lunes, 23 de marzo de 2015

La seguridad de la información en el imaginario de las Juntas Directivas. Un reto de transformación de creencias, actitudes y valores.

Introducción
Considerando la digitalización acelerada de la sociedad y las exigencias de los clientes por nuevos servicios y posibilidades, las organizaciones requieren cambiar de igual forma para estar a tono con esta nueva realidad. Ahora más que nunca las tendencias, las actitudes, los comportamientos y las necesidades de las personas, cobran mayor relevancia, toda vez que éstas manifiestan sus requerimientos a través de medios informáticos, los cuales deben ser capturados y potenciados por aquellos que están preparados para este reto.

En este sentido, la velocidad de los negocios cambia de manera dramática, lo cual establece un reto para la junta directiva: leer el entorno y responder tan rápido como sea posible, bien para crear una nueva ventaja diferencial, o desarrollar una novedad disruptiva que cambien la forma de hacer los negocios en su sector.

Todo esto es posible si la información que se tiene disponible se puede aprovechar, no solamente para ver los patrones del entorno, sino para modelar nuevos o dimensionar lecturas alternativas que permitan, una ventana de innovación consistente y permanente que mantenga quiebres constantes en aquellos que definen la visión de las empresas.

Si lo anterior es correcto, las tecnologías de información y comunicaciones (TIC) son elementos fundamentales para movilizar los esfuerzos requeridos en la transformación de las capacidades de los negocios y articular las actividades cotidianas de la empresa, haciendo más agiles sus procesos, motivando nuevas competencias en las personas e incorporando herramientas tecnológicas que desarrollen un ecosistema tecnológico alineado con los objetivos corporativos.

Lamentablemente a la fecha, el área de TIC, lleva el peso de una tradición empresarial generalmente asociada con temas de servicio, soporte y operaciones, un imaginario que se ha construido por muchos años y que sólo recientemente está comenzando a cambiar. Este imaginario, muy acentuado en las juntas directivas se manifiesta en posiciones como:
  • “Yo sólo quiero olvidarme de la TI, para concentrarme en el core de mi negocio”
  • “La tecnología debe ayudarme a hacer las cosas más fáciles, no complicarlas”
  • “Los de tecnología no saben que significa hacer las cosas más rápido, no conocen las presiones que nosotros tenemos”

Cada una de estas expresiones, manifiesta una lectura fallida de expectativas, una declaración no efectuada de solicitudes y una lectura del imaginario que cada miembro de junta tiene respecto de la tecnología y su implementación en las organizaciones.

Estas premisas confrontan al ejecutivo de tecnología de información frente a su papel en la organización, motivando reflexiones exigentes que demandan habilidades nuevas para modificar el imaginario actual y causar un cambio efectivo en los miembros de junta, que le permita establecer una ruta alterna y renovada del ejercicio de su cargo en la empresa.

Todo lo anterior es equivalente, leído en términos del ejecutivo de seguridad de la información, pues su evolución ha permeado igualmente su papel en las organizaciones desde el inicio, fundamentado inicialmente con un lenguaje técnico de seguridad y control que responde a la operación, semejante a lo que se define para la seguridad física; que luego se transformó en una gestión de riesgos y amenazas respecto del manejo de la información y que quiere, hoy dar el salto a una lectura en términos de negocio, como fuente natural de ventaja competitiva en un mundo altamente interconectado, instantáneo, incierto e inestable.

En este sentido, esta reflexión busca recabar en el imaginario de los miembros de junta de directiva respecto de la seguridad de la información y los momentos actuales que se viven en las organizaciones, para establecer algunas premisas de transformación de tal imaginario que permitan confirmar la expectativa de los aportes del CISO (Chief Information Security Officer) como fuente de ventajas estratégicas que protegen el valor de la empresa y habilitan la creación de nuevos desarrollos de empresariales.

Aproximación conceptual al imaginario de los miembros de junta
Generalmente un imaginario está lleno de creencias, valores y actitudes que hacen parte de la forma como una persona se aproxima a la realidad y toma decisiones en este contexto. En este sentido, no es natural que una persona haga evidente estos elementos y por tanto, se requieren estrategias que permitan dar cuenta de los mismos, para revelar esa lectura del entorno y sus prioridades basado en estos elementos subyacentes de los seres humanos.

