SEGURIDAD Y DEFENSA

Comunicación presentada al IV Congreso de Ciudades Inteligentes

Autor

• Manuel Sánchez Gómez-Merelo, Presidente Grupo Estudios Técnicos (GET) y Director de programas de Protección de Infraestructuras Críticas, Instituto General Gutiérrez Mellado (IUGM-UNED)

Introducción

Este es un proyecto multidisciplinar planteado hacia los retos y demandas de cada entorno, diferenciando las necesidades de la Administración, de la industria y de los usuarios, desde la transversalidad de la “Gestión de la Seguridad Integral e Integrada” y como un proyecto de “Convergencia de la Seguridad Física y la Segundad Lógica”.

Está basado, principalmente en:

• Las necesidades del gobierno para poder: crear conciencia sobre la importancia de la seguridad; confianza de que se tiene suficientes recursos y prácticas para proteger las redes públicas, así como suficiente información para permitir la respuesta en situaciones de emergencia.
• Las necesidades de la industria para poder: ofrecer seguridad para los sistemas y los servicios; brindar garantías y satisfacción al cliente, y ofrecer confianza y rentabilidad.
• Las necesidades del usuario para poder: tener confianza en los medios de información y comunicación; prevención y protección ciudadana; seguridad y privacidad de su información.

Todo ello, con un carácter y objetivo multidisciplinar, generando acciones para: Incrementar la sinergia entre todas las partes interesadas como entes de vigilancia y control, entes de políticas y regulación, empresas y usuarios. Impulsar el desarrollo de normas compatibles a nivel global. Concienciar sobre las vulnerabilidades para proveer protección en forma independiente sobre las amenazas que están constantemente cambiando y pueden ser desconocidas.

El nuevo rol de las ciudades inteligentes, verdadero reto del siglo XXI. De manera general, el éxito futuro de las ciudades inteligentes radica en una especial planificación global y estratégica, con una visión de conjunto que incluya y coordine todas las áreas.

Esto ha de ser entendido como un verdadero proceso de gestión del cambio, hacia la transformación de la ciudad, planteado con una visión a medio-largo plazo y en el que formen parte todos los grupos de interés que confluyen en ella y en el que tampoco hay que olvidar la relación con el territorio y con el entorno próximo.

Una ciudad no será inteligente si no integra la triple vertiente del desarrollo sostenible aprovechando la oportunidad que los avances tecnológicos nos proporcionan.

Una sostenibilidad de las tres vertientes de forma coordinada: sostenibilidad económica, sostenibilidad ambiental y sostenibilidad social. De modo que todas las actuaciones proporcionen beneficios o mejoras en cada una de ellas.

En este sentido, las nuevas tecnologías y herramientas tecnológicas, las TIC, han de ser los instrumentos que han de posibilitar y facilitar ese salto cuantitativo y cualitativo hacia una mayor eficiencia y sostenibilidad.

Una ciudad Inteligente se consigue no meramente por acciones puntuales, sino por aplicación de una visión global a largo plazo. Hoy día estamos siendo testigos de cómo muchas ciudades se suben a la “moda” de las ciudades inteligentes o Smart City a través de la adopción o puesta en marcha de pequeños proyectos o iniciativas que incluyen algún proceso o simplemente una app tecnológica para incorporar el sello “inteligente” a sus denominaciones.

Pero tiene que haber algo más, una voluntad y un esfuerzo conjunto por acometer y gestionar ese proceso de cambio de forma real, rigurosa y con una amplia visión global de los objetivos.

A nivel internacional y nacional, las ciudades que así lo hacen logran un mayor nivel de implementación y obtienen mejores resultados de gestión, optimización de recursos y eficacia. Generan a su vez una ventaja competitiva frente a otras, siendo capaces de atraer más inversión y financiación (pública y privada) lo que redunda en mayores beneficios para las ciudades y sus ciudadanos, convirtiéndose en referencias a seguir.

Lo cierto es que alrededor de las llamadas ciudades inteligentes se está creando todo un ecosistema de trabajo conjunto entre ciudades, empresas, centros del conocimiento e investigación, nichos de emprendimiento, etc. y de importante transferencia de conocimiento y experiencia en muchos ámbitos y que está dando sus frutos.

Además, existe una fuerte inversión privada, principalmente por empresas del ámbito tecnológico, que llevan apostando por ello tiempo atrás con nuevas y específicas líneas y divisiones de negocio que están proporcionando soluciones en las ciudades, así como la aparición de nuevos nichos de mercado, en los que por ejemplo el Big Data, Open Data y el Data Mining, etc. se perfilan, como algunos expertos mencionan, como un nuevo sector económico: la economía de los datos.

Proyecto

El esquema de contenido del proyecto es el siguiente: Control y Gestión, Seguridad y Emergencia, Vigilancia y Seguridad Ciudadana, Sanidad y Salud, Transporte Urbano y Metropolitano y Servicios al ciudadano.

Control y gestión

Como primer objetivo del proyecto se trata de establecer una plataforma integral e integrada de control y gestión de las infraestructuras objeto de convergencia partiendo de la incorporación igualmente de los sistemas de análisis y evaluación de los riesgos, amenazas y vulnerabilidades identificadas y clasificadas en cada infraestructura, plataforma igualmente integrada para su evaluación permanente.

Seguridad y emergencia

Dado que el crecimiento de nuestras ciudades provoca que la gestión de la seguridad pública sea más compleja, para asegurarla es necesaria la coordinación de una gran cantidad de recursos disponibles que obligan al establecimiento de sistemas y metodologías de gestión en tiempo real y la optimización de los recursos.

Cualquier aplicación que integremos en la plataforma de gestión ayudará a optimizar la capacidad, y el tiempo de respuesta de los servicios de seguridad y emergencia será de gran utilidad en el ámbito de las ciudades.

Los servicios de seguridad y emergencias, como en ESPAÑA el 112, están diseñados bajo un criterio de servicios múltiples que permite integrar operativamente todos los medios y recursos implicados en este tipo de situaciones.

Los procedimientos determinan también los intercambios de información necesarios para conocer, en todo momento, el desarrollo de la gestión de la incidencia en un modelo del servicio que se desarrolla en dos niveles: RECEPCIÓN, ATENCIÓN Y GESTIÓN de las llamadas y MOVILIZACIÓN Y GESTIÓN de los recursos para atender adecuadamente las emergencias.

