Este experto, docente de la maestría en Ciberseguridad de UNIR México, es autor del libro ‘CiberMéxico: Resiliencia en el Ciberespacio’, sostenido en su tesis doctoral.
Las empresas y los particulares se exponen a diario a ataques cada vez más sofisticados de los ciberdelincuentes. Los hackers y piratas informáticos perfeccionan sus técnicas a nivel global para cometer delitos, y obviamente México no está exento de esta tendencia.
Este tipo de acciones son cada vez más frecuentes, especializadas, complejas, silenciosas, coordinadas y, desafortunadamente, inevitables. Por ello, los sucesos que ocurren a diario en el país y en el mundo demuestran que todos podemos ser víctima de un ciberdelito. Incluso, las compañías, instituciones y organismos de mayor envergadura, que cuentan con estructuras importantes para combatir estos riesgos, deberán enfrentar -en algún momento- ciberincidentes de menor o mayor magnitud.
Estas son algunas de las conclusiones del libro ‘CiberMéxico: Resiliencia en el Ciberespacio’, publicado por Arturo García Hernández, mejor conocido en el medio como ElProfeSeguro, quien es Doctor en Defensa y Seguridad Nacional por parte de la Universidad Naval en México. Este experto en la materia, quien es docente en la Maestría en Ciberseguridad de UNIR México, tiene varias certificaciones internacionales como DSE, CISSP y CISM. Asimismo, labora en Banco de México y participa frecuentemente como conferencista en diversos y calificados foros.
En la siguiente entrevista, se desglosa el contexto, características y otros matices sobre un tema que resulta cada vez más esencial en la vida de las personas y el funcionamiento de las organizaciones:
La necesidad de repensar las estrategias y medidas de ciberseguridad tradicionales
Pregunta: -Su publicación se sostiene en su tesis doctoral. ¿Qué le llevó a indagar sobre este tema?
Respuesta: -Llevo estudiando y practicando la ciberseguridad por casi 30 años. He visto cómo se ha desarrollado, evolucionado y al punto al que ha llegado. Actualmente vemos dos características en los incidentes en el ciberespacio: inevitabilidad y escasez. Me refiero a inevitabilidad porque -en algún momento- una organización será víctima de un ciberincidente. Y la escasez tiene que ver con los recursos para contenerlo. Por más grande y preparada que se encuentre una organización en su nivel de ciberseguridad, sufrirá de manera inevitable un ciberincidente. Y es probable que su magnitud sea considerable: seguramente tendrá limitantes en personas, tiempo y recursos económicos. Este escenario nos debe hacer repensar las estrategias y medidas de ciberseguridad tradicionales. No quiero decir que estén mal, pero ciertamente resultan insuficientes. Hay que dar un paso más allá. Partiendo de esta premisa, llegué a lo que se conoce como ciber-resiliencia. Es un concepto complementario a la ciberseguridad, e indispensable hoy en día para ofrecer una protección integral en el ciberespacio.
P: -¿Podría enunciar las características y coyuntura de México en este aspecto, al que hace objeto de análisis?
R: -Si bien el libro se centra en la realidad de México, en el tema de ciberseguridad (donde analizó diversos campos y escenarios particulares de este país a nivel político, económico, social, militar, diplomático y tecnológico) muchas de las características son prácticamente las mismas para cualquier nación. El libro contiene un capítulo dedicado a reflexiones teórico-prácticas sobre las categorías de análisis, el cual es sustentado con base en la metodología de Teoría Fundamentada. De esta manera, elaboro una discusión virtual entre distintos participantes con amplia experiencia, incluso de diversas nacionalidades. Con esto deseo enfatizar que el contenido es aplicable a cualquier país.
P: -En el libro habla de que esta es “una aportación crítica para la construcción de un ambiente armónico para la protección del ciberespacio en el entorno de infraestructuras críticas”. ¿Podría explicar este concepto?
R: -Me refiero al análisis riguroso y crítico que ejecuto para poder identificar lo que se está haciendo bien y lo que podría mejorarse desde un punto de visto teórico-práctico de alto nivel. Mi deseo es que las revisiones y aportaciones que presento construyan ese ambiente armónico donde pretendo incorporar estrategias innovadoras. También, que se mantengan las que han funcionado y se prioricen algunas otras en este entorno complejo que requiere soluciones efectivas y eficientes. Esto se vuelve de vital importancia cuando estamos protegiendo infraestructuras críticas. Una falla de magnitud considerable tendrá efectos perjudiciales en los servicios y bienes que se prestan en un país. De no contenerse a tiempo el incidente, se tendrá un efecto multiplicador adverso en varios ámbitos de la vida nacional. Es importante señalar que mi trabajo está enmarcado en conceptos de Seguridad Nacional. De hecho, al inicio de la obra busco socializar el concepto de Seguridad Nacional, el cual en ocasiones está asociado únicamente a las Fuerzas Armadas, siendo que es un tema que debería ser de conocimiento de toda la población.