Los miembros de junta generalmente vienen de diferentes mundos o mundos conocidos, algunos más experimentados que otros. Muchos de ellos sometidos a grandes presiones y otros más recorridos en temas estratégicos creando oportunidades para las empresas. Así las cosas, un miembro de junta o generalmente conocido como director, tiene una vista amplia de las organizaciones y procura estrategias que buscan capitalizar lo mejor de las oportunidades para beneficio de la empresa y por tanto para engrosar su capital político, fundamento de su actuar en estos cuerpos colegiados.

No es frecuente que entre los miembros de junta haya personas conocedoras de las tecnologías de información o menos de seguridad de la información, ellos saben que son temas relevantes, pero no cuentan con una lectura completa de dichas temática, dejando a su experiencia la interpretación de los mismos, encuadrándolos en aquello que conocen de su larga trayectoria, sin darse la oportunidad de crear un quiebre que les descubra nuevas opciones y posiciones que renueven sus creencias respecto de dicho tema.

Así las cosas, encontramos el analfabetismo digital como una enfermedad recurrente en los cuerpos directivos colegiados, que tratan de leer el negocio desde la perspectiva natural de las inversiones, alianzas y utilidades, sin conectar las relaciones claves de las organizaciones modernas, basadas en información y conocimiento, las cuales tienen sus redes en los sistemas de información y el aseguramiento de los procesos de las empresas.

En este sentido, el imaginario relevante de los directores no lee la variable tecnología o seguridad, como elemento clave de los negocios, hasta que la inevitabilidad de la falla logra penetrar y afectar las decisiones que hacen parte de los planes estratégicos de la empresa. Una fuga de información sensible, una falla de un sistema de información que compromete información de clientes, una ataque masivo que deja inutilizada a la empresa, eventos reportados recientemente que cambian la lectura de la estrategia empresarial y torna la mirada sobre elementos que siempre habían estado allí y que ahora demandan atención, pues se pone en peligro no solamente la empresa, sino su capital político respecto del entorno.

Frente a esta realidad, el imaginario del director entra en tensión con la lectura del entorno que le obliga a documentarse sobre qué significa y cómo puede afectar los destinos de la empresa las variables tecnología y seguridad de la información. En este ejercicio, que recaba en un esfuerzo particular del miembro de junta, se percata que existen eventos de alcance internacional que manifiestan una preocupación en otras juntas directivas y que de alguna manera vale la pena revisar y analizar en el contexto de su participación actual.

Una vista parcial y conceptual del imaginario actual de un miembro de junta tradicional, frente a la tecnología y la seguridad de la información, podría expresarse como sigue:

Imaginario
Tecnología de Información
Seguridad de la Información

Creencias

( Convicciones del sujeto, a partir de la información poseída, de que realizando una conducta dada obtendrá resultados, positivos o negativos, para él – (Escámez, García, Pérez y Llopis, 2007, p.50) )
“Los que soportan la operación”, “Los que arreglan los equipos”, “Los que nos ayudan para usar el ERP”
“Los que instalan los antivirus”, “Los que hacen lentos los equipos”, “Los que nos restringen la navegación”

Valores

( Conjunto de cualidades que moldea la identidad de las personas que pertenecen a una comunidad. – (Escámez, García, Pérez y Llopis, 2007, p.20) )

Ayudar, Apoyar, Colaborar
Restringir, Bloquear, Limitar

Actitudes

( Predisposición aprendida para responder consistentemente de un modo favorable o desfavorable con respecto a un objeto social dado - (Escámez, García, Pérez y Llopis, 2007, p.50) )
Positiva – Si en el pasado ha tenido una experiencia satisfactoria respecto de un requerimiento solicitado.

Negativa – Si en el pasado ha tenido una experiencia negativa respecto de un requerimiento solicitado.
Positiva – Cuando las medidas de seguridad no se notan, o son invisibles respecto de las acciones que ellos requieren para operar.

Negativa – Cuando ocurre un incidente de seguridad que los afecta a ellos o la empresa, como quiera que la seguridad es algo que otros hacen por ellos.
Tabla No. 1 Revisión conceptual del imaginario de los miembros de junta sobre Tecnología de Información y Seguridad de la Información.

En este sentido, el imaginario que los miembros de junta tengan respecto de la seguridad de la información será información relevante para establecer la forma a través de la cual el ejecutivo de seguridad de la información debe interactuar y por otro lado, para fundamentar la estrategia que permita motivar un cambio respecto de la temática, apalancado en la relevancia de los resultados obtenidos y las invariabilidades propias de la gestión de la seguridad de la información, ocasionadas por la inevitabilidad de la falla.