Vigilancia y seguridad ciudadana

En este punto, las aplicaciones pueden abarcar desde los servicios básicos de videovigilancia centrados en controlar determinadas zonas, a aplicaciones inteligentes que aseguran el control de los eventos masivos, a través de sensores que localizan y pueden identificar personas, objetos y vehículos como ayuda para la previsión de situaciones de aglomeración o incidentes. Para el caso de incendios se combinarían redes de sensores que ayudan a detectar de manera temprana este tipo de incidentes, así como redes de comunicación que permiten contactar con los centros de emergencia e intervención de manera inmediata, y así resolver la extinción del incendio en su desarrollo inicial.

Sanidad y salud

En planteamientos territoriales descentralizados, diversas entidades de sanidad y salud pueden participar en la GESTIÓN DE LA ATENCIÓN PRIMARIA y, por lo tanto, encuentran en la tecnología un aliado para ofrecer este tipo de servicios en el ámbito de las ciudades inteligentes.

Destacan las soluciones para el seguimiento del estado de salud a través de MEDICIONES DE SIGNOS VITALES usando biosensores y biometría mediante la monitorización de los pacientes y puede servir como puente entre el hospital y el hogar, permitiendo a los enfermos estar en sus casas y ser atendidos a distancia, tanto para diagnóstico como para tratamiento y seguimiento de la enfermedad.

En este planteamiento hemos de tener en cuenta igualmente la integración de la historia clínica electrónica para poder COMPARTIR INFORMACIÓN, y colaborar entre los hospitales y las consultas de atención primaria.

En FRIEDRICHSHAFEN (Alemania) se están desarrollando SISTEMAS DE TELEMEDICINA DISEÑADOS PARA MEJORAR LA ATENCIÓN MÉDICA. Por ejemplo, los diabéticos que utilizan el sistema de control de la diabetes GLUCOTEL ya no tienen que realizar visitas frecuentes a su médico pues este puede recuperar sus datos a través de un sistema remoto centralizado.

Igualmente importantes son los sistemas de teleasistencia social que contribuyen a FACILITAR LA VIDA INDEPENDIENTE DE PERSONAS CON NECESIDADES ESPECIALES, como son ancianos y enfermos. A estos se les suman los sistemas de localización que permiten ofrecer asistencia a domicilio a personas mayores en un tiempo más corto.

Es muy útil combinar el uso de datos y servicios de localización para plantear SERVICIOS QUE ALERTEN DE POSIBLES RIESGOS PARA LA SALUD. Un caso puede ser la aplicación “DON´T EAT AT” implantada en NUEVA YORK y que avisa con una notificación cuando el usuario entra en un restaurante que no cumple las normas de sanidad pública.

Transporte urbano y metropolitano

Sin lugar a dudas, una de las claves del proyecto de gestión integral e integrada para ciudades inteligentes, son las plataformas de control y seguimiento de los transportes urbanos y metropolitanos.

En este sentido, la integración de todas sus redes, la geolocalización de todos los elementos, la vigilancia y control en tiempo real de su funcionamiento y la gestión del desarrollo de incidencias, hace imprescindible e irreversible la gestión integral e integrada de todos sus recursos y convergencia en el entorno de todo el resto de infraestructuras.

Servicios al ciudadano

Si bien la ADMINISTRACIÓN ELECTRÓNICa es uno de los servicios en Internet que más se han desarrollado en los últimos años, es importante también la incorporación de los servicios de e-participación y aquellas iniciativas que, en general, FAVORECEN LA TRANSPARENCIA Y QUE CONTRIBUYEN A LA GOBERNANZA DE LOS MUNICIPIOS.

Ejemplo de uno de estos servicios es el del Ayuntamiento de la ciudad de Edimburgo, el cual ha adoptado una aplicación novedosa introduciendo a los ciudadanos en el diseño de los servicios ofrecidos.

En esta línea, LONDRES ha creado la “London Database”, que pone todos sus datos disponibles de manera abierta (LOCALIZACIONES DE ALQUILER DE BICICLETAS, PRECIOS DE VIVIENDAS, LOCALIZACIONES DE CAMPOS DE JUEGOS, ETC.) y está interesando a los negocios que quieren combinar los datos de clientes con datos de la ciudad y datos de ventas con el objetivo, por ejemplo, de ofrecer precios más ajustados a sus productos y servicios.

La analítica y la misión de servicio son piezas importantes de las ciudades inteligentes, sobre todo en lo referente a la generación de valor.

Material y método

La inteligencia y el conocimiento transversal son elementos clave, ya que habrá que coordinar y agrupar muchas áreas del conocimiento, con profesionales que cuenten con habilidades y capacidades multidisciplinares adecuadas, que sean capaces de acometer esa gestión integral e integrada de la seguridad en las ciudades inteligentes.

Alrededor del planteamiento de ciudades inteligentes se está generando todo un ecosistema de trabajo y transferencia de conocimiento entre Administraciones, empresas y universidades.

No obstante, a pesar del incremento de iniciativas, acciones, proyectos y propuestas que se están poniendo en marcha, en muchos casos ya implementadas y con resultados tangibles, es habitual encontrar una situación que se percibe como dispersa y heterogénea, generando mucho ruido alrededor de las ciudades inteligentes, y que están siendo cuestionada en muchos ámbitos precisamente por esa confusión, dispersión y falta de concreción generada, con el riesgo real de que se convierta más en moda pasajera que en solución necesaria a nuestro planteamiento de ciudades inteligentes.

Resultados

El esquema de contenido del proyecto en cuanto al resultado buscado y obtenido, es el siguiente: Integración y Convergencia, Continuidad de Funcionamiento, Sostenibilidad y Gobernanza, Accesibilidad y Movilidad, Resiliencia.

Integración y convergencia

La apuesta por plataformas de integración para la gestión global de la seguridad permite ubicar los puntos de control para monitorizar en vivo la información que nos aportan las soluciones tecnológicas de esta manera tener un control absoluto de todas las cámaras, sensores y dispositivos de control colocados en los diferentes entornos e infraestructuras.

Además, los sistemas de videovigilancia sirven como elementos disuasorios frente a hechos vandálicos o incidentes no deseables.

