El ejecutivo de ciberseguridad y su agenda política.
- 24/07/2023
- Internacional
Por Jeimy Cano, Ph.D, CFEJeimy Cano, Ph.D, CFE
Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas - ACIS
https://www.linkedin.com/in/jeimy-cano-ph-d-cfe-3aa253/
Las organizaciones por definición como redes de conversaciones que se generan para movilizar esfuerzos y concretar acciones específicas, están inmersas en negociaciones permanentes donde los conflictos surgen como base natural de diferentes intereses y agenda propias de las personas que participan (Flores, 1996). En este sentido, si bien los conflictos son saludables en la medida que es viable confrontar distintas posturas de una problemática o reto, cuando se hacen de forma reiterada y sin la capacidad de ver las diferencias como aportes de los otros, se transforman en campos de batalla donde el desafío deja de ser la situación que se analiza, y se transforma en un ejercicio de vencer o superar al otro.
Esta realidad de las organizaciones, es lo que en general se denomina la arena política de las organizaciones, es decir la manera como se logran manejar y sobrellevar los diferentes conflictos que se presentan con el fin de concretar beneficios en las diferentes agendas de los participantes, y lo más importante, que privilegie la agenda de la empresa y sus clientes (Mintzberg, 2023). Aunque esto último, es lo que generalmente se deja al final de cada conversación o tensión interna o externa, pues las prioridades individuales toman ventaja sobre el bien general de la empresa.
El escenario de las juntas directivas no es un lugar estratégico ni mucho menos táctico u operativo. Es un lugar eminentemente político, donde todo aquel que llega a este nivel requiere desarrollar inteligencia política que le permita no solo llevar a cabo su agenda (preferiblemente alineada con los objetivos empresariales o por lo menos pensando en ellos), para lo cual deberá desplegar acciones concretas como coaliciones, alianzas o experiencia personal para ubicar en la partitura general de la organización aquellos aspectos que son de especial interés desde su perspectiva, mitigando efectos de aquellos que en lugar de sumar esfuerzos, buscan dividir y desviar la atención de los aspectos relevantes para el debate (Montañés, 2009).
En medio de esta realidad, los ejecutivos de ciberseguridad deberán descifrar la agenda de la junta directiva, para crear y desarrollar su capital político y crear las coaliciones o alianzas necesarias para situar su experiencia y reconocimiento que le permita concretar la lectura y declaración del apetito de riesgo de la empresa frente al riesgo cibernético. Esto es, centrar las reflexiones y diálogos de los directores alrededor de la capacidad de riesgo de la empresa, y no en un ejercicio irreal e inviable de riesgo cero o seguridad ciento por ciento (Lam, 2017).
Si bien los encargados de la ciberseguridad podrán decir que su negocio no es la política, la realidad organizacional les dice que si lo es, pues desde su capacidad de conectar con los intereses del directorio, deben demostrar que están facultados para entender la dinámica del entorno y los negocios para concretar acciones específicas que den cuenta de su conocimiento en el escenario de la creación de confianza con sus clientes, y así, movilizar a la organización desde el miedo, la incertidumbre y las dudas, a los riesgos calculados, la construcción de escenarios posibles y probables, y las capacidades cibernéticas actuales que tiene la empresa, no para ser invulnerable, sino para limitar las consecuencias de un evento cibernético adverso (Martin, 2019).
Lo anterior implica que el directivo de ciberseguridad debe tener la capacidad de escuchar propuestas, tomar acciones y hacer que las cosas pasen. Esto es, crear presencia y autoridad, no sólo desde su cargo, sino desde su habilidad de posicionar y mostrar resultados concretos y ajustados con las expectativas propias de la función que desempeña y las de los miembros de la junta. Este ejercicio de poder (como capacidad de hacer (Flores, 1996)) permite a la organización y sus ejecutivos vivir en el presente con los pies en la tierra, sin angustias por el futuro, ni remordimientos por el pasado.
Así las cosas, el ejecutivo de ciberseguridad deberá desarrollar habilidades concretas y claves que le permitan moverse y sobrevivir en un ambiente político cambiante y volátil como el actual. Dentro de estas habilidades se encuentran observar, escuchar y analizar la dinámica de los intereses directivos alrededor de los retos de la empresa, esto es crear posibilidades para actuar (Flores, 1996), para lo cual deberá:
- aprender a presentar sus argumentos que centren la atención en aquello que es relevante para la empresa, crear relaciones claras y atractivas entre los retos propios del riesgo cibernético, el entorno y las apuestas de negocio actuales y futuras de la organización,
- estudiar no sólo para dominar su propia área del saber, ni para dominar el arte de saber lo que todo el mundo sabe, sino para destacarse en el arte de saber lo que nadie más se ha planteado a la fecha (D’Alessandro, 2008),
- aprovechar los datos disponibles sobre la organización en su conjunto, para mostrar sus puntos de atención y demostrar que entiende la empresa y sus desafíos en perspectiva interna y externa.