Cruzando dos imaginarios: la Junta Directiva y el CISO
Cuando el CISO no tiene en consideración el imaginario de su junta directiva respecto de su papel en la organización, no entra a negociar, sino a regatear. Durán (2015) lo define claramente cuando afirma que:

            Lo primero que hay que entender es que negociar no es una carrera en la que gana el que cruza primero la línea de meta. Cuando eso sucede, la negociación resultó fallida. Una transacción exitosa se logra cuando ambas partes traspasan el umbral al mismo tiempo. Es decir, cuando ambos finalizan satisfechos del resultado y estarían dispuestos a repetir la experiencia. (…) Cuando en una negociación, alguien se sienta asfixiado y el otro se sienta el conquistador triunfante, allí no hubo negociación sino regateo. (Durán, 2015)

En razón a lo anterior, muchos de los grandes reparos que se escuchan por parte de los ejecutivos de seguridad, es precisamente que cuando entran al recinto de la junta, siempre llegan con el marcador en contra, como quiera que hay una posición dominante, un juicio y lectura que se sobrepone a todo lo demás, que no deja espacio para motivar una ruta compartida, dado que no son evidentes las creencias, actitudes y valores que los directores tienen del tema que se presenta.

Habida cuenta de lo anterior, se hace necesario que los ejecutivos de seguridad de la información desarrollen la habilidad para detectar y analizar los imaginarios de su junta directiva, para establecer una construcción colectiva de lo que significa la seguridad de la información para la empresa, cómo se percibe en el ejercicio de los directores y la manera como le permite al negocio una vista diferente a la tecnología y le plantea referentes novedosos para repensar los objetivos estratégicos de la corporación.

Por lo tanto, no se trata exclusivamente de un ejercicio de autoridad e influencia per se del CISO (como características propias de sus competencias), como lo anota Violino (2014), sino de comprensión de doble vía con los directores, que dé oportunidad para compartir y desarrollar una lectura conjunta de la seguridad de la información en el contexto de los objetivos de negocio, para que en la agenda del CEO (Chief Executive Officer) (Parakala, 2015) y de la junta directiva, los riesgos y amenazas de la empresa, como pueden ser entre otros, ataque masivos o ciber ataques, no se lean como un reto típico de tecnología de información de la empresa, sino como una oportunidad para repensar la exigencias del negocio y motivar una vista conjunta de los impactos operacionales y estratégicos de la compañía.

En consecuencia, leyendo en clave de seguridad de la información la propuesta de Marchand y Peppard (2014) respecto de las mentalidades de los gerentes de negocio y el CIO (Chief Information Officer), podemos advertir algunas indicaciones que nos pueden ayudar a detectar elementos que los miembros de junta tienen en sus imaginarios y así comenzar a visualizar mejores formas de aproximación y aprendizaje del tema de seguridad y control en la organización.

Figura No.1 Mentalidades de la Junta Directiva y el CISO (Adaptado de: Marchand y Peppard, 2014)

Reflexiones finales
      De acuerdo con el documento de CTPartners (2015) el CISO del 2020 deberá desarrollar una vista holística de los riesgos y amenazas que proteja los activos más sensibles de la empresa,  proveer orientación y apoyo a la junta directiva en para anticipar y responder a las amenazas emergentes, así como a requerimientos normativos relevantes para la operación de la compañía, con una postura de influencia y liderazgo ante entes externos de la empresa, que permita desarrollar una comunidad de contactos que asista a la empresa cuando eventos relevantes se presenten.

     En este sentido, el CISO debe comenzar a construir un capital político clave que le permita acceder con mayor facilidad a los miembros de junta y así recabar con mayor precisión en su imaginario para participar más activamente en la revisión de la estrategia de la empresa, como custodio y guardián del valor de la empresa, representada en activos estratégicos de información. Esto se logra, entre otras cosas, participando en círculos de asociaciones internacionales relevantes del tema o de su sector, motivando reuniones con actores claves del entorno para compartir experiencia y apoyando ejercicios de construcción colectiva de referentes de la industria en sus temáticas particulares.

