Autor: Jeimy Cano, Ph. D., CFE – Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas – ACIS // orcid.org/0000-0001-6883-3461

Mucho se habla de madurez en los temas de seguridad, ciberseguridad y tecnología de información. La madurez de acuerdo con los teóricos de la psicología es un periodo de la vida en el que se ha alcanzado un estado de plenitud vital, esto es, un momento en la existencia donde un individuo hace una mejor gestión de sus emociones con más quietud y paz interior (Safont, 2019). Si bien nunca se termina de madurar, el tema es que se llega a un sitio específico donde se encuentra un balance que conecta a la persona con su propia realidad y sus retos personales y espirituales.

En el contexto de ciberseguridad, seguridad y tecnología de información, esta condición de madurez no es viable de alcanzar, dada la dinámica permanente que se tiene de efectos y acciones conocidas y desconocidas que se pueden tener en el ejercicio de construir la distinción y percepción de seguridad y control. Luego, hablar de madurez como un estado al que se llega, resulta contradictorio con la realidad de los ejecutivos y profesionales de seguridad/ciberseguridad (Martin, 2019).

Cuando se construye un escala de madurez en seguridad, ciberseguridad y tecnología de información se hacen una serie de supuestos que se tensionan frente a la dinámica de su propia práctica. Algunos supuestos son:

  • El primer supuesto es que se llega a un estado y se cree que no se puede retroceder de nivel.
  • El segundo supuesto es que madurar es cumplir con una serie de indicadores que describe el nivel.
  • El tercer supuesto es que el entorno donde opera la organización es conocido y los indicadores del nivel de madurez del nivel logrado lo aseguran.

Cuando se entiende la madurez como una tendencia, y no como un estado o nivel, los supuestos mencionados quedan expuestos a las exigentes condiciones de la realidad cambiante e inestable de las organizaciones. La madurez como tendencia implica un esfuerzo permanente para lograr y mantener un estado distinto del sistema que se atiende. Esto es, retar las prácticas de forma permanente sacando al sistema de la zona cómoda, generando condiciones distintas cada vez para configurar una perspectiva renovada de la experiencia de seguridad y control (Pernet, 2013).

Si el sistema que se busca asegurar se mantiene en la zona conocida del cumplimiento de controles y validación de requisitos de madurez, no estará preparado para la inevitabilidad de la falla, ni para los efectos adversos que se puedan derivar del evento. Por tanto, si no existe una forma permanente que interrogue la dinámica de los sistemas de la organización, la inercia natural de la zona cómoda estará activa y todo el sistema tenderá a la zona de menor esfuerzo. 

Lo anterior supone que si queremos que el sistema se mantenga activo, atento y preparado para el incierto, deberá estar todo el tiempo incómodo, sorprendido y entrenando sus movimientos o libros de jugadas, para que en el momento de la zona de inestabilidad, su capacidad de aprender y reconocer patrones en el incierto, sea la que guíe su actuar ajustado a la comunicación y coordinación que debe desarrollar para no ceder a la intención del adversario: crear caos, confusión y actuaciones erráticas (Cano, 2021).

Con esto en mente, los supuestos presentados previamente se erosionan y dejan al descubierto tres nuevas afirmaciones sobre la realidad de los criterios de madurez ahora leídos desde la perspectiva de una tendencia:

  • Si no hay un esfuerzo sostenido para alcanzar un estado deseado, la inercia natural del sistema lo llevará nuevamente a la zona cómoda y por tanto, podrá retroceder en todo lo alcanzado.
  • El cumplimiento de las actividades propias de un nivel no asegura la apropiación de las mismas en la dinámica de la organización y por tanto, podrá nuevamente retroceder.
  • El entorno de operación donde se definen los controles no es el mismo en el cual se reportan. Por tanto, sino se calibran los controles frente a los cambios propios del ambiente, se estará midiendo la efectividad de un control desarticulado con la realidad.

Entender la madurez en seguridad, ciberseguridad y tecnología de información, no debe ser una lectura estandarizada o ajustada a un marco de trabajo que la lleve a un nivel esperado, sino una consideración y postura de aprendizaje/desaprendizaje permanente que se pregunta una y otra vez, ¿qué cosas pueden pasar distintas que lleven a la organización a momentos de tensión para los cuales no está preparada?

De esta forma, las organizaciones y los equipos ejecutivos estarán preparadas para ganar el juego correcto y no aquel que los adversarios les quieren plantear. Esto es, reconocer la estrategia de la distracción y engaño propio de los atacantes, con el fin de crear confusión y tensiones que movilicen esfuerzos de forma desordenada e ineficiente por cuenta de un evento de gran magnitud, y transformar su capacidad de adaptación y umbrales de operación definidos en la manera de responder y actuar cuando las cosas no salen como estaban previstas (Cano, 2020).

Así las cosas, las organizaciones que maduran en seguridad/ciberseguridad encuentran en cada experiencia de eventos inciertos una oportunidad para reinventarse, y no confiarse en sus lecciones aprendidas, para avanzar en una mejor comprensión de su entorno, sus adversarios y la manera cómo la dinámica de la organización se conecta con el ambiente. De esta forma, busca permanecer en una zona de tensión creativa, que no desgasta la organización, y la habilita para pensar de forma distinta y dinámica frente a la inevitabilidad de la falla.

Si bien es cierto que no es viable alcanzar la madurez en ciberseguridad/seguridad o tecnologías de información (ni tampoco la humana), si es posible desarrollar una espiral de conocimiento ascendente donde es posible llegar al mismo sitio, pero con un nivel de conocimiento mayor, que permita explorar nuevas oportunidades e interrogar de forma periódica los saberes previos y experiencias acumuladas, es decir, ver las cicatrices que han quedado y la decisión que se tiene para continuar avanzando a pesar de la tempestades que aparecerán tarde o temprano.

Referencias

Cano, J. (2020). ¿Por qué los ciberataques son inevitables?: Prácticas y capacidades claves de la ciberseguridad empresarial. En Gauthier-Umaña V., Méndez-Romero R., & Suárez D. (Eds.), Voces diversas y disruptivas en tiempos de Revolución 4.0 (pp. 223-248). Bogotá, D. C.: Editorial Universidad del Rosario. doi:10.2307/j.ctv123x566.14

Cano, J. (2021). De las incertidumbres claves, los “libros de jugadas” y la gestión dinámica de riesgos. Conceptos que retan el status quo de la ciberseguridad empresarial. Global Stategy. Global Strategy Report No. 8. https://global-strategy.org/de-las-incertidumbres-claves-los-libros-de-jugadas-y-la-gestion-dinamica-de-riesgos-conceptos-que-retan-el-statu-quo-de-la-ciberseguridad-empresarial/

Martin, P. (2019). The rules of security. Staying safe in a risky world. Oxford, UK.: Oxford University Press.

Pernet, E. (2013). Un modelo sistémico para el diagnóstico del estado de madurez del Gobierno, Riesgo y Cumplimiento en las organizaciones (Tesis doctoral). Newport University, United States of America.

Safont, N. (2019). Las señales de que has alcanzado la madurez emocional y sus ventajas. https://www.hola.com/estar-bien/20191126155001/psicologia-madurez-emocional-los-signos-y-las-ventajas/

***********************************************************

El presente artículo se publica con la debida autorización de su autor y el artículo original puede encontarse en LinkedIn en este enlace: https://lnkd.in/dnAPzwsx