Autor: Jeimy Cano, Ph.D, CFE – Colombia
Desarrollar una postura de seguridad/ciberseguridad es equivalente a saber cómo una empresa debe moverse estratégicamente con sus productos (actuales y nuevos) en mercados actuales y nuevos (Ansoff, 1957). Esto leído en términos de ciberseguridad, es comprender las amenazas (conocidas y emergentes) en contextos conocidos y emergentes. En este sentido, la postura deja de ser una ejercicio intuitivo de un especialista en temas de seguridad/ciberseguridad basado en su experiencia y saber previo, para transformarse en un movimiento estratégico de la empresa para avanzar en medio de las tensiones e inestabilidades del mercado, que le permitan tomar riesgos de forma inteligente y concretar nuevas iniciativas de negocio confiables (ajustadas con su apetito de riesgo) basadas en su contexto y sus amenazas.
Basado en lo anterior, las organizaciones deben pactar con la incertidumbre y deconstruir la complejidad para abordar los desafíos que van a enfrentar en cada nueva iniciativa digital que desarrollen. Por tanto, no será el miedo o los efectos adversos de un ciberataque los que movilicen las acciones de defensa de la empresa, sino las capacidades disponibles y la promesa de valor que tiene para con sus clientes. Así las cosas, se plantea a continuación el modelo base para desarrollar la postura de seguridad/ciberseguridad de una organización, reinterpretando la matriz de Ansoff (1957), para lo cual dos elementos son fundamentales: el contexto y la amenaza.
El cruce de estos dos elementos genera cuatro perspectivas de posturas que las organizaciones deben revisar y analizar de cara al desarrollo de sus capacidades de ciberseguridad y de los objetivos estratégicos de la empresa. Cada una de ellas no son exclusivas sino que deben ser ajustadas y revisadas de forma dinámica por los equipos de trabajo para establecer los diferentes casos de uso e iniciativas que son requeridas para acompañar al negocio en sus retos y propuestas.
Cuadrante I: Contexto conocido – Amenaza conocida
- Pregunta clave: ¿Qué nivel de aseguramiento tiene la organización hoy?
- Fundamento: Efectividad de controles/Apetito de riesgo/Optimización de costos
- Estrategia: Proteger y asegurar
- Indicador de desempeño: Confiabilidad del modelo de seguridad y control vigente
Cuadrante II: Contexto emergente – Amenaza conocida
- Pregunta clave: ¿Qué tendencias y patrones observa la organización hoy?
- Fundamento: Inteligencia de amenazas/Inteligencia de Negocio/Grandes datos y analítica
- Estrategia: Sensar y responder
- Indicador de desempeño: Visibilidad de las amenazas conocidas
Cuadrante III: Amenaza emergente – Contexto conocido
- Pregunta clave: ¿Qué puede ocurrir en los próximos meses o año?
- Fundamento: Tendencias consolidadas/Eventos conocidos/Referenciación por sectores
- Estrategia: Identificar y actuar
- Indicador de desempeño: Precisión de los pronósticos de amenazas emergentes
Cuadrante IV: Amenaza emergente – Contexto emergente
- Pregunta clave: ¿Qué futuros posibles y plausibles se ven en los próximos 5 o 10 años?
- Fundamento: Anomalías / Rarezas / Contradicciones
- Estrategia: Defender y anticipar
- Indicador de desempeño: Imaginación de escenarios retadores e inéditos para la organización
Cada una de las posturas implica incorporación de capacidades (patrón de aprendizaje), habilidades (destreza para la ejecución) y tecnologías (servicios de Hw y Sw) que permitan materializar en práctica las expectativas de los ejecutivos frente a cómo se atienden los retos del riesgo cibernético y dar cuenta con la promesa de valor para los clientes. En este sentido, se detalla a continuación una posible implementación de cada una de las posturas de forma general para cada cuadrante, sin perjuicio que estas pueden ajustarse o adaptarse según la dinámica concreta de cada compañía:
Tabla 1. Ejemplo de Implementación de una postura de seguridad ciberseguridad
La postura de seguridad/ciberseguridad en un ejercicio empresarial que busca situar los retos y expectativas de los ejecutivos frente al riesgo cibernético, con el fin de contar con una vista estratégica y conceptual de aquello que se va a implementar para asumir los riesgos concretos en cada una de las iniciativas de negocio, sabiendo que la organización deberá estar preparada para la inevitabilidad de la falla, donde la capacidad de resiliencia cibernética estará a prueba, no sólo para amortiguar los efectos del evento, sino para movilizar a la empresa para alcanzar un nuevo nivel de conocimiento y resistencia que le permita ser más flexible y adaptable en el futuro (Hepfer, Chatterjee & Smets, 2023).
