¿Qué hacer cuando las defensas fallan? Cinco (5) retos ejecutivos frente a los ciber ejercicios.

  • 12/11/2018
  • Internacional

¿Qué hacer cuando las defensas fallan? Cinco (5) retos ejecutivos frente a los ciber ejercicios.

 

                                                                       Por Jeimy Cano, Ph.D, CFE


Director Revista

SISTEMAS at

Asociación Colombiana

de Ingenieros de Sistemas 

ACIS // orcid.org/ 



Comprender que en un contexto de mayor conectividad y flujos de información, la vulnerabilidad aumenta, es aceptar que tarde o temprano, una organización tendrá un ciberataque de proporciones importantes, con implicaciones serias y efectos nocivos sobre sus negocios. Pensar de esta manera, no comporta ser negativo o pesimista, es mirar en prospectiva y de forma anticipada, la forma como la empresa actuará cuando esto ocurra y establecer los elementos de coordinación requeridos para mitigar los impactos que esta situación puede ocasionar.

Cuando se tiene la certeza de que un evento no deseado y complejo va a ocurrir, no se incurre en paranoia, o en delirio de persecución o contexto exagerado; se habilita un escenario de construcción de aprendizaje para el futuro, que será redituado en capacidad de acción, respuesta, contención y recuperación que la empresa va a desarrollar, que envía un mensaje de confianza digital imperfecta para sus clientes y grupos de interés.

En este escenario, motivar a la organización a prepararse para lo inesperado, es caminar el sendero para desaprender e incomodar los “supuestos” de las operación y la estrategia de la organización, como fundamento del desarrollo de “músculo resiliente” que necesita ejercitar para hacerse más resistente a las eventualidades; lo que implica necesariamente, hacerse más responsable de la dinámica de sus clientes frente a sus productos y servicios.

Prepararse para un ciberataque, implica simular escenarios concretos, retadores y posibles (ciber ejercicio), que permita a los cuerpos directivos salir de su zona cómoda, donde la inercia de lo conocido atrapa, para exponerlos a situaciones asimétricas e inciertas, lugar donde deben ejercitar su capacidad de respuesta, su imaginación y comprensión del entorno, para tomar las decisiones necesarias que guarden los intereses de la empresa y aseguren el menor impacto frente a su reputación.

Lograr este objetivo con los ejecutivos demanda superar al menos cinco retos, que quiebren la mentalidad natural de estos directivos: acciones incrementales y ajustadas a la dinámica actual de la empresa. Los retos mencionados son: la ignorancia, el miedo, las conjeturas o supuestos, las dispersión del esfuerzo (Catlin, LaBerge & Barney, 2018) y la identificación de culpables.

Cinco retos ejecutivos frente a los ciber ejercicios
La ignorancia está relacionada la falta de comprensión del fenómeno “ciber” y la manera como éste puede cambiar el funcionamiento de sus negocios o el contexto competitivo. En este sentido, los ejecutivos no están familiarizados con los alcances o efectos reales de los ciberataques, por lo que son propensos a estar atrapados en el “síndrome del informado”: conocer los eventos que le han pasado a otros (pero que no son relevantes para sus negocios) sin una comprensión clara de cómo pueden perturbar o comprometer el modelo de generación de valor de la empresa. Por tanto, tener una comprensión correctiva de los ciberataques, se convierte una vista temeraria y posiblemente poco responsable frente a un contexto como el actual.

De otra parte, el miedo resalta el hecho de la falta de preparación de los ejecutivos respecto de situaciones no conocidas, lo que generalmente los obliga a replegarse y delegar la responsabilidad de acción en aquellos “que saben” y que han contratado para ello. En este caso, es necesario que los directivos se abran a comprender y dejarse acompañar frente a una crisis cibernética, lo que demanda un cambio en su forma de ver estos eventos: como realidades técnicas, para asumirlos como un reto negocio en el cual son protagonistas, donde no están solos, y sus decisiones hacen parte de una lectura extendida de los riesgos empresariales que supera la vista de control propia de los estándares y la transforma en la apuesta de la protección del valor de las estrategias de negocio.

Las conjeturas o supuestos son las inquietudes e imaginarios que los ejecutivos pueden tener sobre los eventos adversos en el mundo “ciber”. Las reflexiones que pueden elaborar responden a las noticias que conocen, experiencias de otras organizaciones y referencias de colegas que han vivido estos eventos. Sin embargo, cada situación o crisis cibernética, establece un parámetro distinto cada vez que se manifiesta. No es posible comparar con situaciones previas y por tanto, la preparación requerida demanda un entendimiento concreto de sus efectos en la realidad de cada organización. Pensar que se está preparado para recibir un ciberataque desde lo que se conoce por otros, es creer que leer un manual sobre cómo nadar te habilita para hacerlo y ejecutarlo bien.

La dispersión del esfuerzo, es una lectura que los ejecutivos pueden hacer al ver que plantear “ciber ejercicios” demanda una asignación importante de tiempos y recursos. Puede dar la impresión que la organización invierte en algo “que aún no ocurre” y que por tanto, podría estar atendiendo otras prioridades que le pueden generar utilidades y no una que sólo genera costo. Tener una mentalidad de este tipo, es lanzar a la organización a caminar sobre una “cama de vidrios quebrados”, donde si bien la concentración del ejercitante hace la diferencia, cualquier situación no prevista deriva en un evento de afectaciones relevantes. Superar esta vista, es invitar al ejecutivo a pensar en estos temas como un portafolio de inversiones de largo plazo, cuyo intereses aumentan cada vez que realizar el ejercicio y su valorización está medida en las nuevas capacidades empresariales que marcan diferencia con su competidores.

Identificar culpables, parece ser una de las mas reconocidas acciones empresariales que se usa cuando algo no sale como se tenía previsto. Realizar un ciber ejercicio en una organización es entenderlo como un espacio de aprendizaje para reconocer las cegueras cognitivas de las acciones previstas; una escena donde todos los participantes trabajarán consciente y arduamente para concretar la atención y contención del incidente, y un territorio convergente de decisiones ejecutivas, operaciones coordinadas y efectos deseados y no deseados, donde la organización se reta a sí misma para responder a los inciertos (Phelps, 2016). Culpar a otros no sirve de nada, cuando no se entiende que estamos expuestos permanentemente a la inevitabilidad de la falla.

Cuando las organizaciones y sus cuerpos de gobierno son capaces de superar estos cinco retos frente a la necesidad de anticipar la materialización de un ciberataque, está capitalizando aprendizaje para el futuro, creando una apuesta de valor real en libros, que estará disponible cuando lo inesperado ocurra. Esto es, dar un paso adelante persuadiendo a sus líderes y colaboradores, para enfrentar un mundo digitalmente modificado, potencialmente más vulnerable y retador, pero que vale la pena experimentar y aprovechar, para reinventar sus propios modelos de negocio y operación, requeridos no solamente para sobrevivir, sino para prosperar y consolidar una posición estratégica de negocios.

Recuerde que, si un ciberataque es un riesgo sistémico, no habrá claridad de un responsable, habrá contradicciones frente a su tratamiento y sobremanera, sus manifestaciones no responderán a patrones conocidos o estudiados.

Referencias
Catlin, T., LaBerge, L. & Barney, S. (2018) Digital strategy: The four fights you have to win. Mckinsey Quarterly. October. Recuperado de: https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-strategy-the-four-fights-you-have-to-win

Phelps, R. (2106) Cyber breach. Designing an exercise to map a ready strategy. San Francisco, CA. USA: Chandi Media

Categorias