Autor: JEIMY CANO, P.h.D. -CFE- COLOMBIA

Introducción

Desarrollar una gestión y gobernanza de la seguridad/ciberseguridad en una organización enfrenta múltiples retos que deben ser entendidos y superados por el ejecutivo de este tema y su equipo de trabajo. Entre los diferentes desafíos, cinco se destacan por tener la capacidad de afectar de forma contagiosa y adversa los planes y estrategias de seguridad/ciberseguridad de las empresas. Estos son: (Martin, 2024, p.133)

  • Falta de pensamiento sistémico.
  • Sesgos cognitivos.
  • Tecnología inadecuada.
  • Poca evidencia empírica.
  • Desconocimiento del adversario. (las cursivas no hacen parte de la fuente original)

Cada una de ellas, representa un reto particular que al situarse en la dinámica de la función de seguridad y control de la organización, crea un efecto dominó adverso que termina comprometiendo los buenos oficios de los profesionales de seguridad/ciberseguridad, más allá de su dedicada labor y vigilancia, en su credibilidad y capacidad para acompañar el apetito de riesgo cibernético de la empresa.

Los efectos sistémicos de estos cinco desafíos serán más evidentes o visibles en la medida que la función de seguridad/ciberseguridad se sitúen en la esfera exclusivamente táctica y operativa, comoquiera que su visión de silos creará un marco de puntos ciegos en la dinámica del modelo de protección de las organización, comprometiendo las capacidades de defensa que deben primar ante la naturaleza del riesgo cibernético que es por definición sistémico, emergente, dinámico, adaptativo y disruptivo.

Cinco desafíos de la gestión y gobernanza de la seguridad/ciberseguridad

La falta de pensamiento sistémico implica mantener una vista de silos, centrada en los diferentes componentes de la práctica de seguridad/ciberseguridad como son las personas, los procesos y la tecnología de forma aislada. Esta vista segmentada no permite ver los retos emergentes que se presenta en el entorno, situando la atención en la cotidianidad de la dinámica de los controles de seguridad y control, que distrae la atención de los eventos externos y emergentes que terminan afectando la promesa de valor de la empresa.

Los ejecutivos de seguridad/ciberseguridad que persisten en la comodidad de los estándares y buenas prácticas, generalmente situadas y armonizadas para los diferentes temas de aseguramiento de la organización como seguridad en redes, seguridad de punto final, seguridad de móviles, seguridad de personas, cumplimiento normativo, entre otras, estarán avocados a recibir y tratar eventos inesperados que pondrán a prueba la confianza que la organización ha depositado en ellos, para hacer más resistente a la empresa frente a eventos conocidos y desconocidos en el contexto digital (Cano, 2023).

Los sesgos cognitivos son esos filtros propios que cada persona tiene respecto de la realidad que generalmente están situados en experiencias previas y se incorporan como saber previo que nutre las decisiones del profesional de seguridad. Particularmente estos sesgos se afianzan con el paso del tiempo cuando situaciones semejantes (nunca iguales) suceden y se cree firmemente que se tiene la forma concreta y exacta de darle solución. Esta sensación particular, crea puntos ciegos en la forma de analizar las situaciones inesperadas, tratando de seguir un guión específico y negándose a reconocer otras aproximaciones que podrían ayudarle a ver otra perspectiva de lo que sucede (Martin, 2019).

Los ejecutivos de seguridad/ciberseguridad que insisten en mantener y alimentar sus sesgos cognitivos, estará expuestos a sorpresas y eventos que terminen dándole lecciones que queden bien marcadas en su carrera. Experimentan un aprendizaje en la piel, esto es, con las consecuencias evidentes en su gestión que le revelarán aquellos puntos ciegos y estructuras mentales que debe cambiar, para superar los saberes previos que tiene bien aprendidos y abrirse a la posibilidad de desaprender, de repensar e interpretar eso que sabe de formas distintas en el contexto dinámica y cambiante donde ahora desarrolla su cargo y despliega su función organizacional.