Por otro lado, la integración del complicado escenario las Tecnologías de la Información y las Comunicaciones (TIC) pueden ser un importante valor añadido.

Un ejemplo es el proyecto “WikiCity” desarrollado por el “SENSEABLE CITY LAB DEL MIT” que ha implantado experiencias en la ciudad de Roma usando los teléfonos móviles de los habitantes para obtener información en tiempo real y presentarla de manera gráfica mediante mapas.

Partiendo de la necesidad de comunicaciones en común, una característica que define a las ciudades inteligentes es la capacidad de los sistemas de componentes para interoperar.

Continuidad y funcionamiento

De manera transversal, todas las plataformas y sistemas de integración y convergencia de las seguridades han de mantener un denominador común como objetivo y es garantizar la continuidad y funcionamiento de los sistemas e infraestructuras de las ciudades inteligentes.

Continuidad y funcionamiento que se hace más imprescindible en aquellas infraestructuras denominadas y clasificadas como críticas, imprescindibles para la prestación de los servicios vitales.

Sostenibilidad y gobernanza

En la actualidad las ciudades cuentan con mucha información sobre su funcionamiento, pero casi toda está distribuida en paquetes de información independientes. Información no conectada y que no permite realizar un análisis completo y complejo del funcionamiento o incidencias.

Por otra parte, con relación a aspectos ambientales de la sostenibilidad, cabe mencionar como otra muestra de la aplicación de las normas el MANDATO DE NORMALIZACIÓN DE LA COMISIÓN EUROPEA en apoyo de la implementación de la COMUNICACIÓN RELATIVA A LA ESTRATEGIA DE LA UE EN MATERIA DE ADAPTACIÓN AL CAMBIO CLIMÁTICO. Dentro de los objetivos del MANDATO, destaca el asegurar infraestructuras que resistan el cambio climático, destacando tres prioritarias: transporte, energía y construcción.

Accesibilidad y movilidad

Para gestión y control del tráfico de vehículos en los entornos urbanos existen soluciones innovadoras e inteligentes basadas en la lectura de matrículas y análisis de comportamientos. Estos servicios ofrecen multitud de ventajas en cuanto a la gestión y optimización para el beneficio del ciudadano, disminuyendo problemas, accidentes, atascos, consumos energéticos y reduciendo la contaminación.

Todo ello integrado en una plataforma global que complementa la gestión inteligente de las ciudades, a través de cartografía 3D o fotografía aérea de gran detalle, que permite la interactuación de todos los elementos integrados como cámaras de seguridad, semáforos, luminarias, control y gestión del mobiliario urbano, etc.

El valor de toda esta información se incrementa de manera exponencial cuando se mezcla con datos de carácter público, privado y comercial. El ejemplo del proyecto “Live Singapore” pone de manifiesto como la combinación de datos básicos de móviles con previsiones meteorológicas puede mejorar los flujos y la localización de los taxis y servicios públicos.

Resiliencia

Después de analizar cómo se puede captar, integrar y compartir la información entre las infraestructuras y servicios en las ciudades inteligentes, es importante conocer qué RIESGOS HAY EN DIRIGIRSE HACIA ESTE TIPO DE SERVICIOS Y CÓMO PUEDEN GESTIONARSE Y MINIMIZARSE.

Al compartir datos entre servicios surge un nuevo reto sobre la seguridad de la información, LA PROTECCIÓN DE LOS DATOS Y LA PRIVACIDAD. Por ejemplo, compartir datos en la nube puede suscitar dudas sobre el uso de los datos para un fin distinto al original, y sobre si se está accediendo a los datos personales, almacenándolos y procesándolos.

A medida que los sistemas van descendiendo en aplicación hacia edificios, viviendas, empresas y personas, el riesgo, la amenaza de perder la privacidad crece, así como la necesidad garantizar la confianza y seguridad.

Con respecto a la resiliencia de los canales de prestación de servicios en una CIUDAD INTELIGENTE, el éxito dependerá seriamente de que tenga una infraestructura digital que sea robusta y segura. Si los servicios críticos se vuelven dependientes de infraestructuras y sistemas inteligentes no especialmente protegidos, las interrupciones del servicio y los fallos en los equipos pueden llegar a tener un impacto o consecuencias importantes.

También es probable que surjan las cuestiones relativas a la RESILIENCIA y la planificación del fallo de los sistemas críticos. Todo sistema de ciudad inteligente debe tener redundancia, y debido a la enorme cantidad de puntos de información y de datos que se prevén en la ciudad inteligente, habrá elementos de ésta inherentes a cualquier otra ciudad.

Las normas existentes también se pueden aplicar a la mejora de la RESILIENCIA DE LAS CIUDADES INTELIGENTES, considerando la protección y seguridad de los ciudadanos.

Conclusiones

A modo de conclusiones cabe subrayar que se trata del planteamiento de un proyecto multidisciplinar de gestión integral e integrada de la Seguridad en ciudades inteligentes basado, principalmente, en la implantación a nivel global y glocal de una plataforma de integración y convergencia de la seguridad física y lógica, pública y privada para un planteamiento de gestión holística, inteligente y sostenible.

Como se ha descrito, el esquema básico de contenido y objetivos del proyecto es la integración global del Control y la Gestión, la Seguridad y Emergencia, la Vigilancia y Seguridad Ciudadana, la Sanidad y Salud, el Transporte Urbano y Metropolitano y los Servicios de valor al ciudadano.

Finalmente, la búsqueda de resultados de este proyecto multidisciplinar de integración de las seguridades se realiza a través: de la Integración y Convergencia, la Continuidad de Funcionamiento, la Sostenibilidad y Gobernanza, la Accesibilidad y Movilidad, y la Resiliencia.

Es un hecho que riesgos globales se están intensificando, pero la voluntad colectiva para enfrentarlos parece no tener la misma prisa. La idea de “recuperar el control”, ya sea a nivel nacional o supranacional resuena en muchos países y con muchos problemas sobre la mesa sobre la evolución de los riesgos y la seguridad y la mejor gestión de ambos.
 

Más allá de los riesgos medioambientales que siguen estando en el primer puesto de exigencias y vulnerabilidades, la tecnología sigue desempeñando un papel importante en la configuración del panorama de riesgos globales y de eso nos vamos a ocupar en este caso.
 