En estas arenas políticas los encargados de la ciberseguridad deberán estar abiertos a las nuevas ideas, analizando los riesgos desde la lectura de los miembros del directorio, particularmente rodeado de personas en las diferentes áreas de negocio que ofrezcan un panorama más concreto sobre cuáles son realmente los riesgos. Por tanto, el profesional de ciberseguridad que quiera posicionar su agenda en los niveles ejecutivos de más alto nivel no deberá explotar las debilidades de sus rivales o posibles detractores, sino compartir más información relevante y de interés con los ejecutivos que están en posiciones más altas (D’Alessandro, 2008).
Lo anterior es desarrollar conocimiento de valor y requerido para situar la toma de decisiones de la empresa, para lo cual deberá utilizar sus aliados para obtener la información clave de la compañía y crear los “insights” (ideas y perspectivas) que demuestren una visión superior y amplia de la organización más allá de sus detractores, motivando un entorno de conversación informado y retador, donde la agenda organizacional sea el mandante de los debates, con el fin de ubicar estas ideas en la mente de aquellos que deben tomar las decisiones y concretar el gobierno corporativo de la compañía (Charan, 2015).
La inteligencia política, emocional y estratégica del ejecutivo de ciberseguridad deberá estar situada en los hechos y los datos, en desarrollar su función en y desde la realidad de las áreas de la organización y no desde su oficina. Esto significa, estudiar y reconocer los retos y necesidades de los procesos de la compañía, hacer las preguntas concretas y correctas, y acompañar las respuestas con acciones específicas, que conecten las brechas y retos de seguridad y control, con las expectativas y retos de la compañía en el primer nivel ejecutivo.
Por tanto, si el encargado de ciberseguridad ha hecho un buen trabajo con la gente que está por encima de su jefe, ha concretado acciones basado en la dinámica de las áreas y sus expectativas, y percibe que su superior directo sólo está planeando, y la junta directiva lo sabe, debe hacer su movimiento, para concretar su estrategia y agenda para hacerse con un puesto en la mesa directiva, no como un invitado ocasional, sino como actor relevante que tiene algo de decir, que promueve una visión progresista de la empresa y particularmente, como un habilitador de cambios que reconoce el riesgo como parte natural de los negocios, con propuestas que permiten disminuir los impactos cuando se supera sus tolerancias previamente definidas (D’Alessandro, 2008).
En línea con lo anterior, el ejecutivo de ciberseguridad deberá concretar sus intereses y agenda, desde la dinámica tácita o no declarada de la organización, con el fin de movilizar la perspectiva de conocimiento y el perfil de riesgo de la empresa frente al reto del riesgo cibernético, teniendo en cuenta:
- las reglas no escritas de la cultura organizacional sin quebrarlas involuntariamente,
las tendencias del entorno y el sector de negocio de la empresas sin exagerar sus impactos negativos,
- las exigencias de los clientes creando nuevas experiencias, sin romper la promesa de la valor,
- los retos regulatorios y normativos que demandan mayores responsabilidades empresariales, sin limitar las iniciativas novedosas de la empresa,
- y las capacidades cibernéticas propias de la organización para enfrentar las amenazas latentes y emergentes, sin caer en la falsa sensación de seguridad.
Al final el ejecutivo de seguridad deberá acompañar al equipo directivo en su proceso de duelo para asumir la responsabilidad del riesgo cibernético tanto en las emociones particulares que produce (ansiedad, enojo e incierto) como en los impactos que se pueden producir en sus cargos como son las posibles sanciones, la pérdida de reputación y la pérdida de su posición como directivo (Gorge, 2021), lo que se traduce en acompañar la visión de aquello que hay que hacer para concretar la promesa de valor empresarial y la capacidad de ejecución de dicha visión y hacerla realidad, lo que implica ser parte de la autoridad y poder institucional en la transformación digital de la empresa.
Como advierte Pascual Montañés (2009), “tener poder y no ejercerlo para crear y perpetuarse resultaría tan artificial como pretender anular los instintos”, lo que en términos de un ejecutivo de ciberseguridad significa tener la oportunidad de crear y posicionar una distinción única y sostenible de ciberseguridad empresarial y, tener el cuidado de no morir de éxito.
Referencias
Charan, R. (2015). The attacker advantage. Turning uncertainty into breakthrough opportunities. USA.: PublicAffairs Books.
D’Alessandro, D. (2008). Executive warfare. 10 rules of engagement for winning your war success. USA.: McGraw Hill.
Flores, F. (1996). Creando organizaciones para el futuro. Cuarta Edición. Providencia, Chile: Dolmen Ediciones.
Gorge, M. (2021). The cyber elephant in the boardroom. Cyber-accountability with the five pillars of security framework. Charleston, South Carolina, USA.: ForbesBooks.
Lam, J. (2017). Implementing Enterprise Risk Management. From methods to applications. Hoboken, NJ. USA: John Wiley & Sons
Martin, P. (2019). The rules of security. Staying safe in a risky world. Oxford, UK.: Oxford University Press.
Mintzberg, H. (2023). Understanding organization … Finally: structuring in sevens. Oakland, CA. USA: Barrett-Koehler Publishers, Inc.
Montañés, P. (2009). Inteligencia política. El poder creador en las organizaciones. Madrid, España: Financial Times – Prentice Hall.