La historia a menudo ve el Movimiento de Preparación como un ejemplo en el que ex políticos prominentes como Teddy Roosevelt intentaron persuadir a la administración de Woodrow Wilson –directamente y mediante esfuerzos demostrativos como el entrenamiento de voluntarios para una futura empresa militar– de que la participación estadounidense en la guerra era una necesidad. Sin embargo, el movimiento estaba muy descentralizado y era tanto un esfuerzo por construir una conciencia social de las realidades del conflicto futuro como un movimiento cohesivo a favor de la guerra. De hecho, el movimiento era fervientemente pacifista y simplemente promovía un pragmatismo que criticaba la idea de que un enfoque puramente reactivo de la seguridad nacional haría que la industria y la sociedad estadounidenses evitaran lo peor de la guerra.
Las lecciones de la preparación histórica para la industria de la ciberseguridad actual residen en su énfasis en factores que son de naturaleza social, no estructurales y habilitantes, en lugar de simplemente la necesidad de una postura continuamente activa y anticipatoria. Estas últimas ideas se encuentran en el centro de la planificación de la preparación en toda la industria actual y esencialmente equivalen a la visión convencional del riesgo (con sus implicaciones intencionales) descrita anteriormente. Por el contrario, el concepto de preparación adoptado por el movimiento hace un siglo enfatizaba que:
- Social: El capital social, las percepciones y la cultura funcionan como activos o barreras importantes para la respuesta y aumentan directamente en línea con la creciente complejidad de las condiciones de seguridad.
- No estructural: La mitigación de condiciones tan complejas requerirá herramientas y sistemas prediseñados, pero probablemente requerirá su implementación de forma ad hoc.
- Habilitando: Una respuesta de seguridad eficaz proviene de una mejor planificación para lo que viene después (es decir, resiliencia y recuperación) y, por lo tanto, debe tener en cuenta el altruismo y las capacidades del público.
Estos principios son análogos a los preceptos que ya respaldan la práctica de la ciberseguridad, incluida la necesidad de diseñar sistemas que estén disponibles ante posibles interrupciones y la realidad de pensar en la vulnerabilidad en términos de red. Dadas las condiciones en el mundo en 2024, ahora podría ser un buen momento para comenzar el proceso de codificar estos principios como imperativos estratégicos y comunitarios, además de operativos.
Forma potencial de una mejor preparación cibernética
Una postura de ciberseguridad que sea socialmente consciente requiere igualmente adoptar ciertos supuestos subyacentes y tomar acciones preparatorias. El más importante de ellos es el reconocimiento de que la neutralidad y la complacencia son anatemas mutuos en el contexto de las amenazas digitales derivadas de la tensión geopolítica. como yo escribió recientemente, la complejidad inherente y la importancia de la politiquería normativa en los asuntos internacionales genera riesgos que afectan a las partes interesadas en la ciberseguridad de forma no lineal. Los conflictos recientes respaldan la idea de que la piratería civil en torno a importantes líneas de falla geopolíticas, por ejemplo, opera con lógicas de operaciones divergentes dependiendo de la fase del conflicto en curso (por ejemplo, momento de crisis, conflicto en zona gris u operaciones de configuración).
El resultado de tales condiciones no debería ser una renuencia a hacer declaraciones o tomar acciones que eviten la relevancia geopolítica. Más bien, las partes interesadas en la ciberseguridad deberían intentar clara y activamente delinear la forma en que las amenazas y los desarrollos geopolíticos reflejan los objetivos de seguridad de la organización y su comunidad constituyente. Deberían hacerlo de manera que sea visible para esa comunidad. La neutralidad es una postura de seguridad que debe alcanzarse mediante un arbitraje objetivo sobre el comportamiento apropiado; requiere un realismo que evite tanto el idealismo como la evasión de responsabilidades. Por lo tanto, si el objetivo es una neutralidad realista para los equipos e instituciones privadas de ciberseguridad, la industria debe adoptar la noción de que una defensa razonable de las expectativas de seguridad digital es el requisito mínimo para generar conciencia y resiliencia compartidas.
Las empresas y equipos de ciberseguridad también harían bien en redoblar el marco normativo de la seguridad digital como una responsabilidad social fundamental en el siglo XXI.calle siglo. La resiliencia de cualquier servicio, plataforma o comunidad ante la disrupción no es solo una función de la capacidad técnica, la fuerza laboral o el seguro. Si una organización sufre como resultado directo de un hackeo por motivos geopolíticos, su recuperación y funcionamiento posterior se ven sustancialmente mejorados por la existencia de una percepción pública positiva de la empresa como ayudante de la comunidad y como actor cuya responsabilidad no puede mitigarse por completo mediante acciones convencionales de ciberseguridad. . A nivel de planificación operativa, esto debería significar la construcción de un mapa social de riesgo para que las comunidades industriales relevantes aprovechen herramientas estructuradas para crear potencial para soluciones no estructurales después de una crisis.
Por último, los actores privados de la ciberseguridad harían bien en reconocer que una preparación en este sentido –es decir, una postura de preparación “macro” o motivada geopolíticamente– es una sólida protección contra la incertidumbre y el tumulto derivados de las crisis. También es, en perspectiva, una excelente apuesta por el patrocinio futuro por parte del gobierno, la opinión pública y las redes industriales.
El reciente desarrollo de una estrategia del gobierno de Estados Unidos de “ciberseguridad con los frenos puestos” ha hecho que los intentos de señalar la relevancia para la empresa de seguridad nacional sean beneficiosos para el negocio promedio preocupado por la ciberseguridad. Una menor supervisión gubernamental con niveles similares de compromiso con el desarrollo de capacidades y la respuesta a incidentes va unida a una visión de “campaña” del riesgo de ciberamenaza estadounidense. Esto no es sólo una demostración de un mayor apoyo gubernamental a las soluciones de ciberseguridad privadas; también implica una fuerte preferencia por socios y beneficiarios privados cuyo pensamiento sobre la ciberseguridad vea la preparación no como un acto limitado de anticipación estática, sino como un proceso dinámico que es fundamentalmente social, no estructurado y comunitario en su apariencia.