     Si bien el CISO debe tener habilidades manifiestas de buen comunicador, estratega, motivador y vendedor, no será suficiente para lograr transformar la esencia de su función y la fuente de su gobierno, si no logra leer con mayor claridad el imaginario de su junta directiva o mejor, si no motiva un cambio en el mismo, que le permitan alcanzar mayor visibilidad de sus actos en el gobierno de la seguridad de la información.

       Así las cosas, el CISO debe trasegar los caminos de los educadores, los cuales permanentemente están abriendo oportunidades para aprender y buscando maneras novedosas para que sus estudiantes eleven su nivel de conocimiento y entiendan, que su misión no consiste en “darle respuesta a todas sus preguntas”, sino “ayudarles a construir mejores preguntas”, y en este intercambio, dejarse sorprender y anticipar nuevas formas para comprender la seguridad de la información desde la inevitabilidad de la falla.

Referencias
Durán, C. (2015) Negociar no es regatear. Forbes México. Recuperado de: http://www.forbes.com.mx/negociar-no-es-regatear/
Violino, B. (2014) Does Your Title Match Your Authority?. CIO Magazine. Recuperado de: http://www.cio.com/article/2378982/careers-staffing/does-your-title-match-your-authority-.html
Parakala, K. (2015) What CEO Really Wants From The CIO. Recuperado de: http://www.cxotoday.com/story/what-ceo-really-want-from-a-cio/
Marchand, D. y Peppard, J. (2014) Leadership mindset for IT Success. The European Business Review. April. Recuperado de: http://www.europeanbusinessreview.com/?p=302
Escámez, J.,  García, R.,  Pérez, C. y Llopis, A. (2007) El aprendizaje de valores y actitudes. Teoría y práctica. Madrid, España: Editorial Octaedro-OEI.

domingo, 8 de marzo de 2015

Fundamentos de la ciber defensa. Reflexiones sobre la estrategia

Introducción
Hablar del contexto de los ciber conflictos, es hablar de un terreno que, para algunos, puede ser inverosímil o inexistente y para otros, una realidad silenciosa cuyas manifestaciones actuales pueden ser sólo la punta del iceberg, de aquello que yace profundamente entretejido en las brechas de seguridad, los intereses nacionales y las tensiones geopolíticas.

Los conflictos por lo general están motivados por intereses, deseos de control y apropiación de activos estratégicos y posicionamiento de uno de los bandos. En el contexto de la guerra regular, cada uno de ellos medianamente conoce las capacidades de los otros, por lo que en el juego de la estrategia los movimientos utilizados no advierten sorpresas o acciones inesperadas que puedan sorprender dramáticamente a los otros.

En el contexto de operaciones militares en el ciber espacio, denominado recientemente como un nuevo teatro de operaciones, las condiciones de la estrategia cambian. Si bien, las capacidades inherentes de cada parte en conflicto se mantienen, como son las defensivas, ofensivas, disuasivas, diplomáticas y de inteligencia, el desarrollo y aplicación de las mismas son inciertas. En este sentido, el ciber conflicto crea un conjunto de variables aleatorias y posibilidades infinitas, que mantiene una tensión permanente en el escenario de combate, donde se sabe que al final cualquier estrategia defensiva, será comprometida, vulnerada y superada por cuenta de la inevitabilidad de la falla.

En este ambiente, donde las personas del común hacen parte de las operaciones de cada bando, se establecen vectores de ataque cuyas configuraciones y alcances, no están determinados exclusivamente por el conocimiento de las tecnologías y sus vulnerabilidades, sino por la forma como es posible combinar aspectos de las prácticas tradicionales con las novedades de las propuestas emergentes. Así las cosas, lo que se puede motivar a través de comunidades emergentes en el ciber espacio, puede ser tan desequilibrante como la aplicación de técnicas de hacking tradicionales sobre aspectos novedosos de las tendencias tecnológicas.

En un combate claramente asimétrico, es decir, cambiante, incierto, inesperado y donde no hay reglas conocidas a la fecha, las ciber operaciones en el ciber espacio generan efectos no deseados en personas, procesos y tecnología, con impactos de alcance local y global. En este sentido, las tácticas usadas por cualquiera de los bandos, exhiben técnicas, métodos o trucos que logran desestabilizar a su oponente en el corto plazo, sin perjuicio de visiones, principios y decisiones que se piensen en el largo plazo, ejecutadas generalmente de forma sigilosa y silenciosa, con impactos de alcance global y resultados que resulten irrelevantes para los ojos del contrario, pero claves y decisivas para el adversario (Rubio, 2014).

