El CEO Moderno y el CISO Vigilante: del deber ser al poder ser.
- 28/10/2019
- Internacional
Sobre el Autor: El doctor Jeimy J. Cano,
Corresponsal Honorario de ElNotariado.com es Ingeniero y Magíster en Ingeniería de Sistemas y Computación por la Universidad de los Andes. Especialista en Derecho Disciplinario por la Universidad Externado de Colombia. Ph.D en Administración de Negocio por Newport University, CA. USA. y Ph.D en Educación por la Universidad Santo Tomás, Colombia. Cuenta con más de 20 años de experiencia como académico, profesional y ejecutivo en temas de seguridad de la información, privacidad, ciberseguridad, sistemas de información, gobierno y Auditoría de TI. En 2016 recibió el reconocimiento como "Cybersecurity Educator of the Year 2016" para Latinoamérica por el Cybersecurity Excellence Awards. Es examinador certificado de fraude (CFE en inglés) y Auditor certificado de Control Interno (CICA en inglés).
Introducción
En un contexto de inestabilidad e incertidumbre permanente, las organizaciones tratan de establecer patrones acción que les permitan encontrar nuevas oportunidades para posicionarse y tomar un lugar privilegiado en su segmento de negocio. Para hacerlo, deben estar atentas a los cambios y tratar de “establecer relaciones en un contexto caótico” (Calvo, 2017). Por tanto, reconocer las amenazas emergentes y posibles eventos inciertos, es un reto constante de las empresas que aspiran generar nuevas experiencias y ventajas competitivas basadas en su apetito de riesgo.
El incremento de la densidad digital revela y define los nuevos patrones de acción de las corporaciones modernas (Sieber & Zamora, 2018). Esto es, configura una serie de condiciones de arquitectura tecnológica que habilitan posibilidades digitales, para luego hacer distinciones novedosas desde las expectativas de los clientes, como un experimento permanente, donde este hace parte de la construcción de aquello que espera tener y utilizar. No es una apuesta segura de condiciones estables, sino una propuesta que explora aspectos antes ignorados por la realidad, donde es claro que no siempre se tendrán los resultados esperados.
Con esta lectura de la realidad, tanto las corporaciones y sus promesas de valor, como los adversarios, plantean los nuevos escenarios que buscan sorprender a sus contrapartes, con el fin de configurar un imaginario que desestabilice su ecuación de riesgos, y de esta forma ganar terreno frente a las expectativas inicialmente planteadas para invertir la carga de prueba hacia el receptor y no en el iniciador (Saydjari, 2018).
Así las cosas, los encargados de la seguridad de la información y sus ejecutivos deberán desarrollar la visión de un líder vigilante (Day & Schoemaker, 2019), que le permita no sólo poder identificar amenazas y riesgos emergentes, sino anticipar los movimientos de sus adversarios, comoquiera que es desde la inestabilidad y las señales débiles del entorno, es desde donde se construyen las tendencias y se identifican las incertidumbres propias de las prácticas de seguridad y control.
En este contexto, los ejecutivos de seguridad y/o ciberseguridad deben desarrollar características claves, que les permitan posicionarse como asesores estratégicos de los presidentes de las empresas (CEO – Chief Executive Officer) (Cano, 2011), de tal forma que las capacidades de defensa y anticipación, se conviertan en los referentes naturales de la estrategia corporativa, que traducida en el lenguaje de los negocios, se presente bajo la distinción de confianza digital.
Retos de los CEO Modernos
La confianza digital como distinción emergente en las relaciones de negocios ahora en ecosistemas tecnológicos, requiere comprender tanto la dinámica de los participantes en las plataformas tecnológicas disponibles, así como las necesidades de los consumidores respecto del uso y tratamiento de sus datos. De esta manera, articular las nuevas experiencias de los clientes, resulta en una apuesta de riesgos compartidos, donde la empresa sabe cómo puede ser afectado sus grupos de interés y cómo la organización debe responder ante posibles eventos que surjan de relaciones emergentes o inciertas que se pueden presentar.
Frente a este nuevo ambiente de cambios acelerados, los CEO enfrentan el desarrollo de un gobierno y gestión corporativo más complejo, donde en la práctica, no es claro como navegar en este mar de inciertos para lograr capitalizar ventajas competitivas y posicionarse en un lugar estratégico, desde donde poder advertir las nuevas disrupciones en los negocios. Por tanto, se hace necesario alejarse de la orilla de las estrategias conocidas, para romper con las certezas y habilitar la organización para aprender ágilmente.