Las preocupaciones sobre el fraude de datos y los ciberataques volvieron a ser prominentes en el pasado año 2018, que también destacó en otra serie de vulnerabilidades tecnológicas.
 

Hubo más violaciones masivas de datos o brechas en la seguridad, se revelaron nuevas debilidades de hardware y software y la investigación señaló los usos ya potenciales de la inteligencia artificial para diseñar ciberataques más potentes. El año pasado también proporcionaron evidencia adicional de que los ataques cibernéticos plantean riesgos para las infraestructuras críticas, lo que obliga a fortalecer sus sistemas transfronterizos por motivos de seguridad nacional, además de todas aquellas actividades estratégicas con mayor criticidad en su funcionamiento.
 

Por tanto, así como hemos visto cambios de paradigmas en la delincuencia transnacional y, sobre todo, en el terrorismo, ahora se requiere un cambio hacia una forma más global de participación e intercambio, principalmente entre países. Y ahí es donde creo debemos centrar esa nueva asignatura de la Gestión del Riesgo y la Seguridad.
 

Informe Global de Riesgos 2018 – 2019

El Informe Global de Riesgos del Foro Económico Mundial (WEF, en sus siglas en inglés) que se publicó el año pasado en un momento de grandes incertidumbres a nivel global y de creciente descontento popular con el orden político y económico existente, analiza el panorama de riesgos a nivel macro y destaca las principales amenazas que pueden perturbar al mundo en 2019, e incluso, en la próxima década.
 

Y, aunque la humanidad se ha vuelto notablemente adepta a entender cómo mitigar los riesgos convencionales que pueden aislarse y gestionarse con relativa facilidad usando estrategias de gestión del riesgo ya estandarizadas, sin embargo, somos mucho menos competentes cuando se trata de lidiar con riesgos complejos en los sistemas interconectados sobre los que se apoya nuestro mundo, como las organizaciones, las economías, las sociedades y el medio ambiente, en general, y las infraestructuras críticas, en particular.
 

En la encuesta del WEF, sobre Percepción de Riesgos Globales, los ambientales han crecido en mayor importancia en los últimos años.
 

Pero, también están incrementándose los riesgos en cuanto a ciberseguridad, tanto en términos de su prevalencia como de su potencial disruptivo, de forma especial. Los ataques en contra de entidades corporativas casi se han duplicado en cinco años y los incidentes que antes se consideraban algo fuera de lo común se están volviendo más habituales.
 

Por tanto, el impacto financiero de toda violación contra la ciberseguridad va en aumento, y dan cuenta de algunos de los costes más elevados desde 2017 con relación a ataques con Ransomware, que representaron el 64% de todos los e-mails maliciosos. Entre los ejemplos más notables se incluye el ataque WannaCry que afectó a más de 300.000 ordenadores en 150 países, y el NotPetya, que causó pérdidas trimestrales de más de 300 millones de euros a las empresas afectadas.
 

Y como ya se ha dicho, otra de las tendencias crecientes consiste en los ciberataques que apuntan a infraestructuras esenciales y sectores estratégicos, lo que hace temer que, en el peor de los casos posibles, los atacantes podrían provocar el colapso de sistemas que mantienen a actividades sociales en su correcto funcionamiento.
 

El Informe Global de Riesgos de este año presenta tres nuevas series: Shocks Futuros, Retrospectiva, y Reevaluación de Riesgos.
 

Shocks futuros, como una advertencia en contra de la complacencia, un recordatorio de que los riesgos pueden materializarse a una velocidad desconcertante e imprevisible.
 

Retrospectiva, mirando hacia atrás, a los riesgos que ya se han analizado en ediciones anteriores del Informe Global de Riesgos, para estudiar su evolución y las respuestas globales ante la potencial materialización de éstos.
 

Reevaluación de Riesgos, donde un número de expertos en riesgos compartirán sus opiniones sobre las implicaciones para los tomadores de decisiones en las organizaciones, los gobiernos y la sociedad civil en términos de cómo avanza nuestra comprensión con la evolución de los riesgos.
 

http://reports.weforum.org/global-risks-2018/files/2018/01/Global-Risk-Report-2018-Executive-Summary-Spanish.pdf%26embedded%3Dtrue
 

En un momento en que las nuevas oportunidades de las tecnologías emergentes exigen audacia y agilidad, un aumento en los ataques cibernéticos está agravando los puntos vulnerables dentro de las operaciones de la entidad, la infraestructura, la cadena de suministro y las interacciones con los usuarios.
 

La Gestión del Riesgo Corporativo

Ante el actual escenario corporativo, donde las empresas viven en constante presión y la competencia es brutal, para conseguir desarrollar la actividad y sobrevivir es necesario trazar y seguir estrategias empresariales, que van a ser la base para alcanzar los objetivos de la entidades o corporaciones.
 

En este sentido, la Gestión de Riesgos Corporativos está directamente ligada a la estrategia de la propia entidad y su actividad sectorial.
 

El contexto de Gestión del Riesgo de las organizaciones es y será cada vez más dinámico, exigiendo un proceso con elevada flexibilidad y manteniendo un alto nivel de gestión, así como una mayor necesidad en la identificación y evaluación continua y en la respuesta a posibles escenarios de riesgos.
 

Integrar la estructura de gestión de riesgos en los procesos y en las estrategias de la organización es una necesidad para las corporaciones, ya que el objetivo destacado es la creación de una función integrada que genere y ponga en valor su actividad.
 

Uno de los aspectos importantes en la Gestión del Riesgo es la protección de la información. Así, la nueva Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LOPD-GDD), define cómo debe ser el tratamiento de datos personales, incluso en los medios digitales, por persona física o jurídica, con el objetivo de proteger los derechos fundamentales de libertad y de privacidad, garantizando la seguridad al usuario en general. Cualquier información que pueda identificar a una persona, debe ser protegida por las entidades públicas y privadas.
 

No obstante, otros aspectos funcionales de las organizaciones como la no conformidad o cumplimiento también están relacionados con resultados insatisfactorios de las entidades. Así, podemos concluir que la no conformidad o incumplimiento es un factor de riesgo.
 

