¿Qué significa aprender de una crisis cibernética?

Autor: JEIMY CANO – COLOMBIA

Una crisis cibernética no es otra cosa que desubicar y desinstalar a cualquier organización de su estado de “normalidad”. Es motivarla, a salir de la zona cómoda de los estándares y buenas prácticas que le ofrecen la ilusión del control, de las certezas que le dan tranquilidad a sus ejecutivos. Es un momento que la organización experimenta una amenaza real que compromete sus activos, sus objetivos y posiblemente su reputación. Por tanto, una crisis cibernética es lo que una compañía quiere evitar para mantener la dinámica de su negocio sin percances ni problemas y asegurar que cumple con lo esperado tanto al interior como al exterior (supervisores de su sector).

Una organización como la anterior, es una empresa en términos educativos escolarizada, aquella donde se tienen procesos repetibles, respuestas seguras y se castiga la equivocación, es decir, todo aquello que se sale de la lectura de sus prácticas establecidas (Calvo, 2012). El aprendizaje consiste en asegurar que todos los que participan conocen y aseguran los procesos definidos para lograr los resultados que se esperan. Cualquier lectura distinta que se pueda identificar, se considera una posible amenaza al modelo y por tanto, debe ser inhibida para evitar diferencias que generen ruido y distraigan la ejecución prevista.

En un contexto como el anterior, las sorpresas predecibles son la norma, esto es, eventos de gran impacto que ocurren cuando las señales débiles y advertencias previas han sido ignoradas o mal gestionadas (Watkins, 2008). Mientras la organización permanece atenta a los detalles de su ejecución interna con una vista cerrada y guiada por los resultados, el entorno evoluciona y crea condiciones que se van acumulando con el tiempo creando puntos ciegos que se mimetizan en las mediciones de los controles, aumentando la sensación de que todo “está bajo control”, hasta que algo ocurre y se suspende el ejercicio conocido de la realidad.

Cuando sucede ese momento que desinstala a la organización de su realidad, muchas veces con consecuencias inmediatas y visibilidad mediática, se pone a prueba la capacidad de supervivencia de la compañía, su capacidad de respuesta y por tanto, su fortaleza financiera para amortiguar el golpe y sufragar los gastos que debe incurrir para superar los efectos de esta condición anormal para la dinámica de su negocio (Weis, 2024). Con esto en mente, la empresa reacciona y reconoce que tiene aspectos que mejorar que no había visto previamente y desde donde irá a cerrar las brechas puntuales, encontrar los culpables, castigarlos y retornar a la normalidad.

¿Las organizaciones que actúan como se ha detallado previamente realmente están aprendiendo de las crisis cibernéticas? Posiblemente la respuesta no sea positiva, y más allá que no estuviesen haciendo las cosas como se espera, el reto es cómo cruzar el umbral de las certezas para explorar la dinámica natural actual de los negocios: la incertidumbre.

¿Cómo aprender de una crisis cibernética?

Aprender de una crisis cibernética, es un acto de educación pleno, es transformar la organización a través de un aprendizaje profundo, situado y continuo (James & Wooten, 2022). Es un ejercicio que exige desconectar lo que ha aprendido hasta el momento, retarlo en el contexto actual, y desde allí encontrar nuevos elementos claves y crear relaciones posibles, que le permitan repensar lo que hace, y así crear nuevas formas de cubrir y enfrentar situaciones desconocidas, que no es otra cosa, que actualizar su saber hacer y saber pensar más allá de los estándares y buenas prácticas.

Aprender desde la perspectiva educativa es una experiencia de asombro, curiosidad y descubrimiento que abraza la complejidad y la incertidumbre (Calvo, 2012), por tanto, un ejercicio de pedagogía del error, donde el error, no es un resultado, sino la consecuencia de un proceso que ha venido ocurriendo y que muchas veces no hemos visto hasta que ese evento cibernético adverso ocurre. Esto es, acumulación de riesgo por decisiones operativas o de desarrollo a lo largo del tiempo (Oliver-Smith et al., 2016)

En este sentido, aprender de una crisis cibernética en perspectiva educativa se puede sintetizar en seis prácticas que se mencionan a continuación: (Calvo, 2012; James & Wooten, 2022)

