Introducción
En el contexto de
los riesgos informáticos y cibernéticos, los temas de seguridad de la
información y ciberseguridad aparecen bien como riesgos operativos o como
riesgos no financieros. Por lo general, estas temáticas se relacionan
directamente con el área de tecnología o de seguridad informática, quienes finalmente
lo asumen desde la perspectiva técnica que tienen a cargo y, no con la vista
sistémica y global que se requiere.
Esta realidad, confirma
el imaginario técnico que los ejecutivos tienen del tema y hace evidente su
desinterés por comprenderlo en profundidad, como esa realidad transversal que
afecta la dinámica del negocio y reconoce sus impactos en los diferentes grupos
de interés. En este sentido, la gestión del riesgo de ciberseguridad, queda por
fuera de la agenda ejecutiva como riesgo estratégico de la empresa, y pasa a
ser “algo que resuelven los de tecnología”.
Podríamos decir que
los ejecutivos en las organizaciones, sufren de al menos dos sesgos claves que
les impide ver las implicaciones del riesgo de ciberseguridad. Por un lado, el
sesgo de miopía, que tiende a ver el corto plazo y sus impactos, y el sesgo de
optimismo, que lleva a subestimar la probabilidad de la pérdida de la
materialización de eventos futuros (Meyer & Kunreuther, 2017). Estos dos
sesgos combinados, configuran un marco de comprensión que limita a los directivos
romper con el esquema de “creer que conocen los riesgos”, configurando un escenario
que cultiva la inevitabilidad de la falla, basado en la realidad que conocen a
la fecha.
En este contexto,
desarrollar una gestión de los riesgos cibernéticos, como categoría formal
dentro del mapa general de riesgos de la compañía, se hace complejo, como
quiera que no se comprenden las implicaciones de la conectividad y aumento de
la densidad digital en el negocio, y se convive con sesgos cognitivos (muchas
veces no reconocidos), que opacan las reflexiones requeridas para visibilizar
los escenarios adversos que se pueden presentar en el futuro, por cuenta de una
acelerada convergencia tecnológica, para la cual, muchos profesionales, ejecutivos
y empresas no están preparados.
En consecuencia,
desarrollar un programa de gestión de este riesgo cibernético, o pensar en
configurar un modelo de madurez, generalmente responde a la necesidad de
certezas de los ejecutivos de primer nivel, con fin de contar con un instrumento
que trate de configurar un espacio de “control y gestión” donde puedan sentirse
menos incómodos con el incierto que genera la condición del reto cibernético o
de ciberseguridad, que ahora se presenta en los cuerpos colegiados de primer
nivel de las empresas.
Basado en lo
anterior, y sin perjuicio, que contar con referentes claves de prácticas y
procesos de ciberseguridad es un avance positivo y necesario para una
organización, es imperativo comprender que tratar de cercar la incertidumbre e
inestabilidad que ocasiona una mayor conectividad (Saran, 2017), es una tarea
que incluye a todos los actores organizacionales, un reto de comprensión
sistémica del negocio, que generalmente no tiene un dueño específico, pero si
unos grupos de interés que reclaman atención cuando eventos adversos se materializan
en el dominio de acción de la empresa.
Retos de la gestión del riesgo cibernético
Un reciente estudio
de Deloitte (2018) revela algunos aspectos claves de la gestión del riesgo de
ciberseguridad, los cuales advierten la necesidad de una vista holística por
parte de las organizaciones, inversiones requeridas para configurar visiones
prospectivas de las amenazas y contratación de talento especializado que se
reinvente frente a la volatilidad del entorno. A continuación se detallan
algunas reflexiones alrededor de tres (3) de los elementos que mayor puntuación
tuvieron en el estudio en mención.
El primer elemento,
no hace referencia a aspectos técnicos o tácticos de la organización, sino a
consideraciones estratégicas como “estar adelante en los cambios de las
necesidades del negocio”, que se pudiese parafrasear como “anticipar escenarios emergentes para la organización”. Este primer punto,
establece una declaración clave para la empresas y sus ejecutivos: no se trata
de repetir aquello que se conoce o generalmente se lleva para presentar en la junta,
sino crear un espacio para retar aquello que se hace a la fecha y tratar de
imaginar cómo se puede afectar el modelo de generación de valor de la empresa.
Lo anterior, significa
revisar y comprender el riesgo cibernético como una malla de implicaciones técnicas,
sociales, económicas y políticas que ubica a la empresa en un ecosistema
tecnológico dinámico, donde reconoce actores relevantes de su entorno,
incluidos sus aliados y competidores estratégicos, para identificar las
interacciones que son de interés, y así crear zonas de ventajas competitivas (OECD,
2015), las cuales debe custodiar y defender de las amenazas digitales
naturales, que establecen actores conocidos y desconocidos, los cuales hacen parte
del nuevo paisaje digital donde la empresa ahora tiene presencia.
El segundo aspecto
clave identificado en el estudios “hacer frente a las amenazas de actores sofisticados”,
que pudiésemos configurar como “enfrentar
las amenazas de actores desconocidos”. Cuando se entiende que en la
actualidad una organización se encuentra ubicada en un espacio donde existe una
confrontación de intereses por activos digitales estratégicos, se quiebra el
marco general de prácticas asociadas con los riesgos informáticos, dedicado a
proteger y asegurar, para inaugurar la incorporación de las capacidades
críticas como defender y anticipar.