En este sentido, los CEO modernos enfrentan cuatro (4) retos fundamentales, los cuales ponen a prueba las habilidades y capacidades de los ejecutivos para estimular el debate, descubrir señales débiles en el entorno y pensar de manera abierta e inclusiva. Los retos son: (De Yonge, 2019; Bryant, 2019)
Transformación digital: crear y anticipar nuevas experiencias en los clientes.
Plataformas digitales
Ecosistemas digitales
Confianza digital: construir una relación basada en sinceridad, simetría y reciprocidad.
Ciberseguridad
Privacidad
Aprendizaje ágil: Habilitar cualidades y atributos en las personas para ganara flexibilidad, crecer a partir de los errores y así enfrentar una amplia gama de desafíos (Flaum & Winkler, 2015).
Quebrar silos
Experimentación
Apetito al riesgo: Comprender que riesgos está dispuesto a tomar y cuáles no.
Cumplimiento
Resiliencia
Estos cuatro retos revelan una necesidad de contar con una visión clara y pensamiento flexible para no apegarse a lo que funciona, ni desechar aquello que ha resultado valioso para la organización. Encontrar este punto medio, con un blanco en movimiento, implica danzar con la inestabilidad y sentirse cómodo con los inciertos, para descubrir caminos inéditos que configuren las experiencias novedosas para sus clientes.
El CISO Vigilante
Si a lo anterior, le sumamos que los adversarios digitales reconocen el mismo escenario, con retos semejantes para concretar sus acciones para retar (o desacreditar) el ordenamiento legal vigente, estamos en una dimensión de conocimiento y reto complementaria que las organizaciones por lo general tratarán de atender, siguiendo las recetas conocidas y proporcionadas por los estándares y buenas prácticas.
Mientras las empresas están escolarizadas, esto es, parafraseando al profesor Calvo (2017), se mueven en el ámbito del deber ser; los atacantes, más abiertos a los inciertos, navegan en el escenario del poder ser. “El deber ser impera obligando a hacer lo que dice la norma”, en cambio en el “poder ser, todo el proceso queda abierto a lo emergente, a lo que podría ocurrir si pasara tal o cual situación o tal vez no ocurre de ningún modo o de uno inesperado” (Calvo, 2017, p.51).
Lo anterior, conlleva la reflexión que moviliza tanto a las empresas como a los adversarios: el riesgo. Mientras más certezas, aparentemente menos riesgos, y a mayor incertidumbre necesariamente más riesgo. Establecer el lado de la distinción que se quiere llevar, funda la postura que se requiere para dar cuenta de la situación a la que se enfrenta y las implicaciones a futuro de las decisiones que se tomen al respecto.
Si bien no existen fórmulas establecidas para saber qué tanto arriesgar y cuanta prudencia se debe tener, si se disponen de estrategias que permiten abordar la realidad para aprender y desaprender, no con la velocidad que se quisiera, pero si con el espacio requerido para concretarlo. Dos conceptos pueden ser de utilidad en este sentido: los errores deliberados (Schoemaker, 2011) y el análisis de escenarios (Chermack, 2011), técnicas claves que habilitan para fallar anticipadamente y por ende, aprender y tratar de sorprenderse antes que las cosas ocurran.
Llegados a este punto, la pregunta es ¿qué tipo de CISO (Chief Information Security Officer) requieren los CEO modernos para navegar y sobrevivir en un contexto digital donde la única constante es la inevitabilidad de la falla?
Para tratar de dar respuesta a este interrogante, es importante comprender que no es lo mismo digitalización, que ser digital. Mientras la digitalización habla de las herramientas tecnológicas utilizadas para mejorar la eficiencia de la operación y habilitar la flexibilidad para responder a los retos e inestabilidades; “ser digital” es habilitar un diseño holístico de personas, procesos y tecnología para definir una propuesta de valor posibilitada por las capacidades de las tecnologías digitales disponibles (Ross, Beath, & Mocker, 2019).
Si lo anterior es correcto, el CISO debe mantener una postura vigilante y de anticipación, que recomiende y asesore la estrategia corporativa desde la custodia de la promesa de valor, dado que la organización hará apuestas de productos y servicios novedosos, donde su apetito al riesgo será probado, y las implicaciones de sus resultados (positivos o negativos) debe atender, de cara a la confianza digital que demandan sus diferentes grupos de interés.
En este sentido, el ejecutivo de seguridad/ciberseguridad tendrá que hacerse preguntas estratégicas en dos sentidos: de afuera hacia dentro de la organización, así como de dentro hacia fuera de la empresa, para mantener una vista, que no solamente advierta algunas señales débiles del entorno, sino una comprensión de qué significan (lo que demanda conectar los puntos identificados) y cómo actuar de manera prudente en un contexto amplio y concreto para la organización (Day & Schoemaker, 2019).
Las reflexiones desde el exterior al interior son:
¿Cómo han venido evolucionando las técnicas y tácticas de los adversarios?