• Priorizar la pregunta inocente sobre la respuesta esperada. En una crisis cibernética, esto significa ir más allá de la superficie (“¿quién lo hizo?”) y preguntar con curiosidad genuina: “¿Por qué fue posible que esto sucediera?”, “¿Qué relaciones inéditas o puntos ciegos se revelaron?”, “¿Qué pasaría si cambiamos nuestras suposiciones fundamentales?”. Esto desordena el saber previo y fomenta la creación de nuevas relaciones.
• Aceptar que hay cosas que no salieron como estaban previstas (errores). En el contexto de una crisis cibernética, donde los errores son inevitables, es crucial fomentar un ambiente donde los fallos se reporten y analicen abiertamente para extraer lecciones, sin “señalar” al personal. Esto es fundamental para construir una cultura de aprendizaje significativo y resiliencia organizacional.
• Pactar con la incertidumbre, la ambigüedad y el caos. Aprender de una crisis cibernética implica no evadir la complejidad, sino reconocerla como una fuente de nuevas posibilidades y una oportunidad para la improvisación creativa. Es reconocer la naturaleza compleja y no lineal de las ciberamenazas que genera un caos inicial y que tiende inevitablemente a un nuevo orden emergente.
• Valorar las diferentes visiones y la intuición. En una crisis cibernética, esto se traduce en buscar activamente la diversidad de conocimientos y experiencias dentro y fuera de la organización (técnicos, legales, de negocio, de comunicaciones), y empoderar a los expertos para que aporten sus conocimientos.
• Guiar en medio del incierto, y no imponer. En medio de una crisis cibernética el reto es facilitar las acciones requeridas, no imponer respuestas, sino acompañar y empoderar a otros para que tomen la iniciativa y la lideren cuando la situación lo requiera. Un ejercicio de reconocimiento del otro y de adaptación conjunta.
• Evolucionar y no sólo cumplir. Optimizar lo que funcionó bien y aprender de aquello que no salió como estaba previsto para la transformación y adaptación a largo plazo, viendo las crisis como oportunidades.

En síntesis, aprender de una crisis cibernética es entenderla más allá de una amenaza, esto es, un compromiso constante para mantener la organización incómoda con lo que sabe y ha aprendido hasta el momento sobre el riesgo cibernético, con la flexibilidad y la confianza para responder (e improvisar) de manera novedosa y eficaz a situaciones impredecibles o sin precedentes, transformando el caos y la incertidumbre en oportunidades para el aprendizaje y la innovación.

Hacia la improvisación creativa y estratégica en la crisis cibernéticas

La improvisación creativa y estratégica es un acto de creación en el momento, impulsado por la necesidad y la curiosidad, que busca optimizar lo que funciona bien y transformar aquello que no responde a lo que esperamos, en oportunidades de crecimiento, sin un plan predefinido (Calvo, 2017; James & Wooten, 2022). No es una apuesta en el vacío ni aleatoria, sino basada en la experiencia y en el conocimiento disponible, para hacer cosas distintas y reconocer el orden emergente que surge de su aplicación, aún no sea claro en primera instancia. Solo puede improvisar el que sabe, el que posee destrezas y conocimiento profundo en su campo (Calvo, 2012).

Aunque no se exprese o acepte formalmente, en el desarrollo de una crisis cibernética se presentan momentos de improvisación creativa y estratégica, que terminan en acciones novedosas o ajustes inesperados que mejoran el desempeño de la organización en medio de la zona de inestabilidad que crea un incidente. Es claro, que no siempre los efectos serán los deseados, sin embargo esas apuestas inéditas estarán presentes, pues el reto no es tener todas las respuestas, sino concretar las acciones que permiten la limitación de los daños o impactos para la organización y sus grupos de interés.

La improvisación creativa y estratégica surge en el momento menos esperado, está motivada por preguntas incómodas, que comprenden que la ciberseguridad es un “territorio” dinámico, no un “mapa” estático de estándares y buenas práctica. Algunas en este sentido se presentan a continuación:

• ¿Qué cosas podemos hacer distinto a lo que dictan los estándares y buenas prácticas?
• ¿Qué acciones diferentes surgieron desde la atención de la última crisis cibernética que no se habían hecho antes?
• ¿Qué se hizo intuitivamente diferente en la crisis cibernética que terminó mejorando la respuesta y contención de los impactos?
• ¿Qué relaciones inesperadas o puntos ciegos reveló la crisis cibernética?
• ¿Qué sorpresas ha tenido la organización luego de atender la crisis cibernética?