Por todo ello, es importante contar con un proceso estructurado para realizar la identificación y la evaluación en la gestión del riesgo, así como el registro, la clasificación de la criticidad y el tratamiento, buscando la mejora, el desempeño y la eficacia de la organización y su actividad.
 

Toda organización necesita una estrategia bien definida y objetivos claros a seguir. Los procedimientos y las mejores prácticas de la ISO 31000 fueron revisadas y actualizadas recientemente planteando el enfoque estratégico como uno de los puntos claves en la Gestión de Riesgos Corporativos.
 

La nueva revisión de ISO 31000 2018 - Gestión del Riesgo

La función de la ISO 31000 es proporcionar directrices, principios, estructuras y un proceso para gestionar riesgos, pudiendo ser utilizado por cualquier organización, independientemente del tamaño, actividad o sector. En febrero de 2018 se lanzó la versión más reciente de esta norma ISO, que deberá ser oficialmente puesta a disposición y aplicar sus cambios significativos para ayudar a gestionar las incertidumbres.
 

Los riesgos que afectan a las organizaciones pueden tener incidencias en términos de desempeño económico y reputación profesional, así como consecuencias ambientales, de seguridad y sociales. Por lo tanto, la gestión de riesgos es fundamental para que las organizaciones tengan un buen desempeño en un entorno vulnerable, incierto, ambiguo y complejo.
 

Seguridad y Gestión del Riesgo

Como venimos viendo y disfrutando, el desarrollo y aplicación de las constantes nuevas tecnologías en todos los campos son un avance de especial importancia para la sociedad globalizada. No obstante, estas tecnologías también son una oportunidad para todo tipo de actos ilícitos.
 

Así, delincuentes, criminales, terroristas, etc. también están creando un espacio diferente donde, en muchos de los casos, son muy beneficiados al generar una inseguridad global. Cada vez que aparece una nueva tecnología o aplicación los criminales están ahí para explotarla.
 

Pero, igualmente, el simple hecho de la mayor conexión de nuestras vidas a través de redes e Internet presenta un gran riesgo y vulnerabilidad. Todos los objetos físicos de nuestro entorno se están transformando en tecnologías de la información o el Internet de las cosas y eso ya tiene e incrementará las consecuencias en contra de nuestra seguridad porque, a más conexiones, más apertura y, más dispositivos, significa también más vulnerabilidades.
 

Ya podemos decir que, prácticamente, no existe ninguna tecnología o sistema operativo que no haya sido vulnerado.
 

En este sentido, la integración de la Seguridad con la Gestión del Riesgo necesita fluir de forma automática. Así, los gestores de riesgos deben evaluar cuáles son los riesgos críticos, sus respectivos factores de amenaza y control, y las notas asignadas en los análisis deben ser revisadas periódicamente por el correspondiente Auditor dentro de los procesos, áreas o actividades estratégicas, principalmente.
 

Y, para la optimización del trabajo del Auditor, en la era de la automatización, este debe ser independiente y poder acceder a la información precisa para garantizar que los procesos están operándose en consecuencia.
 

La auditoría basada en la Gestión del Riesgo agrega valor a la organización, ya que permite la visión prospectiva, siendo más eficaz que una auditoría tradicional, pues se enfoca en el futuro, quedando orientada a cubrir toda la amplitud de los aspectos que interesan a la gestión, comprobando los controles considerados clave y, muy especialmente, aquellos que dan soporte a los riesgos críticos.

Entramos, vacíos de prejuicios, en una nueva época que siempre representa una oportunidad renovada en la que todos debemos participar, colaborando con cuanto esté en nuestras manos para conseguir que nuestras acciones u omisiones vayan siempre en pos del bien común, del que la seguridad humana es factor principal.
 

Es momento de plantear objetivos, pero, para hacerlo con realismo y visión de futuro hemos de ir más allá de las cuestiones básicas y generalistas que impone el propio instinto de conservación, como la supervivencia, la salud o la seguridad individual, teniendo en cuenta que lo que no enfoquemos hacia el conjunto de nuestra especie y del propio planeta lo pierde también cada una de sus partes.
 

Un reciente informe de la Universidad de Hertfordshire, en el Reino Unido, ha realizado una encuesta, y cifra en tan solo el 12 por ciento de los entrevistados los que han cumplido sus propósitos al finalizar el año, pese a tratarse de metas a su alcance en un nivel muy doméstico y personal.
 

No obstante, parece que imaginar que lo vamos a lograr nos hace sentir mejor y nos permite relajarnos durante un tiempo. Así lo cree Francesc Núñez, doctor en Sociología y profesor de los Estudios de Artes y Humanidades de la UOC, que explica que «caemos año tras año, y a veces toda la vida, porque al pensarlos ya sentimos placer. Cuando uno fantasea con lo que va a hacer, ya empieza a generar sentimientos positivos».
 

Eso nos sucede cada poco en temas sociales, políticos o familiares, sin que consigamos reconocer nuestras propias trampas a la hora de desmontar los andamios que nuestra mente construye para conseguir quedarse en la zona cómoda y no abordar reformas estructurales importantes, por más que nos demos cuenta de la falta que nos hace.
 

Dicen los expertos que hemos de ser realistas y no proponernos retos demasiado ambiciosos, que es fundamental concretar las metas al máximo y programar un calendario con pequeñas etapas; que hemos de hablar y explicar esos objetivos a otros, porque el que se conozcan nuestras metas no solo aporta sensación de pertinencia, sino que también aumenta nuestro compromiso, y, sobre todo, hemos de repasar, comprender y asumir nuestros errores para poder remontarlos y reciclar nuestra basura.
 

Pero, hablando de basura, tenemos un obstáculo esencial para el logro de nuestras metas y es la interacción y contaminación de nuestras emociones con la carga negativa que aporta a nuestras vidas la gente tóxica.
 

En los últimos años de crisis y cambios en los que cada vez hay que poner más esfuerzos, recursos e imaginación para garantizar el desarrollo o simplemente conservar los mínimos, venimos viendo cómo el virus de la gente tóxica se expande como una plaga canibalizadora.
 

El término “gente tóxica”, define a personas que se alimentan de nuestra energía emocional, material o psíquica y, en general, carecen de empatía, sensibilidad, madurez emocional y solidaridad. Son adictos, consciente o inconscientemente, a aprovecharse de los demás, de una u otra manera.
 