Mientras en los
estándares tradicionales de seguridad, se buscan alcanzar certezas sobre el incierto
que puede producir un ataque, en el escenario de la ciberseguridad, no
solamente hay que considerar lo anterior, sino reconocer el territorio de
acción de los adversarios, sus recursos, sus posibilidades, capacidades e
impactos con el fin de modelar acciones en diferentes aspectos: técnico, políticos,
económicos y sociales, de tal forma, que enfrentar las amenazas digitales
actuales, no responde a un ejercicio de los “técnicos”, sino a una visión
estratégica del negocio, que da cuenta de comportamientos y movimientos
coordinados para demorar, interrumpir, contener o anticipar los efectos de una
ciberoperación deliberada para afectar los intereses claves de la compañía (Donaldson,
Siegel, Williams & Aslam, 2015).
Un tercer elemento
es “incorporar talento especializado en ciberseguridad”, frase que pudiésemos
adaptar como “contratar analistas de
ciberseguridad especializados”. Los nuevos profesionales de ciberseguridad,
no sólo deben demostrar competencia técnica básica en los aspectos de seguridad
de la información, sino exponer capacidades analíticas de inteligencia,
análisis y correlación de eventos, reflexiones y formación geopolítica e infopolítica,
cooperación interorganizacional y gubernamental, reconocimiento de patrones de
amenazas emergentes y suficiencia en el diseño, análisis y simulación de
escenarios.
Este profesional, ya
no tiene una vista disciplinar de un dominio de conocimiento específico, sino
la construcción de saberes interdisciplinares, que configuran marcos de trabajo
agregados, que revisan una realidad inestable e incierta, para dar respuesta a
las propuesta de los atacantes, que no vacilan en proponer retos complejos a
las organizaciones, los cuales van desde el secuestro de datos, pasando por las
noticias y videos falsos, la agresiones a las marcas, las afectaciones a la
infraestructura tecnológica, hasta la creación de amenazas digitales desconocidas
basadas en la inteligencia artificial.
Reflexiones finales
La ciberseguridad o
riesgo cibernético, al tener en la base de su fundamentación los saberes de la
seguridad de la información, ha heredado una gestión de riesgos que por lo
general responde a unos riesgos conocidos. En este sentido, cuando se incorpora
una vista sistémica extendida de la organización, para comprender cómo los
efectos de la materialización de los ciberataques pueden comprometer la promesa
de valor de la empresa, estamos cruzando los límites de los estándares
tradiciones de gestión de riesgos, para darle paso a una revisión amplia de las
amenazas que pueden ser tanto conocida, latentes y emergentes (Cano, 2017).
Por tanto, en un entorno
de “disrupción digital”, entendida ésta como “un efecto que cambia las
expectativas fundamentales y comportamientos en una cultura, mercado, industria
o proceso que es causada por, o expresada a través de, capacidades digitales,
canales o activos” (Yockelson & Smith, 2018), se hace necesario mantener una
monitorización del ambiente, identificando aquellas anomalías, rarezas y
contradicciones, que adviertan patrones no conocidos, los cuales marcan las
nuevas capacidades y habilidades de los adversarios (Charan, 2015), con el fin
de anticipar sus movimientos y crear acciones de defensa tanto activas como pasivas,
que permitan, no evitar ser atacados exitosamente, sino prevenir, demorar,
distraer o interrumpir sus acciones bajo condiciones inciertas.
De esta forma, las
organizaciones siguiendo las reflexiones de Schoemaker & Day (2017) deberán
desarrollar una mentalidad de
experimentación permanente para anticipar los efectos adversos de los atacantes,
equipos de trabajo con personal
calificado en el riesgo de ciberseguridad, que al experimentar y simular,
puedan codificar, compartir y aplicar los nuevos conocimientos y patrones
identificados, y finalmente mirar más
allá de sus fronteras organizaciones y de mercado buscando puntos de vista
distintos, que reten sus saberes previos, no solamente para aprender/desaprender,
sino para obtener una ventaja estratégica competitiva en un mundo turbulento
que a menudo paraliza a los demás.
Referencias
Cano, J. (2017) La
ventana de AREM. Una estrategia para anticipar los riesgos y amenazas en
ciberseguridad empresarial. ISACA Journal.
vol. 5. Recuperado de: https://www.isaca.org/Journal/archives/2017/Volume-5/Pages/the-arem-window-spanish.aspx
Charan, R. (2015) The attacker’s advantage. Turning
uncertainty into breakthrough opportunities. New York, USA: Perseus Books
Groups.
Deloitte (2018)
Global Risk Management Survey, 11 edition. Deloitte
Insights. Recuperado de: https://www2.deloitte.com/content/dam/insights/us/articles/4222_Global-risk-management-survey/DI_global-risk-management-survey.pdf
Donaldson, S.,
Siegel, S., Williams, C. & Aslam, A. (2015) Enterprise cybersecurity. How to build a successful cyberdefense
program against advanced threats. New York, USA: Apress.
OECD (2015) Digital
Security Risk Management for Economic and Social Prosperity: OECD Recommendation and Companion Document,
OECD Publishing, Paris. DOI: http://dx.doi.org/10.1787/9789264245471-en
Saran, S. (2017) Time
to face up to cyber threats. Observer
research foundation. Recuperado de: https://www.orfonline.org/research/time-to-face-up-to-cyber-threats/
Schoemaker, P. &
Day, G. (2018) Strategic actions in the face of uncertainty. Revista Brasileira de Marketing – ReMark.
Special Issue. 17(5). 700-712
Yockelson, D. & Smith,
D. (2018) Willful Disruption — Scaling, Operating and Changing the Digital
Game: A Gartner Trend Insight Report. Gartner
Research.
No hay comentarios:
Publicar un comentario