P: -Usted afirma que en el libro (que es su segunda publicación sobre el ámbito de la ciberseguridad) analiza la ciber-resiliencia de manera profunda. ¿En qué sostiene esta afirmación?
R: -En mi primera publicación ‘CiberMéxico: Voluntades y Acciones en el Ciberespacio’ tuve por objetivo analizar la posición de México en varios índices internacionales a lo largo de más de una década. En esta obra, identifiqué que se tenía gran voluntad para mejorar la ciberseguridad nacional, pero lamentablemente eran pocas acciones que respaldan dicha voluntad de forma concreta y continua. A este respecto, identifiqué varias actividades que se podrían construir y enfatizar la ciberseguridad nacional antes de la ocurrencia de un incidente. En esta segunda obra, partí de manera complementaria. Es decir, pensar que ese incidente de gran magnitud ya ocurrió. Por tanto, ahora me pregunté cuáles deberían ser las acciones, áreas y recursos más importantes para enfrentarlo de manera exitosa.
Para ello, fue indispensable estudiar con profundidad la resiliencia, concepto que precisamente está dirigido a enfrentar una situación adversa que ocurre posiblemente de manera inesperada. En cuanto a la aplicación de este concepto en el ámbito del ciberespacio, me encontré que la ciber-resiliencia generalmente se utiliza de forma parcial, dejando fuera la fase más importante de la resiliencia: la adaptación. La ciber-resiliencia va más allá de la continuidad del negocio, del regreso a operaciones lo antes posible. Adicionalmente, hay que pensar qué procesos habrá que modificar y adaptarlos para enfrentarse a una nueva realidad.
Ciber-resiliencia, o cómo trabajar de forma preventiva para mejorar la fase reactiva
P:- También indica que al concepto / idea de ciber-resiliencia tradicionalmente se le ha dado una connotación eminentemente reactiva. No obstante, usted la complementa en su investigación con una visión más preventiva. ¿Cómo y por qué?
R: -Si bien la ciber-resiliencia nos lleva al punto de que ya ocurrió el incidente, al analizar el desarrollo de un evento adverso también identificamos fases de preparación, contención y reacción inmediata. Fases que impactan de manera directa la forma en que se va a enfrentar dicha situación. Por ello, me enfoqué en las características de esas fases que contribuían de manera prioritaria cuando sucedía ese evento. Esto es, trabajar de forma preventiva para mejorar la fase reactiva.
P: -Qué conclusiones más interesantes del trabajo querría destacar sintéticamente?
R: -Entre las conclusiones de la obra, me gustaría destacar las siguientes en términos de ciber-resiliencia en su fase adaptativa:
- El elemento humano resulta esencial en el momento de la ocurrencia de un incidente, sobre todo en las llamadas “habilidades blandas” como liderazgo, innovación, empatía, flexibilidad, etc. Curiosamente casi en ningún estándar sobre ciber-resiliencia o ciber-seguridad se hace suficiente énfasis en estas competencias. ¿Cómo reaccionará una persona ante un ciberincidente de gran magnitud? Esto puede marcar gran diferencia en el futuro inmediato de la organización.
- La gobernanza es indispensable para marcar el futuro ante un evento complejo, incierto y repentino. Se debe contar con un marco sólido, que dirija las acciones de contención, así como marque el rumbo y directriz de las acciones a seguir en momentos de crisis. La falta de gobernanza facilitará el caos.
- El ciberespacio es un ambiente tan complejo que requiere que sea analizado de forma interdisciplinaria. Por ejemplo, los incidentes no se pueden atender solamente vía tecnología o legislación. Se requiere que participen activamente personal que pueda aportar desde diferentes puntos de vista como por ejemplo desde la parte societal, económica, política o militar.
P: -También habla en el libro de la necesidad de “fortalecer aspectos indispensables para afrontar y subsistir de manera más efectiva a un fenómeno catastrófico”. Si bien está convencido de la importancia de contener y responder lo antes posible ante un incidente, considera que la adaptación a mediano y largo plazo en un nuevo entorno generado por dicho evento es un tema primordial. ¿Por qué?
R: -Como he comentado, las actividades de contención y respuesta inmediata son de vital importancia, pero no son suficientes ante la problemática actual, donde los ataques de alto impacto originados en el ciberespacio son cada vez más frecuentes, más especializados, más complejos, más silenciosos, más coordinados y, desafortunadamente, inevitables. Por ello, la ciber-resiliencia aporta elementos complementarios, sobre todo para la fase adaptativa, que pueden marcar una diferencia notable entre un futuro catastrófico y un regreso a las operaciones sostenido a largo y mediano plazo. Habrá que recordar la cita atribuida a Charles Darwin: “No sobrevive la especie más fuerte, sino la que mejor se adapta a los cambios”. Lo mismo ocurre en el ciberespacio tras un incidente de alto impacto.
P: -¿Cómo ha sido acogido este trabajo? ¿Está conforme con las repercusiones?