¿Qué adversarios están anticipando y usando estás nuevas técnicas y tácticas?
¿Qué nuevos ataques pueden afectar a la organización?
Las reflexiones desde el interior hacia el exterior son:
¿Cómo podemos mejorar y aumentar la identificación de nuevos patrones de amenazas?
¿Qué más podemos hacer con nuestras capacidades actuales?
¿En qué somos buenos actualmente?
Las respuestas a las primeras tres preguntas, establecen las nuevas capacidades requeridas para dar cuenta con los riesgos que la organización debe tomar para hacer realidad su estrategia digital y crear los escenarios necesarios para movilizar nuevas apuestas de valor en un escenario digitalmente modificado.
Las respuestas a los siguientes tres interrogantes, definen el nivel de madurez de la organización para enfrentar los inciertos de la inseguridad de la información, y cómo las tecnologías emergentes pueden potenciar aquellas capacidades existentes para defender y anticipar los movimientos de los posibles adversarios.
Reflexiones finales
Los temores naturales para darle vida a una estrategia digital, las nuevas apuestas disruptivas que puedan generarse en su sector de negocio y las amenazas emergentes que pueden surgir de un mayor acoplamiento de las plataformas digitales y las necesidades de los clientes, deben ser los insumos básicos del ejecutivo de seguridad/ciberseguridad para tomar riesgos inteligentes con su CEO. Esto es, definir un umbral reforzado de tolerancia a la falla, que visto desde los impactos estratégicos, las afectaciones tácticas, las lecciones aprendidas y los grupos de interés que se pueden ver afectados, refine el camino incierto que la organización ha decidido tomar.
La incertidumbre no es un juego de azar que aparece y desaparece sin razón aparente, es una tendencia propia del entorno que se manifiesta, en palabras de Charan (2015), como rarezas, inconsistencias y contradicciones, las cuales deben ser identificadas y leídas, como insumo para avanzar y proponer alternativas que hagan del “incierto”, una oportunidad para crear incentivos y motivaciones, que quiebren el status quo y revelen aquello que no era posible ver previamente.
Así las cosas, el CISO que requieren los CEO modernos necesita entender la turbulencia digital y cómo se movilizan los adversarios allí, para anticipar y defender la organización. Por lo tanto, deberán aprender del pasado, interrogar el presente y anticipar futuro como las premisas bases de sus aportes y recomendaciones para explorar y conocer mejor las prácticas y normas de los adversarios, cambiando su ecuación de riesgos, es decir, “vulnerar la distancia que exista entre el funcionamiento del sistema y sus usos no intencionados” (Snowden, 2019, p.79) para aprovechar sus posibles errores, y así crear consecuencias inesperadas para ellos.
Referencias
Bryant, A. (2019). How to think like a CEO. Strategy+Business. Recuperado de: https://www.strategy-business.com/blog/How-to-think-like-a-CEO
Calvo, C. (2017). ingenuos, ignorantes, inocentes. De la educación informal a la escuela autoorganizada. La Serena, Chile: Editorial Universidad de la Serena
Cano, J. (2011). La Gerencia de la Seguridad de la Información: Evolución y Retos Emergentes. ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx
Charan, R. (2015). The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: Perseus Books Groups.
Chermack, T. (2011). Scenario planning in organizations. San Francisco, USA: Berrett Koehler.
Day, G. & Schoemaker, P. (2019). See sooner act faster. How vigilant leaders thrive in an era of digital turbulence. Cambridge, MA. USA: MIT Press.
De Yonge, J. (2019) Has your C-suite changed to reflect the changing times? EYQ. Recuperado de: https://www.ey.com/en_gl/growth/has-your-c-suite-changed-to-reflect-the-changing-times
Flaum, J. P. & Winkler, B. (2015). Improve Your Ability to Learn. Harvard Business Review. Recuperado de: https://hbr.org/2015/06/improve-your-ability-to-learn
Ross, J., Beath, C. & Mocker, M. (2019). Designed for digital. How to architect your business for sustained success. Cambridge, MA. USA: MIT Press.
Saydjari, O. (2018). Engineering trustworthy systems: get cybersecurity design right the first time. New York, USA.: McGraw Hill
Schoemaker, P. (2011). Brilliant mistakes. Philadelphia, USA: Whartonn Digital Press.
Sieber, S. & Zamora, J. (2018). The Cybersecurity Challenge in a High Digital Density World. European Business Review. November. Recuperado de: https://www.europeanbusinessreview.com/the-cybersecurity-challenge-in-a-high-digital-density-world/
Snowden, E. (2019). Vigilancia permanente. Bogotá, Colombia: Editorial Planeta.