo impacto en los patrones de uso sociales, llegando a generar, de una u otra forma, cambios comportamentales en la vida de las personas (Clayton M. Christensen, 1995).
Así, hay elementos clave que subyacen a esta definición: accesible a amplios estratos de la población, motor de la modificación de comportamientos, generadora de nuevas especialidades formativas y profesiones y, por ende, creadora de desafíos en su gestión.
El mapa de las tecnologías disruptivas
Son múltiples las enumeraciones de tecnologías disruptivas, o llamadas a serlo, que podemos encontrar en la actualidad.
Los servicios en la nube facilitan el almacenamiento más allá de la propia capacidad de los dispositivos físicos empleados en nuestras actividades. Una utilidad que en el entorno corporativo ha permitido el acceso a los servicios internos desde cualquier dispositivo y parte del mundo.
La tecnología 5G o el blockchain se caracterizan por facilitar la interconectividad de todo tipo de dispositivos y la compartición de información a alta velocidad.
La videoidentificación permite realizar desde controles de accesos a la gestión de identidades en remoto, tareas altamente sensibles por la idiosincrasia de los datos gestionados.
El metaverso o la Web3 están llamados a facilitar la coexistencia de una multiplicidad de identidades asociadas a una sola persona que interactúa en diferentes entornos, físicos y digitales. Se pondrá entonces a prueba la capacidad de conectar entornos virtuales, personas, avatares, dispositivos, aplicaciones y organizaciones en tiempo real y de forma segura.
Las ciudades inteligentes, por su parte, están brindando una creciente capacidad de interconectar más aún nuestros diferentes roles, personales y profesionales, de salud y comunitarios, de movilidad y entretenimiento, actuando al unísono las tecnologías de la comunicación y de la información, personales, organizacionales y de entorno.
Su entendimiento en términos de seguridad
Bajo este panorama, al igual que se plantean la OTAN y otros múltiples organismos, el citado cambio que estas tecnologías generan en el mundo ha de ir acompañado de una modificación en el mundo respecto a su entendimiento y necesidad de afrontar los riesgos derivados.
Es en este punto donde nos paramos a reflexionar sobre la creciente ciberexposición a la que día a día nos enfrentamos, que está al alza como consecuencia de la adopción de tecnologías disruptivas y de la celeridad con que muchas de ellas han irrumpido en nuestra vida como consecuencia de la pandemia (teletrabajo, aumento del bring your own device, incremento de las migraciones forzosas a sistemas cloud…). Un desafío que, como organizaciones, nos sigue dejando en estado de noqueo en muchas ocasiones.
Frente a la celeridad con la que se desplegaron y se siguen implementando algunas de estas tecnologías, la principal variable a considerar está siendo garantizar la disponibilidad de los activos, al ser un indicador que impacta de manera directa en la operativa, tanto de la gestión como del negocio.
Como resultado, nos estamos encontrando cada vez más organizaciones que se muestran inciertas cuando se les pregunta sobre la posibilidad de tener activos expuestos. Y es que hay varios factores que siguen jugando en contra de un aseguramiento total de la exposición.
Muchas organizaciones se encuentran actualmente recopilando información acerca de su perímetro para poder evaluar si tienen agujeros de seguridad. Vulnerabilidades de Zero Day como log4j se propagaron como un incendio global, y no se descarta que pudieran haber sido remediadas con anticipación si las organizaciones hubiesen tenido mayor control sobre la exposición de los activos, una mejor monitorización activa y procedimientos de respuesta adecuados a este nuevo contexto.
La realidad es que la instantaneidad con la que estamos incluyendo no solo meros avances, sino tecnologías disruptivas, a nuestra actividad diaria está dejando de lado su entendimiento. Además, se desproveen a las áreas técnicas encargadas de su protección de un mínimo como es tener claramente identificado y analizado cada nivel de exposición.
Por esta razón creemos firmemente en la necesidad de dotar a los profesionales, que finalmente son quienes tienen a sus espaldas semejante tarea, de un análisis dinámico ágil que permita comparar los hallazgos de una detección proactiva del entorno con el inventario existente en la organización.
El objeto es incluir de la forma más ágil posible las diferentes vulnerabilidades que se puedan detectar en los procedimientos de respuesta ante incidentes de forma transparente
Al respecto, cuando hablamos de una detección proactiva del entorno nos referimos a activos, sin duda, pero también a toda aquella información interna que, de una u otra manera, pueda resultar una vulnerabilidad a explotar en nuestra contra: desde estructura expuesta, dominios accesibles o credenciales filtradas hasta documentación interna que es visible, información que pueda comprometer a nuestros empleados (cabe pensar no solo en la alta administración) o divulgaciones que puedan poner en riesgo de hackeo alguna de nuestras tecnologías, entre otras.
El análisis que se plantea es amplio y, efectivamente, ha de ser continuo, ágil y automáticamente trasladado al mapa de vulnerabilidades gestionado por los diferentes equipos: ciberseguridad, seguridad física y lógica, arquitectura y desarrollo, IT, fraude…
La ciberexposición como cultura de seguridad
Aquí es donde podemos volver al inicio de esta conversación, a los comportamientos humanos y organizacionales; y a cómo estos se ven modificados a tenor de la adopción de tecnologías disruptivas más allá de lo que nuestros planes podrían haber contemplado. Por ello, es más necesario que nunca fortalecer nuestra seguridad, siendo conscientes de que la seguridad es, sobre todo, cultura. Y como toda cultura, para que una mejora se extienda y sea interpretada como necesaria, ha de emanar de arriba hacia abajo.
Incorporar la ciberexposición como uno de los indicadores imprescindibles en las estrategias de seguridad será posible solo si cuenta con un apoyo claro y directo de la alta dirección.