Formulación de la estrategia
En el ciber espacio, el objetivo de una estrategia de defensa no puede ser proteger la organización contra el futuro, sino alinearla con éste y tomar ventaja del mismo (Aurik, Fabel y Jonk, 2015, p.18). Esto implica crear una vista de defensa inspirada en el futuro, que permita comprender los riesgos competitivos emergentes, para que desde el presente se ganen espacios estratégicos relevantes e influyentes. Lo anterior, supone identificar tendencias fundamentales claves que hagan difícil predecir las oportunidades disponibles para la organización, por parte de los contrarios, y crear disparadores tácticos (distractores creíbles) que mantengan la atención de la contraparte, fuera de los objetivos estratégicos que se persiguen desde el comando central de la empresa.

De acuerdo con Aurik, Fabel y Jonk (2015) tres son los pasos claves que se deben tener en cuenta para desarrollar una estrategia: inspirarse en el futuro, ser organizacionalmente inclusivo y adoptar un enfoque de portafolio. A renglón seguido se presenta un resumen de estos pasos, sus factores críticos de éxito y riesgos claves, con el fin de contextualizar los análisis de una estrategia de defensa en el ciber espacio que dé cuenta de las inestabilidades actuales y defina las acciones claves para hacer más resistente y disuasivo el ejercicio de los combates en este escenario.

Inspirarse en el futuro
El énfasis pasa de centrarse en la investigación, el análisis y extrapolaciones de los problemas actuales a mirar hacia el futuro en busca de inspiración estratégica y propósito. El pensamiento estratégico toma señales directas de las tendencias fundamentales que están afectando a la empresa ahora o puedan afectarla en el futuro. Los megabytes de análisis no conducen necesariamente a la inspiración, mientras que las tendencias fundamentales apoyadas por ejemplos, datos, cifras e historias, si lo hacen.

Factor crítico de éxito:
Contar con personas expertas, con conocimiento especializado del entorno, que tengan la capacidad de, no solo “conectar los puntos” en el entorno empresarial y global, sino proponer “nuevos puntos”, para visualizar propuestas de dirección estratégica y orientación organizacional, que generen mayor agilidad empresarial y posicionamiento estratégico continuado en su sector de negocio.

Riesgos claves:
Al detectar oportunidades competitivas para la empresa, es importante revisar si se cuentan con las capacidades necesarias para asumirlas y desarrollarlas. En este sentido, es importante valorar previamente los elementos organizacionales requeridos para dar cuenta de esta oportunidad y advertir las decisiones claves requeridas para hacerlas realidad.

Ser organizacionalmente inclusivo
Una estrategia efectiva es aquella que es organizacionalmente comprensiva y conecta a las personas en todos los niveles de la empresa en su formulación. En este sentido proporcional la capacidad multidisciplinar para traducir las tendencias fundamentales, en oportunidades relevantes para la creación de ventajas competitivas, para luego desplegarlas en iniciativas apropiadas.

Factor crítico de éxito:
Proporcionar la inspiración necesaria en cada una de las personas que participan en el ejercicio estratégico, con el fin de hacer frente a los retos y oportunidades que se presenten con una vista holística y sistémica. Esto es, entender que estamos conectados y en la medida que se comprendan las relaciones y sus significados subyacentes, es posible visualizar más oportunidades para innovar y crear formas diferentes de capturar valor.

Riesgos claves:
Ser organizacionalmente inclusivo demanda entender la responsabilidad que le asiste a todos aquellos que participan en el ejercicio. Esto es, entender que las brechas de ejecución y sus impactos serán parte inherente de su participación, lo que significa ser solidariamente responsable con los resultados de la aplicación y puesta en marcha de las oportunidades. El pensamiento de sistemas deberá ser la práctica permanente no sólo para ver nuevos espacios de oportunidad, sino los riesgos competitivos que pueden comprometer el posicionamiento estratégico de la empresa.

Adoptar un enfoque de portafolio
Pensamos en términos de un portafolio de oportunidades competitivas. Las oportunidades están conectadas por un plan de juego estratégico general (donde se encuentra el propósito de la organización), las cuales crecen continuamente y son seleccionadas por personas dentro de la organización. En este sentido, las actividades de la empresa estarán alineadas con sus objetivos competitivos y sincronizados con el cambiante entorno empresarial.

