Los más
experimentados directores o ejecutivos de seguridad de la información tienden a
sufrir la “paradoja de la experiencia”. Una paradoja que generalmente se presenta luego de más de una o dos décadas de ejercicio profesional en dicha disciplina.
Esta paradoja, si bien no es algo que comprometa la esencia de su práctica, si
es un riesgo latente que deben atender para evitar el aumento del nivel de sesgos
que se pueden presentar en sus decisiones, sin poderlos notar.
La paradoja de la
experiencia es, siguiendo las ideas de Taylor (2016, p.72-73), “la frustrante realidad de que cuanto más
profundamente sumergido se está en un mercado, una categoría de producto o una
tecnología, más difícil resulta abrirse a nuevos modelos, nuevas ideas o
propuestas que pueden remodelar ese mercado o formas prometedoras de superar esa
tecnología”. En este sentido, cambiar de dominio o perspectiva puede ayudar
al ejecutivo de seguridad de la información a retar su práctica introduciendo
visiones que sugieran reflexiones distintas.
En un contexto donde
el flujo de información se presenta de formas inesperadas, la densidad digital (Káganer, Zamora, & Sieber, 2013) aumenta de manera exponencial y más objetos del mundo físico son digitalmente
modificados, es necesario que los profesionales de seguridad tomen distancia de
sus saberes previos y las buenas prácticas que conocen, para observar la nueva
pintura de la realidad que tienen en la actualidad. El ejercicio no es observar lo que se ve en este panorama, sino
poder hablar acerca de lo que se ve, poder detallar aspectos invisibles a la
cognición y particularmente, reconocer que no se tiene la variedad requerida
para dar cuenta con los riesgos emergentes o reinventados, que se ocultan en este
contexto.
Crear zonas de disonancia
y discrepancia en la manera como se lee el entorno, permite mover de la zona
cómoda a los analistas tradicionales de seguridad. Incorporar visiones de personas no especialistas en seguridad, profesionales que sean críticos de los
estándares conocidos, sorprenderse
con posibilidades no documentadas, incorporar
lecciones aprendidas de otros procesos y crear conexiones entre dominios aparentemente no relacionados son
entre otras, algunas rutinas que la función de seguridad de la información
deberá incorporar para poder superar el reto de la “paradoja de la experiencia”.
En este contexto, los profesionales de seguridad deben activar
más que la innovación, la imaginación. Esto es, ventanas de aprendizaje permanente, creando experiencias de eventos que
puedan sorprenderlos, con el fin adelantar un ejercicio semejante al que
adelantan los atacantes. Mientras los “chicos malos” se mantienen “jugando
y experimentando” en el terreno de la incierto y no documentado, los
profesionales de seguridad de la información deberán desarrollar un sentido
de urgencia para avanzar y concretar propuestas que visualicen nuevas
formas de anticipar los movimientos de los agresores.
Por tanto, los ejecutivos
de seguridad de la información deberán estar atentos a reconocer y superar al
menos los siguientes siete (7) sesgos (Meyer & Kunreuther, 2017) en sus decisiones
sobre la protección de la información y el valor de la empresa, como quiera que
no hacerlo, es habilitar un entorno de vulnerabilidad no documentada, que sólo
se hace evidente una vez se ha concretado un hecho.
El primero es el sesgo de miopía, que implica
concentrarse en decisiones de corto plazo y soluciones inmediatas. Este sesgo
muchas veces se aumenta con la presión de las organización y los miembros de
junta por tener resultados de manera pronta, lo que termina marginando la capacidad
sistémica de ver otros aspectos del entorno, que pudiendo ser relevantes, terminan
siendo marginados de los análisis y abandonados luego por la exigencia de agilidad
y efectividad requerida por la organización.
El segundo es el sesgo de amnesia, que se concreta cuando
se olvidan rápidamente las lecciones del pasado. Un ejecutivo de seguridad que
no mantiene la trazabilidad o línea de tiempo de los eventos claves que han
ocurrido dentro o fuera de la organización, termina decidiendo con lo que con
su corta memoria puede recordar sobre los hechos que se materializaron. Su
equipo debe ayudarlo a mantener vigente el mapa de lecciones que se han
aprendido y se deben aprender.
El tercero es el sesgo de optimismo, que habla sobre
subestimar la probabilidad de la pérdida por un incidente. Si bien, el
ejecutivo de seguridad sabe el nivel de inversión y confiabilidad de la tecnologías
de protección que tiene incorporada, debe mantener un mínimo de paranoia bien
administrado que le permita estar indagando y retando los niveles de seguridad
y control que tiene disponibles y cómo un ataque puede afectar a la
organización y comprometer el valor que ella genera.
El cuarto es el sesgo de inercia, ese que quiere
mantener el statu quo, aquel que dice “lo que tenemos es suficiente y además no
ha pasado nada”. Esta postura, lo que hace es habilitar un escenario de
posibles amenazas que crece de forma silenciosa, dado que los atacantes saben y
conocen las rutinas de monitoreo y control que tiene la organización. Lo que
aparentemente puede ser normal, puede estar gestando una brecha de forma
oculta.
El quinto sesgo es el de simplificación, en donde
el ejecutivo tiene atención selectiva a ciertos detalles, dejando de lado a otros.
Este sesgo es muy sensible y requiere que múltiples fuentes y análisis se vinculen
y reten las reflexiones del director de seguridad de la información, con el fin
de ver aspectos del entorno que podría ser relevantes frente a una situación
particular. Las tendencias y patrones que se puedan identificar, aún no sean
confirmadas pueden ayudar a anticipar posibles amenazas que están en curso.
El sexto sesgo es el de influenciar, en el cual
el responsable de seguridad de la información toma acción basado en opciones
que otros han tomado previamente. Si bien, otros colegas tienen experiencia en
el tratamiento de una situación particular, es claro que tenían un contexto diferente
de aquel que la tiene en este momento. Por tanto, es clave consultar la práctica
de otros, para construir el escenario propio donde variables diferentes van a
orientar decisiones en otras direcciones.
El último sesgo de arrogancia(*), es una característica del
profesional de seguridad que piensa que conoce siempre la respuesta para asegurar
una situación inesperada. Si bien el responsable de seguridad debe confiar en
sus saberes, prácticas y estándares, y transmitir tranquilidad a sus grupos de
interés, debe también darle paso a aquellos que desde otras disciplinas retan
sus reflexiones y propuestas. En la medida que el directivo de seguridad pueda
superar sus propias seguridades, es posible encontrar alternativas que sumen a
las iniciativas de protección que requiere una organización.
En consecuencia, la “paradoja
de la experiencia” es un elemento a tener en cuenta en el desarrollo de un Chief Information Security Officer, como
una sana advertencia para mantenerse atento sobre los acelerados cambios del
entorno, las inestabilidades de sus saberes previos y sobremanera, como una
forma de preguntarse cada cierto tiempo, “¿cuándo fue la última vez que hice
algo por primera vez?”.
Referencias
Káganer, E., Zamora,
J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. Tercer trimestre. 18.
Meyer, R. &
Kunreuther, H. (2017) The ostrich paradox. Why we underprapare for disasters.
Philadelphia, Pennsylvania. USA: Wharton Digital Press.
Taylor, W. (2016) Simply brillant. How great organizations do
ordinary things in extraordinary ways. New York, USA: Penguin.
(*) Sesgo basado en
la experiencia y fuera de la referencia de Meyer & Kunreuther (2017).
No hay comentarios:
Publicar un comentario