La postura de seguridad/ciberseguridad en este escenario deja de ser un tema opaco sin asidero conceptual, para transformarse en un lenguaje de negocio que debe responder las preguntas clave de la organización frente al desafío del riesgo cibernético, para lo cual establece un marco de trabajo basado en capacidades, habilidades y tecnologías que permiten aterrizar la puesta en escena de ese movimiento estratégico de la compañía para tomar riesgos de forma inteligente, y de esta manera, concretar las oportunidades que ofrece el entorno y habilitar nuevas experiencias, productos y servicios para sus clientes.
Las organizaciones y sus equipos ejecutivos deberán definir, actualizar y adaptar sus posturas de seguridad/ciberseguridad comoquiera que al no hacerlo, crearán una ventana de exposición estratégica que puede deteriorar sus planes y objetivos críticos de mediano y largo plazo por cuenta de la evolución de las amenazas y su entorno, donde el adversario podrá aprovechar cada vez más y mejor los espacios que las compañías dejan cuando la responsabilidad de este tema se sitúa sólo en el dominio del especialista o ejecutivo de ciberseguridad (Milică & Pearlson, 2023).
El llamado para las empresas del siglo XXI es a madurar en la gestión del riesgo cibernético lo que necesariamente implica reconocer y desplegar una postura de seguridad/ciberseguridad que habilite un aprendizaje/desaprendizaje permanente de la organización sobre el ciberriesgo, una zona psicológicamente segura para opinar y explorar las posibilidades del riesgo cibernético y una práctica de innovación que cuestione los saberes previos de la organización sobre los modelos de seguridad y control (Edmondson, 2018). De esta forma, tanto directivos como el ejecutivo de seguridad/ciberseguridad podrán entablar una conversación estratégica y fluida que dé cuenta de los umbrales de operación disponibles para mantener la operación a pesar de los ciberataques exitosos.
Una postura de seguridad/ciberseguridad deberá motivar un esfuerzo interdisciplinar que reconozca y movilice a las organizaciones a través de un mundo ahora desconocido, volátil, interconectado, complejo y exponencial para habilitar una transformación digital confiable y resiliente que: (Spitz, 2022)
- Tome ventajas de los eventos adversos – antifragilidad
- Navegue a través de los inciertos, superando los supuestos lineales y resultados esperados – anticipación
- Reconozca los futuros que emergen, mientras reconcilia la estrategia y visión de futuro con la impredecible realidad actual – agilidad.
Referencias
Ansoff, H. I. (1957). Strategies for diversification. Harvard Business Review. Sept-Oct. 113-124. https://shorturl.at/ipGJR
Spitz, R. (2022). The definitive guide to thriving on disruption. Essential frameworks for disruption and uncertainty. Vol II. USA: Disruptive Future Institute LLC
Edmondson, A. (2018) The fearless organization. Creating psychological safety in the workplace for learning, innovation, and growth. Hoboken, New Jersey. USA: John Wiley & Sons.
Milică, L. & Pearlson, K. (2023). Boards Are Having the Wrong Conversations About Cybersecurity. Harvard Business Review. https://cams.mit.edu/wp-content/uploads/2023-05-02-HBR-Boards-Are-Having-the-Wrong-Conversations-About-Cybersecurity3.pdf
Hepfer, M., Chatterjee, R. & Smets, M. (2023). The CEO Report on cyber resilience. ISTARI. Oxford University’s Saïd Business. https://istari-global.com/insights/articles/ceo-report/
Ciberprisma - alianza por la ciberseguridad 