Conclusiones

Aprender, implica sorprenderse, dejarse interrogar en el saber previo y explorar nuevas relaciones posibles con el entorno. En este contexto, una crisis cibernética es el escenario ideal para capitalizar múltiples aprendizajes, comoquiera que cada evento cibernético adverso es único en condiciones de tiempo, modo y lugar.

Sobrevivir a una crisis cibernética implica habilidades necesarias para prosperar en tiempos de disrupción, crisis constantes, ambigüedad y complejidad intensificadas. Más allá del cociente intelectual (CI) y la inteligencia emocional (IE), es la capacidad de liderazgo con compasión y comprensión, y el equilibrio entre escuchar y tomar decisiones difíciles, lo que le permite a una organización navegar en medio de la tormenta de un ataque cibernético y llegar a un puerto con menos inciertos (Bryant, 2022).

Atender un incidente no es una repetición mecánica de un proceso definido y asegurado, sino un proceso que opera en la inestabilidad, el incierto y el caos, donde la improvisación es la condición inherente al aprendizaje que navega en medio de condiciones desconocidas o efectos inesperados, abandonando las certezas para transformar lo posible en probable, y lo probable en realizable (Calvo, 2012). En consecuencia, una crisis cibernética obliga a una organización a cuestionar sus supuestos sobre su nivel de preparación y respuesta. No se trata de controlar todo, sino de encontrar archipiélagos de certezas en medio de un mar de inciertos que plantea el ataque cibernético.

Aprender de una crisis cibernética implica entender cada acción humana como en la analogía del jazz, donde “no hay notas equivocadas, solo notas en lugares equivocados” (James & Wooten, 2022), esto es, que las acciones individuales no son intrínsecamente correctas o incorrectas, sino que su coherencia depende de la continuidad y del momento en que ocurren, para que el nuevo orden surja y el nuevo anormal se consolide en las prácticas vigentes de la organización frente a la atención de incidentes y en el imaginario de la compañías como un todo.

Aprender de una crisis cibernética implica tomar riesgos, una característica distintiva de un liderazgo preparado, que reconoce que existen cosas que no salen como estaban previstas, pero necesarias para avanzar rápidamente de la contención a la recuperación, de la recuperación a la transformación (James & Wooten, 2022). Este ejercicio, no sólo prepara y alista a la organización para atender una futura crisis, sino que la habilita para anticipar y defender su promesa de valor en medio de situaciones inesperadas, desconocidas e inciertas. Una capacidad que le permite reconfigurarse sobre la marcha para contener los daños y mantener la operación sin depender de soluciones preconfiguradas.

Aprender de una crisis cibernética, desde la perspectiva educativa no busca la respuesta estereotipada, esperada o cierta, sino indagar con curiosidad sobre las causas profundas y las posibilidades emergentes (Calvo, 2012) que plantea el evento cibernético adverso, sin miedo al error, con intuición y la capacidad para organizar el caos que se produce con sentido común, y proponer una respuesta pragmática para contener los daños en un territorio siempre nuevo y dinámico.

Referencias

Bryant, A. (2022). What is your crisis quotient? Strategy+Business. https://www.strategy-business.com/blog/What-is-your-crisis-quotient

Calvo, C. (2012). Del mapa escolar al territorio educativo. Disoñando la escuela desde la educación. La Serena, Chile: Editorial Universidad de La Serena.

Calvo, C. (2017). ingenuos, inocentes, ignorantes (de la educación informal a la escuela autoorganizada). Santiago, Chile: Ediciones de la Junji (Junta Nacional de Jardines Infantiles) – Universidad de La Serena.

James, E. & Wooten, L. P. (2022). The prepared leader. Emerge from any crisis more resilient than before. Philadelphia, PA. Wharton School Press.

Oliver-Smith, A., Alcántara-Ayala, I., Burton, I. & Lavell, A. M. (2016). Forensic Investigations of Disasters (FORIN): a conceptual framework and guide to research (IRDR FORIN Publication No.2). Beijing: Integrated Research on Disaster Risk. https://irdrinternational.org/pdf/uploads/files/p0Rm0Zgt1EyRt4vABHAn4IOUXCig6WE5xi9iVri9.pdf

Watkins, M. D. (2008). Predictable surprises: The disasters you should have seen coming and how to prevent them. Harvard Business Review Press.

Weis, D. (2024). Boardroom cybersecurity: A director’s guide to mastering cybersecurity fundamentals. APress.