R: -He presentado esta obra a nivel académico, en el sector público y privado, y ha tenido muy buena aceptación. Debo decir que ha sido de gran interés ya que elabora sobre un tema actual, recupera visiones de profesionales de alta reputación y presenta aportaciones innovadoras. Cabe señalar que todos los conceptos tienen referencias que pueden ser consultadas abiertamente, buscando que el lector no se conforme con mi postura, sino pueda revisar las de otros colegas. Asimismo, el libro trata de evitar la monotonía. Los temas son presentados con diagramas para facilitar su entendimiento. No se necesita ser experto para comprender los conceptos expuestos. Basta con tener interés en conocerlos. Finalmente, la obra está basada en mi filosofía personal que dicta “La teoría potencializa la práctica, y viceversa”. Podrán encontrar ambas en el libro, lo cual enriquece claramente el tema.
Cómo medir el nivel de ciber-resiliencia de un país
P: -¿Cuál cree que es el aporte diferencial máximo que trae su mirada con esta investigación?
R: -Este es un libro que conjunta la teoría avanzada que corresponde a un posgrado nivel doctoral y mi experiencia práctica por varias décadas, un distintivo a otros trabajos. La suma de ambas es necesaria y complementaria. De manera particular, menciono dos aportaciones innovadoras que presento en mi trabajo:
- El Índice de Madurez del Ciberpoder Nacional” (IMCN), el cual está basado en 10 diferentes índices de alta reputación a nivel internacional que han sido aplicados durante más de 10 años. Con base en ellos, identifiqué los elementos que valoran, los comparé y los agrupé en 6 campos de la vida nacional, obteniendo un total de 76 elementos, que son evaluados mediante un nivel de madurez de 0 a 5. El IMCN es aplicable a cualquier nación. Yo evalué México con base en información pública, entrevistas y cuestionarios. Los resultados son por demás interesantes.
- El Cubo de Ciber-Resiliencia (C2R) es la base de mi modelo sistémico para medir el nivel de ciber-resiliencia de un país, el cual está conformado por 3 ejes: nivel de interrelación de ciberseguridad, fases de un evento disruptivo y campos de la vida nacional. Evalúo cada plano del cubo, el cual me da una representación del perfil de ciber-resiliencia. Podría parecer complejo, pero al final el resultado es simple: entre mayor es el volumen del cubo, mayor nivel de ciber-resiliencia. Entre más denso (es decir, menos porosidades), más sólido y por tanto menos vulnerable.
P: -¿La formación de profesionales actuales es suficiente para atender temas como la ciber-resiliencia, o hacen falta muchas más cosas y elementos?
R :-El tema de la ciber-resiliencia sistémica aún está en investigación, pero va avanzando con trabajos de investigación a nivel internacional. Muestra de ello son las decenas de publicaciones a las que refiero en mi libro, con autores de alta reputación sin sesgos comerciales. Lamentablemente en mi trayectoria profesional me he encontrado fallas en la correcta comprensión de los conceptos de ciberseguridad y ciber-resiliencia. En el libro pongo a disposición un análisis de ellos, el cual deja en claro las diferencias y similitudes entre ambos.
La formación de profesionales al momento está enfocada primordialmente a la protección preventiva y de reacción inmediata más cercana a la ciberseguridad, algo que es una tarea de por si compleja, extenuante y de misión crítica. La ciber-resiliencia sistémica es un paso más allá de esas primeras fases, no por eso más importante, sino buscando aportar elementos complementarios para la protección integral.
P: -¿Cómo y por qué UNIR México prepara con formación específica a los profesionales en este tema?
R: -UNIR está preparando a los profesionales para atender este tema mediante cursos de posgrado en temas de ciberseguridad y seguridad informática. Las clases impartidas por profesionales en el campo, contribuyen definitivamente mediante sus cátedras a la formación de los alumnos; no obstante, aún hay mucho espacio para incorporar actividades adicionales al esquema planteado. Adicionalmente, propondría ir un paso más allá y fomentaría una clase de posgrado exclusivamente sobre ciber-resiliencia sistémica.
P: -¿Cuáles son los próximos y grandes retos en esta materia?
R: -El objetivo es alcanzar una ciber-resiliencia sistémica, ya que la ciber-resiliencia total del sistema será igual a la menor ciber-resiliencia de un elemento que participa en dicho sistema. En otras palabras (y de forma a lo mejor extrema): si un elemento del sistema del cual dependas para completar tu servicio (por ejemplo, un proveedor clave en la cadena de suministro) tiene una resiliencia baja o nula, no importará si su organización tiene un alto nivel de resiliencia. La resiliencia del sistema completo tendrá una resiliencia casi nula. Me parece que este enfoque sistémico aún falta estudiarlo con profundidad; no obstante, es esencial cuando hablamos de la resiliencia en el ciberespacio. El alto nivel de interconexión lo demanda, y esto es un gran reto.
El libro “CiberMéxico: Resiliencia en el Ciberespacio” está disponible en la tienda Amazon, tanto en pasta blanda como en formato electrónico (kindle): https://tinyurl.com/mmd7cbr
