En el CYBER SECURE NATION CONFERENCE la Escala Sí Importa

Durante los meses de junio y julio de 2023 estará abierta la convocatoria de ponencias para el CYBER SECURE NATION 2023.
Registra tu ponencia aquí

El propósito de este artículo es distinguir entre estas tres escalas y así categorizar las ponencias en el evento. Llevándolo más allá, también tiene la finalidad de servir como guía de clasificación para el estudio y conversación en esta materia.

Escala Personal

Imagina que un amigo se acerca contigo, sabiendo que eres experto en (SIyC). Te abordan para que los orientes con un planteamiento directo: ayúdame a protegerme de los cibercriminales.

Inicias identificando los dispositivos que utiliza, así como los activos de información a proteger. Haces una lista de sus cuentas en redes sociales, aplicaciones web y aplicaciones móviles. Finalmente, le sugieres controles para mitigar los riesgos más importantes.

Seguramente lo orientarás a utilizar un gestor de contraseñas, manejar contraseñas complejas y doble factor de autenticación donde sea posible. Le ofrecerás un entrenamiento básico para resistir ataques de ingeniería social y dependiendo del caso le recomendarás algunos controles más.

Siguiendo con esta ilustración, resulta que este amigo cambia de empleo. Como ahora se siente muy seguro con las recomendaciones que le hiciste y que ha puesto en práctica, te pregunta lo siguiente: ¿Si comparto tus recomendaciones a los 200 colaboradores de la empresa donde ahora trabajo, con eso queda asegurada la organización?

Definitivamente, la respuesta es no. Esto es muy evidente para los profesionales de la SIyC que conocen marcos de referencia y sistemas de gestión tales como CIS Controls v8, NIST Cybersecurity Framework Version 1.1 e ISO/IEC 27001:2022, por mencionar algunos de los más importantes.

Estos estándares internacionalmente reconocidos evidencian un aspecto de la Seguridad de la Información y Ciberseguridad: las amenazas y los controles necesarios para mitigar los riesgos cambian conforme cambia la escala de lo que se desea proteger. En pocas palabras: la escala sí importa.

En el CYBER SECURE NATION CONFERENCE encontrarás ponencias dirigidas específicamente a la Escala Personal con la finalidad de orientar a todas las personas sobre las medidas esenciales para proteger sus dispositivos, información y privacidad en el ciberespacio.

Escala Organizacional

Es en la Escala Organizacional donde encontramos el mayor acervo de literatura, estándares, certificaciones, entrenamientos, expertos y tecnología. ¿Por qué? Porque han sido las empresas, instituciones financieras y dependencias gubernamentales las más atacadas por los cibercriminales.

En respuesta a las pérdidas y daños incurridos, han evolucionado desde diferentes perspectivas los diversos marcos de referencia y sistemas de gestión de la seguridad de la información (SGSI). Se ha conformado además una industria de tecnología de ciberseguridad cuyos productos y servicios se orientan principalmente hacia las organizaciones.

Aún cuando todavía hay retos significativos para lograr un nivel adecuado de ciberseguridad en las organizaciones, es en esta escala donde se ha dado el mayor avance.

Para fijar el rumbo, las organizaciones articulan una visión y desarrollan la estrategia para materializarla. Luego vienen las metas y objetivos que dan soporte a la estrategia. Finalmente se llega a las acciones y procesos que llevan al cumplimiento de los objetivos.

Durante todo ese trayecto se prioriza lo más importante, lo cual implica juicios de valor. Las organizaciones toman decisiones que privilegian un valor sobre otro. Hay una pregunta que continuamente está presente: ¿Qué es más importante para nosotros? De esta manera se decide entre:

Velocidad en salir al mercado vs. Seguridad
Economía vs. Seguridad
Operación vs. Seguridad

Cuando una organización decide no integrar al equipo de Seguridad desde la identificación de requerimientos de una aplicación, sino hasta que están próximos a liberarla en producción para terminar más rápido, es un ejemplo donde prevalece la velocidad de salir al mercado (time to market).

Frente a la decisión de compra entre varias opciones donde hay algunas que ofrecen mejor seguridad pero son más costosas, los valores economía y seguridad se contraponen.

En ocasiones es preciso realizar cambios en el ambiente de producción por razones de seguridad. Esto puede estar motivado por la identificación de una vulnerabilidad crítica. La velocidad con la que estos cambios se realizan es indicativo de cómo se valora la Seguridad frente a la continuidad de la operación.

Considerando lo anterior, me atrevería a afirmar que: “la organización que no es segura, es porque así lo decidió, no porque sea imposible lograrlo”.

Podríamos además aseverar que poco menos de la totalidad de los profesionales en esta disciplina colaboran en una organización y aplican sus conocimientos en la Escala Organizacional. En consecuencia, su conceptualización de la seguridad se determina por los paradigmas centrados en esta escala.

Aún cuando existen principios y conocimientos válidos en la Escala Organizacional que se trasladan a la Escala Nacional, hay otros campos adicionales que deben ser investigados y desarrollados.

En el CYBER SECURE NATION CONFERENCE dedicaremos un día entero a la Escala Organizacional y otro más a la Escala Nacional, subrayando la distinción entre estos dos ámbitos con el propósito de dar mayor claridad a los interesados en desarrollar el campo de conocimiento de esta última.

Escala Nacional

En la Escala Organizacional el alcance son los límites de una organización, que puede ser una empresa, institución educativa o una dependencia de gobierno de cualquier nivel. En la Escala Nacional el alcance es la nación entera. No sólamente el gobierno, o las fuerzas armadas, o las empresas. Es todo, incluyendo a todos los ciudadanos y sus organizaciones. Es decir, la Escala Nacional contiene a todas las personas y activos informáticos de una nación.

Si consideramos como parte integrante de la Escala Nacional a todo lo que se encuentra sobre la Escala Organizacional entonces podemos proponer la siguiente progresión simplificada:

1. Escala Organizacional

2. Seguridad Colaborativa

3. Seguridad Pública

4. Seguridad Nacional

5. Escala Nacional

Por Seguridad Colaborativa nos referimos al conjunto de regulaciones, acuerdos, controles y procedimientos que ofrecen una capa adicional de ciberseguridad a una agrupación de organizaciones. Es frecuente encontrar iniciativas de Seguridad Colaborativa en empresas de un mismo giro, como los bancos o compañías aseguradoras. También es común entre operadores de la Infraestructura Crítica Nacional. Algunos esfuerzos llegan a tal nivel de integración que se llegan a formar Equipos de Respuesta a Incidentes de Seguridad (CSIRT por sus siglas en Inglés) enfocados en estas agrupaciones.

Podemos también clasificar como Seguridad Colaborativa los esfuerzos a lo largo de una cadena de valor y las relaciones subsidiarias de Entidades Federativas con Gobiernos Municipales.

La Seguridad Pública y Nacional se refieren al ámbito de competencia propios de las instancias de los gobiernos federales y entidades federativas que tienen tales responsabilidades a su cargo. Las acciones de prevención y contención de delitos y ataques tanto de criminales como de otros estados nacionales corresponden a esta clasificación.

Finalmente las iniciativas de Seguridad de la Información y Ciberseguridad de Escala Nacional van más allá de la Seguridad Colaborativa, Seguridad Pública y Nacional. Implican otros aspectos, de los cuales hablaremos en el CYBER SECURE NATION CONFERENCE.