La tecnología inadecuada no es sólo aquella que no es la apropiada para la dinámica de la organización, sino aquella que no responde a la naturaleza dinámica y adaptativa del riesgo cibernético. Esto es, no sólo mantener actualizados los sistemas de detección con las últimas tendencias, sino que se adapte ágilmente a los cambios de los atacantes y en el mejor de los casos anticipe nuevas trayectorias que se planteen por los adversarios. Estas tecnologías deben responder más al reto de la defensa (de eventos inesperados) que al de protección (eventos conocidos), pues en la medida que los dispositivos tecnológicos puedan detectar comportamientos inusuales, establecer patrones de anomalías en la dinámica de las líneas base de los controles y proyectar señales débiles de eventos no confirmados tendrán más opciones para identificar los pasos de un adversario en su vecindario (Grimes, 2019).

Los ejecutivos de seguridad/ciberseguridad que no acompañen el apetito de riesgo cibernético de la empresa, crearán la ilusión del control con el mantenimiento de tecnologías tradicionales que se concentran en asegurar lo conocido, con la excusa de mantener el bajo costo de las inversiones, sin percatarse que en el mediano o largo plazo, no es mitigar el riesgo el reto a completar, sino construir las capacidades necesarias para disminuir los impactos que un evento adverso generará en la empresa.

Esto implica recordar que no existe ni riesgo cero ni seguridad ciento por ciento y por tanto, más que contar con prácticas de continuidad para reaccionar, es imperativo desarrollar patrones de aprendizaje que lleven a la resiliencia cibernética para amortiguar los efectos del ciberataque, adaptar la infraestructura y agilizar las operaciones, para volver al nuevo normal, preferiblemente fortalecidos y renovados para consolidar la confianza digital en el cliente.

La poca evidencia empírica es reconocer que si bien existen múltiples implementaciones de planteamientos para el desarrollo de la función de seguridad/ciberseguridad, así como programas y estrategias algunas exitosas y otras no tanto, poco se ha documentado para contar con un asidero conceptual y científico que oriente la práctica actual de las empresas. Lo anterior implica que cada ejercicio de la función de seguridad/ciberseguridad está sujeto a la perspectiva y experiencia de los encargados en su momento y por lo tanto, está en juego la forma como se han equivocado antes y los nuevos “errores” que se concretan, sabiendo que el adversario sólo necesita un espacio en blanco en la gestión del ejecutivo de seguridad/ciberseguridad para concretar su agenda (Martin, 2024).

Los ejecutivos de seguridad/ciberseguridad que no tratan de documentar o crear espacios para contrastar sus propias prácticas, compartir experiencias con sus pares o con especialistas en otros dominios, podrán creer que su práctica es la más adecuada, concretando y afirmando sus propios sesgos, lo que en el tiempo se traduce en una postura menos vigilante, acomodada y poco cuestionada, que termina creando un mapa desactualizado del territorio agreste, dinámico y adaptativo donde opera la organización. Esto es, un ejecutivo que se niega a ser interrogado, a ser confrontado por el incierto y sobremanera, a desaprender de la dinámica del riesgo cibernético para deconstruir su propia práctica en un escenario de inestabilidad.

Desconocer al adversario puede resultar el desafío más crítico que puede tener la función de seguridad/ciberseguridad. Es dejar de lado la esencia misma de situar y comprender la amenaza para la organización. El adversario es la base fundamental para establecer la perspectiva sobre la cual se funda el programa y la estrategia de ciberseguridad. Sin reconocer el adversario, el ejecutivo de ciberseguridad no tendrá visibilidad y capacidad de acción, pues no sabe a quién se enfrenta, cuáles son sus intenciones y menos sus capacidades. El adversario no es el enemigo a vencer, es el elemento a comprender y anticipar, como la función de inteligencia y reconocimiento que le da forma a sus estrategias defensa para avanzar en medio de la inevitabilidad de la falla (Armstrong-Smith, 2024).

