De cisnes negros a tiburones blancos: cuando el principal riesgo puedes ser tĆŗ
Desde que leyera fascinado el concepto de ācisne negroā acuƱado, en 2007, por Nassim Taleb siempre me ha apasionado la capacidad de anticipar amenazas con ese foco: van a ocurrir, aunque no se puedan vislumbrar. Por eso exigen prepararse para lo peor en el peor momento āalgo que se lleva a gala desde hace siglos en el campo de batalla, por ciertoā. TambiĆ©n en ciberseguridad.
Algunos han llamado a este enfoque āconfianza ceroā. Y, dado que los cisnes negros son imposibles de anticipar ādejarĆan de serlo como talā se me ha ocurrido ācon permiso de Talebā crear otro concepto, aprovechando los 50 aƱos que se celebraron, en junio, del estreno de la pelĆcula āTiburĆ³nā, de Steven Spielberg y basĆ”ndose en su argumento: las autoridades niegan que existan un tiburĆ³n blanco, cerca de la playa, a pesar de las evidencias y las vĆctimas mortales, simplemente para no perder la temporada turĆstica.
JosƩ Manuel Vera
Redactor
Revista SIC
Ya estĆ” ahĆ...
SĆ, se trata de la idea de ātiburĆ³n blancoā y aunque puede ser aplicable a cualquier entorno econĆ³mico, financiero o de emprendimiento lo aterrizarĆ©, con el riesgo que supone cada āsalto baseā a la ciberprotecciĆ³n: se podrĆa considerar como tal āun riesgo latente, conocido y potencialmente devastador que no es invisible ni impredecible, pero cuya naturaleza, velocidad y agresividad se subestiman sistemĆ”ticamenteā. O sea, a diferencia del Cisne Negro āimpredecible y con consecuencias extremasā, el tiburĆ³n blanco es visible en el horizonte, pero ignorado por comodidad, intereses o rutina. Y eso teniendo claro que āmorderĆ”ā, pero sin la certeza de cuĆ”ndo. Con todo, lo mĆ”s grave es que a diferencia del cisne negro āque por su naturaleza de imprevisibilidad no permite actuar de forma proactivaā, el tiburĆ³n blanco sĆ... pero se elige āno actuarā.
Por supuesto esto podrĆa trasladarse y adaptarse a muchos perfiles de interĆ©s en el burbujeante magma normativo en el que nos movemos en ciberprotecciĆ³n en la UE y en EspaƱa. Por ejemplo, para un regulador/supervisor/controlador en ciberseguridad, un tiburĆ³n blanco podrĆa representar un riesgo estructural visible en sectores crĆticos o interdependencias sistĆ©micas, cuya materializaciĆ³n no sorprende por su ocurrencia, sino por la falta de acciĆ³n previa para mitigarlo, siendo mitigable. A la legislaciĆ³n en ciberseguridad no le gustan los tiburones blancos. Y, en consecuencia, a los consejos de administraciĆ³n tampoco les deberĆan gustar.
Elefante gris
Y no puedo dejar de lamentar ālo que vendrĆ”ā, por ejemplo, con ciberataques, patrocinados por estados, contra infraestructuras crĆticas, ransomware polimĆ³rfico contra servicios sanitarios en crisis humanitarias o campaƱas de deepfakes y phishing con IA para desestabilizar gobiernos y estados. Ya estĆ” ocurriendo. Amenazas que podrĆan dar lugar a otro concepto afĆn: el de āelefante grisā: un riesgo enorme, obvio y reconocido por todos, pero al que se elige no hacer frente por razones polĆticas, presupuestarias o de comodidad organizacional. O sea el riesgo que ātodos ven, pero nadie mencionaā. Pero de ese y, quizĆ”, de otros āciberanimales fantĆ”sticosā... hablaremos otro āciberdĆaā.