Factor crítico de éxito:
Cultivar y mantener de manera permanente la inspiración e inclusión de las personas de la organización, como un marco estratégico de orientación, que incremente la confianza y el respeto mutuo en el ejercicio de proponer y desarrollar oportunidades para crear nuevos puntos de reflexión empresarial, en el contexto de los objetivos estratégicos.

Riesgos claves:
El enfoque de portafolio supone que se comparte una vista transversal de oportunidades e impactos para la organización. Cuando esa vista no se mantiene en la ejecución y resquebraja la imagen conjunta de aquello que les inspira, se motiva una vista de silos o parcializada, lo cual debilita la inspiración aumentando una vista competitiva entre áreas que degrada la confianza y respeto de aquellos que participan. El ejercicio deja de ser inclusivo, para que surjan sectores exclusivos que manejan agendas e intereses diferentes a los corporativos.

Evaluando tendencias fundamentales para la defensa
Hacer que el futuro ocurra, implica establecer las tendencias fundamentales relevantes en el entorno, alineando el olfato corporativo para revelar aquellas que serán parte inherente del ejercicio de reflexión y análisis, que permita alcanzar las ventajas competitivas, desde la lectura de las propuestas en el presente.

Realizar este ejercicio para construir una estrategia de defensa, necesariamente pasa por un análisis extendido del ambiente de operaciones de la empresa o la nación, que lleno de múltiples variables y tensiones, hace exigente y demandante descifrar los escenarios y contextualizar las necesidades para lograr el propósito requerido al plantear la estrategia.

Para ello, se hace necesario evaluar las tendencias fundamentales del entorno con el fin de construir la ilusión estratégica que se proyectará sobre el campo de operaciones, la cual deberá ser finamente articulada con la intención estratégica y competitiva que la organización persigue, creando vínculos personales, psicológicos y profesionales profundos que motiven conductas y actitudes que desafíen cualquier expectativa racional de un analista.

Alta (Exponencial)

I. Mantenerla en lista de vigilancia de disrupciones competitivas

IV. Debe atenderla por el potencial disruptivo y sus impactos
Tendencia fundamental “Velocidad del cambio”



Baja (Lineal)
II. Parquearla
III. Debe atenderla por el impacto competitivo

Baja
Alta

Importancia de la tendencia fundamental para la compañía en el futuro

Figura No.1 Evaluación de tendencias fundamentales (Tomado de: Aurik, Fabel y Jonk, 2015, p.27)

Siguiendo la lógica planteada en la figura No.1 existen cuatro formas de efectuar la evaluación de la tendencia fundamental. En el eje x de acuerdo con la importancia para la empresa en el futuro y en el eje y de acuerdo con las observaciones  o expectativas de la velocidad del cambio.

Todo aquello que se sitúe en el cuadrante cuatro (IV), son aquellas tendencias fundamentales claves y estratégicas que deberán tomarse para inspirar y crear el futuro de la defensa y que deberán mimetizarse en el ejercicio del desarrollo de la misma en medio de la cotidianidad de las operaciones.

Aquellas que sean valoradas en cuadrante tres (III) serán las que debe usar la organización para crear la ilusión estratégica, la cuales son claves para la empresa, pero cuya velocidad de cambio es lenta. Esto crea una lectura de comodidad y de cambios progresivos, en los adversarios, los cuales se pueden leer como inercia empresarial y baja capacidad de respuesta, creando un imaginario tranquilidad y poca atención que podría ser capitalizado por la contraparte.

Lo que se refleje en el cuadrante uno (I) son las tendencias latentes que pueden cambiar con el tiempo y crear verdaderos cambios en el campo de operaciones y cambiar las reglas de juego. Es una lista de observación permanente que debe ser parte del análisis de escenarios de la mente del estratega, pues allí puede haber oportunidades y riesgos para el desarrollo de sus planes tácticos y desequilibrantes contra sus adversarios. Es importante, anotar que este juego de contrainteligencia se debe jugar teniendo claro siempre aquello que inspira la estrategia de defensa.

Finalmente lo que se registra en el cuadrante dos (II) es aquello que se comparte entre las partes en conflicto, lo que se ve y advierte en la generalidad del entorno y que claramente  no define movimientos estratégicos relevantes para crear acciones superiores de unos contra otros.