Los ejecutivos de seguridad/ciberseguridad que no conocen a sus adversarios tendrán más problemas para distinguir en medio de la niebla de los inciertos cibernéticos, quiénes son aquellos que son de su interés y tratarán de aplicar estrategias estándares para cubrir lo específico y conocido para responder a las exigencias de los directivos de la empresa. Este escenario deja un amplio espacio de acción que los adversarios aprovecharán para crear situaciones fuera de lo común que reten los mecanismos de seguridad y control instalados, los cuales van a distraer la atención de los profesionales de seguridad, sin tener en cuenta o comprender la agenda de los atacantes, que más allá de los daños que pudiesen ocasionar, se sitúan en las tensiones internacionales que gravitan alrededor de la empresa y sus negocios.

Conclusiones

Como se puede observar estos cinco desafíos de la función de seguridad/ciberseguridad presentan efectos sistémicos que van más allá de cumplir con un nivel de madurez o asegurar el cumplimiento de una normativa específica. Es reconocer que el ejercicio de defensa está situado en medio de la dinámica de los mercados donde opera la organización, en la adaptabilidad y dinámica de los adversarios y el riesgo cibernético, así como en la capacidad de aprender y desaprender de los profesionales de seguridad/ciberseguridad para dar cuenta con la inevitabilidad de la falla y la postura vigilante y proactiva que deben desarrollar para asegurar los activos digitales de la empresa (Cano, 2024).

El riesgo cibernético difiere ampliamente de los otros riesgos empresariales y por tanto su comprensión y tratamiento se debe hacer desde la lectura sistémica y holística, donde no sólo se entienden las características de sus componentes, sino la dinámica de sus relaciones, donde las riesgos emergentes aparecen como condiciones particulares que interrogan al ejecutivo de seguridad/ciberseguridad, y lo obligan a desconectar sus saberes previos para situarlos en los nuevos fenómenos que aparecen, y desde allí reconstruir sus propios conocimientos para hacer más resiliente la organización y acompañar el apetito de riesgo de la compañía (Siegel & Sweeney, 2020).

Así las cosas, reconocer y trabajar en estos cinco desafíos en la gestión y gobierno de la seguridad/ciberseguridad permite, no sólo a la organización, sino al ejecutivo de seguridad y su equipo de trabajo, mantener una postura renovada, fresca y anticipativa, que consulta los retos del negocio para reconocer y acompañar las estrategias y objetivos claves de la empresa. De esta forma, la seguridad/ciberseguridad comienza a romper su imaginario técnico y especializado, para entrar en la agenda ejecutiva como una exigencia estratégica que no debe ser complicada o inexplicable, sino una oportunidad para posicionar a la organización en un entorno digital cada vez más inestable y agreste, sin perjuicio que tarde o temprano el adversario tendrá éxito.

Jeimy Cano e s Director de la Revista Sistemas en la Asociación Colombiana de Ingenieros en Sistemas.

Enlace al artículo original.-

Referencias

Armstrong-Smith, S. (2024). Understand the cyber attacker mindset. Build a strategic security programme to counteract threats. London, United Kingdom: Kogan Page Limited.

Cano, J. (2023). Ciberseguridad empresarial. Reflexiones y retos para los ejecutivos del siglo XXI. Bogotá, Colombia: Ediciones de la U.

Cano, J. (2024). Ciberdefensa basada en datos. Un modelo conceptual para su desarrollo e implementación. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 170. 47-58. https://doi.org/10.29236/sistemas.n170a6

Grimes, R. (2019). A data-driven computer defense. A way to improve any computer defense. Lexington, KY. USA.

Martin, P. (2019). The rules of security. Staying safe in a risky world. Oxford, UK: Oxford Press.

Martin, P. (2024). Insider Risk and Personnel Security. An Introduction. Oxon, UK: Routledge.

Siegel, C. & Sweeney, M. (2020). Cyber strategy. Risk-Driven Security and Resiliency. Boca Raton, Fl. USA: CRC Press.