Puede ser cualquiera y, además, si somos altamente empáticos, solidarios, humanos o compasivos, y no sabemos establecer límites, generaremos un efecto llamada.
 

Hay diferentes tipos de gente tóxica a los que, si no podemos neutralizar, hemos de tratar de evitar, sobre todo, porque no somos responsables de solucionar sus problemas reales y, mucho menos, los inventados. Los tipos más habituales son: aquellos que se creen víctimas o son melodramáticos; los narcisistas y dominantes, y los que se enredan en enjuiciamientos ajenos desde un complejo de superioridad poco o nada tratado.
 

Es fundamental, por tanto, establecer límites o líneas rojas para todos y cada uno de los perfiles.
 

Para los que se creen víctimas y dicen ser sufridores de esta sociedad o de su entorno personal, manipulando y chantajeando desde su posición de mártir, hemos de optar por no involucrarnos en su autocompasión y melodrama, limitando las relaciones con ellos.
 

Contra los narcisistas y dominantes, que se creen los primeros en todo y para todo y necesitan que alimentemos su ego, hemos de practicar la franqueza ecuánime y el discurso sincero frente a su inconsecuente escala de valores, porque, de lo contrario, se comportarán siempre como superiores manipulando e intimidando.
 

Quienes se creen jueces castigadores encantados de atacar a personas e instituciones, aprovechándose de sus inseguridades y alimentando su ego, tratando de avergonzarnos o dejarnos en mal lugar debemos rechazar todo aquello no basado en datos objetivos y no ponernos a la defensiva o entrar a su juego.
 

Si nos ganan por prudentes y pacientes, siendo compasivos y entrando en su juego, no solo no conseguiremos nuestros buenos propósitos para el año que empieza, sino que, además, alimentaremos a este virus, tan antiguo como la humanidad, que ataca disfrazado de desgracia y está corrompiendo instituciones y personas.

Aunque hablando de ciberseguridad y ataques a la información y las comunicaciones no es fácil predecir lo que pasará, puesto que nos movemos en un espacio permanentemente cambiante y que evoluciona muy rápido, muchos especialistas y empresas de seguridad del sector son capaces de vislumbrar lo que puede estar por venir, analizando las amenazas y tendencias en ciberseguridad observadas, principalmente durante el año 2018.
 

Así, las amenazas contra la privacidad de los datos o el ransomware sin duda son algunas de las principales tendencias que despuntan en la nueva ciberseguridad para 2019, así como los ataques contra infraestructuras críticas, malware o amenazas en grandes eventos o el transporte de viajeros.
 

En este sentido, hemos analizando algunos informes y tendencias de proveedores de ciberseguridad como ESET, GDATA, TREND MICRO, PANDA o CHECK POINT y consultoras y empresas especializadas en transformación digital como ALL4SEC o ENTELGY para elaborar un breve resumen de amenazas y tendencias para el 2019.
 

Amenazas y tendencias que marcarán 2019

El ransomware. Sin duda, una de las tendencias que más se repite en todos los estudios e informes es que el ransomware seguirá siendo una de los objetivos de negocio de los ciberdelincuentes ya que, según ESET, “aún hay muchas organizaciones dispuestas a pagar grandes sumas de dinero por recuperar sus sistemas comprometidos en lugar de contar con políticas de ciberseguridad que las mantengan protegidas ante cualquier amenaza”.
 

El robo de datos personales y sensibles. Para esta ilícita actividad, este año 2018 ha sido prolífico en cuanto a robo de datos personales y sensibles y, en 2019, no parece que esta tendencia vaya a disminuir, sino todo lo contrario. Se detectarán y descubrirán más casos de robos de datos y se pueden producir algunos aún más importantes que los registrados en los últimos años. En esta línea, los especialistas apuntan que los datos que los ciberdelincuentes robaban se han vendido tradicionalmente en la deep web, pero el próximo año se podrían consolidar nuevas formas de capitalización mediante la extorsión, hasta ahora asociada mayoritariamente al ransomware.
 

Las amenazas y riesgos del cloud. Aunque la tecnología cloud y la infraestructura que la soporta está en constante evolución y aseguramiento, aún existen importantes vulnerabilidades que proporcionan fisuras para que los ciberdelincuentes accedan a los archivos o se cuelen y se extiendan a través de las redes. Así, importantes proveedores de ciberseguridad siguen advirtiendo que, durante los últimos años, más del 50 por ciento de los ataques gestionados por sus equipos de respuesta a incidentes, estaban relacionados con la nube. Igualmente, con la creciente utilización de los servicios de uso compartido de archivos en la nube, las fugas de datos seguirán siendo una gran preocupación para las organizaciones que gestionan su información en este entorno.  

El Internet of Things y dispositivos conectados. Vivimos en un mundo en el que muchísimas personas sueñan con hogares inteligentes a partir del uso de los asistentes de voz en ese despliegue para aprovechar los dispositivos del Internet de la Cosas (IoT), mientras nos planteamos esa interrogante de que si nos damos cuenta de la cantidad y el tipo de datos que compartimos con estos dispositivos.
 

Las amenazas al Internet de las Cosas (IoT), más que una tendencia es una realidad cada vez más cotidiana. Los dispositivos inteligentes inundan ya las empresas y los hogares digitales, y los riesgos y vulnerabilidades de la seguridad de sus comunicaciones y sistemas operativos crecen al mismo ritmo.

Según TREND MICRO, “A medida que aumentan las capacidades de la tecnología y se implementan nuevos sistemas disruptivos en las nuevas industrias, estos se convertirán en los objetivos principales para el cibercrimen y la actividad maliciosa”. En esta línea, se estima que, en el año 2019, ya se utilizarán más de un millón de robots conectados en esta función y es muy importante que todo aquel que utilice dispositivos conectados se asegure de que estén debidamente protegidos.  
 

Las Infraestructuras Estratégicas y Críticas. Especial significación debe tener el análisis de las amenazas para este amplio campo configurado por doce grandes sectores y múltiples subsectores de especial importancia para el funcionamiento del país.
 