Una lectura actual de esta gráfica en medio de los acontecimientos recientes donde empresas, países y personas se han visto involucradas en actividades de ciber espionaje, robos de propiedad intelectual, revelación de datos personales, movimientos hacktivistas y amenazas ciber criminales, podría reflejar algunas indicaciones de las condiciones y movimientos que los diferentes actores del conflicto hacen para crear posiciones estratégicas y cambios geopolíticos relevantes.

Alta (Exponencial)

I. Botnets
Amenazas persistentes avanzadas
Ataques de día cero

IV. Técnicas de evasión avanzadas
Ciber pandemias
Computación oscura

Tendencia fundamental “Velocidad del cambio”



Baja (Lineal)


II. Ingeniería social
Denegación de servicio
Fuga de información


III. Twitter como vector de ataque
Spear phishing
Ciber espionaje


Baja
Alta

Importancia de la tendencia fundamental para la compañía o nación en el futuro

Figura No.2 Lectura conceptual de tendencias fundamentales (Adaptado de: Aurik, Fabel y Jonk, 2015, p.27)

Con este escenario, las estrategias de defensa que se planteen en medio de los ciber conflictos deberán evolucionar rápidamente para crear nuevos significados que resistan los análisis de los adversarios, manteniendo la esencia de los conflictos bélicos, la confusión y la información limitada.

Reflexiones finales
Así las cosas, las enseñanzas y lecciones aprendidas de los conflictos regulares expuestas por Sun Tzu, Napoleón, Atila, Gengis Khan, Alejandro, Churchill, entre otros (Rubio, 2014), son insumos determinantes para ganar batallas en el ciber espacio, pero no las que se requieren para superar a un adversario y acabar un ciber conflicto. Estas últimas aún no están escritas, pues la novedad de su desarrollo apenas se puede intuir a través de las noticias y los eventos que se conocen, dejando en la incertidumbre, el miedo y las dudas, una lectura borrosa para la ciudadanía en general.

Latente o no, realidad o mito, los ciber conflictos son parte de la cultura del ciber espacio, como quiera que la realidad de la guerra no es ajena a una vista extendida de la sociedad en un espacio de interacción amplio, generoso e internacional, donde las posibilidades están en la mente de sus participantes y los linderos en el imaginario de sus propuestas.

Es claro que continuarán las manifestaciones de ataques masivos destructivos, operaciones encubiertas internacionales, violaciones de datos personales en los países y campañas militares informáticas estratégicas y tácticas, que darán cuenta de los intereses y necesidades de control de las naciones y empresas, pues en un escenario donde las reglas aún no están escritas, cualquier posibilidad es viable y cualquier actividad bélica informática será válida.

Por tanto, desarrollar la capacidad para evaluar las tendencias fundamentales del entorno, será una virtud de las empresas y naciones, toda vez que podrá hacerse una lectura diagnóstica de la situación actual de la organización y al mismo tiempo organizar los recursos y prácticas para crear el ejercicio de defensa que determine la posición estratégica de un adversario, sin que se exponga la agenda oculta de la contraparte.

La estrategia de defensa en el escenario de los ciber conflictos, no es ajena a las doctrinas militares tradicionales, sino que deben ser leídas desde las tensiones internacionales y las posibilidades tecnológicas, para construir imaginarios en los nuevos analistas y especialistas informáticos en el sector de la defensa, que reafirmen los intereses que defienden y la soberanía que está en juego.

No podemos inspirar el futuro, sin ser inclusivos ni mantener un portafolio. Esto es, no podemos crear una defensa efectiva en el ciber espacio, que sea resistente a los análisis y los ataques de los adversarios, sin capitalizar las diferentes lecturas del entorno y sus datos, así como las posiciones y contradicciones de los actores en conflicto. Por tanto, el portafolio de oportunidades competitivas y diferenciadoras que se prevea, deberá capitalizar a la inseguridad de la información como su aliada estratégica en la ejecución, para degradar la confianza y el respeto del contrario, fortaleciendo la inspiración estratégica que guía su posición.

Referencias
Aurik, J., Fabel, M. y Jonk, G. (2015) The future of strategy. A transformative approach to strategy for a World that won’t stand still. McGraw Hill.
Rubio, A. (2014) Así en la empresa como en la guerra. La estrategia bélica como paradigma del triunfo empresarial. Barcelona, España:Espasa.