Así, la mayoría de las redes de infraestructuras críticas, que se diseñaron y construyeron antes de que la ciberdelincuencia y el terrorismo fueran un problema serio y permanente, en gran medida, no están preparadas para asegurar el imprescindible funcionamiento permanente, aunque con un gran esfuerzo, rapidez y rigor, y tutelados por el Ministerio del Interior, las infraestructuras definidas están poniendo al día este aseguramiento.
 

No obstante, los especialistas en ciberseguridad advierten que es más que probable que ocurra un ataque de este tipo a gran escala principalmente en algunas actividades significativas como producción y distribución de energía, servicios básicos como suministros de agua, transporte de viajeros u otros tipos de infraestructuras determinadas como críticas.
 

Reglamento de Protección de Datos

Uno de los temas sobre los que más se ha hablado en el año 2018 y lo seguirá siendo en el 2019, es el Reglamento General de Protección de Datos (RGPD) que será de obligado cumplimiento a partir del próximo mes de mayo.

 

Así, 2018 quedará en la historia de la privacidad de los datos, ya que en mayo de este año la Unión Europea (UE) hizo efectivo el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), el cual tiene implicaciones para cualquier organización (independientemente de su ubicación) que maneja información personal de ciudadanos de la UE.
 

Automatización como clave en el futuro de la ciberseguridad

Actualmente, la transformación y el cambio digital que están experimentando, principalmente las entidades públicas y privadas, requieren de un nuevo enfoque de la ciberseguridad. Las organizaciones necesitan transformar sus estrategias de seguridad como parte de la transformación digital en todo el conjunto de su gestión pues las vulnerabilidades aumentan el riesgo en el panorama actual y futuro de amenazas.
 

Respecto a este nuevo panorama de la ciberseguridad y las amenazas, los ataques están evolucionando desde técnicas como el ransomware a otras como la minería de criptomonedas de forma que aprovechan la capacidad de gestión de los ordenadores de las víctimas objetivo.
 

Diversos informes revelan que el número de detecciones diarias de malware aumentó en más de un 60 por ciento durante en este último año.
 

Misma tendencia existe también en los dispositivos móviles, que son un claro objetivo pues más de una cuarta parte de las empresas sufrieron ataques de malware móvil, la mayoría en el sistema operativo Android.

También se destaca que el tráfico cifrado está alcanzando un nuevo umbral, representando ya más de un 72 por ciento de todo el tráfico de la red, respecto al 55 del año pasado.  
 

Falta de cultura y formación de los empleados

Según un último informe de CHECK POINT, uno de cada cinco empleados causará una brecha de seguridad mediante el mal uso de su dispositivo móvil.
 

Es por ello que, según los especialistas, los ciudadanos en general, y los profesionales y empleados en particular, subrayan que son el “eslabón más débil” de la cadena en la ciberseguridad. El phishing y la ingeniería social son las técnicas más empleadas para llegar hasta ellos.
 

Por tanto, sin una cultura básica y la formación y conocimiento adecuados, el problema puede volverse cada vez más complejo y mayor, ya que los ciberdelincuentes tienen espacios abiertos a través de los que pueden vulnerar y explotar cualquier dominio o dispositivo. Es fundamental que los usuarios y empleados reciban la formación adecuada sobre los riesgos y las amenazas y cómo prevenir ser víctima y sus consecuencias.
 

Ciberseguridad, el reto de construir un “bien común”

Como consecuencia de todo lo anterior, la ciberseguridad se convierte en un “bien común”, que debe ser buscado, cuidado y asegurado por todos los participantes de la transformación y desarrollo digital, puesto que su inadecuada administración y descontrolada utilización, puede traer inesperadas y graves consecuencias para infraestructuras y ciudadanos en general. Esto supone comprender que la convergencia tecnológica, las nuevas tecnologías digitales y los intereses estratégicos de las entidades exigen plantear cambios en la manera de producir, regular y proteger su valor institucional.
 

Un “bien común”, leído desde la perspectiva de un entorno digitalmente modificado y transformado que, siguiendo las reflexiones de los académicos Vercelli y Thomas (2008) se configura como: El que se produce, se hereda o transmite en una situación de comunidad; El que puede ser apropiado o protegido dependiendo de las regulaciones aplicables; El que cuenta con acceso y utilización directo, sin mediación.
 

Basada en esta definición, la ciberseguridad se puede configurar como un “bien común” que requiere un marco jurídico de actuación, una serie de acuerdos y compromisos entre los interesados.
 

Por tanto, configurar a la ciberseguridad como un “bien común” es una apuesta y ejercicio de confianza digital entre todo el espectro o ecosistema digital para aumentar su vigilancia y capacidad de respuesta frente a las nuevas agresiones o vulnerabilidades.
 

Inversión irreversible en 2019. A modo de conclusiones

En resumen, ciberataques, fugas de datos y la creciente aparición de casos en los que se han reportado fallos en el control de la privacidad de clientes y usuarios, deben motivarnos, más que nunca, para poner los adecuados recursos en asegurar nuestros activos en esta irreversible transformación digital.
 

Por lo tanto, los objetivos de la seguridad de la información, la ciberseguridad, deberán estar enfocados en salvaguardar la confidencialidad, integridad y disponibilidad de los sistemas informáticos, los datos y su gestión. En este sentido, un denominador común presente en casi todas las reflexiones de este documento es la disposición del foco en esa necesaria protección de datos y privacidad.
 

Una referencia es el reporte de ESET “Tendencias 2019”, que reflexiona sobre la importancia y responsabilidad que recae en los gigantes tecnológicos como Facebook y Google a la hora de proteger los grandes volúmenes de datos que han recopilado a lo largo de tantos años donde muchos de nosotros nos apoyamos en los servicios que ofrecen para desarrollar nuestra vida online diaria.
 

En este amplio y complejo contexto, mirar sobre el horizonte incierto de las vulnerabilidades e inestabilidades de la inseguridad de la información y los riesgos emergentes y amenazas, es un reto que implica desaprender aquellas inercias que fueron ineficientes en el pasado reciente, y tratar de construir el futuro desde las investigaciones y lecciones del presente.
 

Según nos recuerda el INCIBE (Instituto Nacional de Ciberseguridad), “la ciberseguridad es un pilar de la transformación digital", proceso imparable en el que organizaciones de todo tipo ya están inmersas a fin de adaptar y reorientar sus procedimientos hacia la realidad digital que impregna cualquier actividad. Una ciberseguridad que presenta la necesidad de promover una nueva cultura global en un espacio divulgativo que tiene el propósito de acercar la seguridad a profesionales de todos los ámbitos, así como al público general.
 

En resumen, con todo ello, hemos de tener en cuenta que el factor humano en la ciberseguridad ocupa un papel muy importante, y ahora nos corresponde recordar las lecciones que nos dejó este año que termina para que podamos volcarnos en una misión basada en lo aprendido, hacia un 2019 más seguro con una visión mucho más dinámica y rupturista con el pasado.

Recordando que la seguridad, en último extremo, es un estado de ánimo basado en una percepción subjetiva de la información, y que esta percepción es una construcción del cerebro humano independiente de lo que realmente acontezca, el buen líder en seguridad es el que tiene talento para gestionar tanto el propio riesgo inmanente, como la percepción de seguridad resultante.

Parte de esta habilidad nace de la confianza en uno mismo, generada a través de un profundo autoconocimiento que pueda contribuir profesionalmente a aportar valor añadido a la seguridad, al tiempo que se facilita a la sociedad la mejora de su percepción y bienestar.

Para ello, el conocimiento y la mentalidad de un buen líder en seguridad tiene que incorporar una visión holística, además de eso que se repite con frecuencia y resulta válido para cualquier ámbito: “liderar es lograr que los demás quieran hacer lo que tienen que hacer”.

En este sentido, los profesionales de la seguridad pública y privada siempre hemos sostenido que las personas son “la base fundamental de nuestra actividad y nuestro principal activo” y, por eso, trabajamos para seleccionar y capacitar a los mejores, a fin de favorecer su desarrollo profesional y personal para que puedan aportar todo su potencial a la seguridad humana.

Liderazgo y seguridad. Cambio de pensamiento y acción. El valor compartido

Cuando estamos hablando de liderazgo en seguridad lo hacemos desde el concepto y la perspectiva del “servant leadership”, es decir, un liderazgo enfocado al servicio.

Un líder de seguridad orientado al servicio es una persona que tiene claro, en primer lugar, que la visión de la seguridad debe ser integral e integrada, lo que le permite construir espacios para la gestión del riesgo en los que todos los aspectos y percepciones van a ser valoradas y comprendidas. El conocimiento y talento para el liderazgo ha de estar acompañado de una voluntad de servicio orientada a crear las herramientas que permitan salir airoso en incidencias o situaciones con cualquier grado de dificultad.

Para ello, precisamos de una capacidad de actualización y adaptación permanente que nos deje ver ese espacio que se abre a esos nuevos retos e infinitas posibilidades. Es necesario desarrollar la proactividad y la apertura a la innovación en un marco de especialización creciente y de valor compartido.

En un entorno de integración y digitalización como el que vivimos, donde la velocidad de cambio es cada vez mayor y los tiempos para la acción cada vez más breves, los profesionales de la seguridad tienen que ser capaces de evolucionar y adaptarse y, para ello, necesitan una enorme capacidad de especialización y de autogestión permanentes.

Ante la duda frecuente de si preferimos directivos de seguridad que sepan gestionar el riesgo o profesionales con visión de la seguridad, no podemos dejar de tener en cuenta lo importante que es para las organizaciones la tenencia de ambos perfiles integrados, porque la gestión del riesgo necesita visión y la visión de la seguridad, sin la gestión no puede ofrecer los resultados requeridos.

Por otro lado, tener un proyecto de valor compartido es lo que motiva a los profesionales de la seguridad a entregar lo mejor de sí mismos. Un directivo puede contar en su equipo con gente con aptitudes, pero si no hay un proyecto de valor compartido, cada profesional responsable tirará en una dirección.

Michael Porter señala que el propósito de la corporación debe ser redefinido como la creación de valor compartido, no sólo un beneficio per se. Esto impulsará la siguiente ola de innovación y crecimiento de la seguridad global.

Hacía una nueva seguridad y liderazgo

Una moderna organización y dirección de seguridad debe estar estructurada actualmente en torno a valores, y su liderazgo debe ser una consecuencia de la expresión de estos.

No podemos pretender tener organizaciones seguras y resilientes si las personas que forman parte de las mismas no lo son. Por ello, debemos trabajar en la resiliencia individual proactiva, aprovechando los recursos y experiencia de la que ya disponemos, aplicando los buenos resultados ya obtenidos con ellos y apoyándonos en los valores de los modelos de éxito ya implantados.

Es necesario cambiar las estrategias de protección hacia un enfoque holístico de la seguridad integral (prevención mas protección) que incluya una adecuada gestión de los riesgos (físicos, lógicos y humanos) a lo largo todo su ciclo, empezando por la prevención.

Sin duda, en la actualidad enfrentamos el reto de dar una respuesta adecuada a los tiempos que vivimos, abordando el enfoque de una Seguridad Única con mayúsculas, integral e integrada, pública y privada.

Con la aplicación de esta capacidad ya conseguida para absorber las situaciones de crisis y reorganizarse, al tiempo que experimentamos el cambio dentro esencialmente de las mismas funciones, haremos que estructura, identidad y retroalimentación participen de forma conjunta, reforzando la creatividad, el carácter proactivo y la innovación.

Por y para ello, hemos de destacar y desarrollar el papel que una nueva forma de liderazgo necesaria, a fin de promover la resiliencia dentro de los sistemas de formación y capacitación, a partir de cinco conceptos clave: formación holística, autoconocimiento, transparencia en las relaciones, perspectiva ética internalizada y procesamiento riguroso de la información.

Para mejorar la productividad y el desempeño es necesario un cierto sentido de urgencia, de tensión. Saber gestionar positivamente esa tensión es fundamental y precisa de voluntad, práctica y tiempo. Tener espacio para uno mismo es fundamental.

En resumen, el líder gestor de cualquier empresa u objetivo, en nuestro caso el Director de Seguridad, ha de ser creativo, intuitivo e inclusivo, con capacidad para romper hábitos, modelos mentales y paradigmas ya obsoletos y tender hacia un pensamiento cuántico, entendiendo como tal una visión holística y unificadora, que contemple y relacione todos los datos e integre los procesos del pensamiento en serie y asociativo.