• Buscar

¿Cómo crear valor con la ciberseguridad? Reflexiones y retos en un mundo digital y tecnológicamente modificado

https://global-strategy.org/como-crear-valor-con-la-ciberseguridad-reflexiones-y-retos-en-un-mundo-digital-y-tecnologicamente-modificado/ ¿Cómo crear valor con la ciberseguridad? Reflexiones y retos en un mundo digital y tecnológicamente modificado 2021-05-03 11:04:31 Jeimy Cano Blog post Estudios Globales Global Strategy Reports Ciberseguridad
Print Friendly, PDF & Email

Global Strategy Report, 19/2021

Resumen: Crear valor, es decir concretar una experiencia y percepción con la ciberseguridad es uno de los retos actuales para los ejecutivos de esta área. Superar la vista técnica y de riesgo operativo arraigada alrededor de esta temática, que hoy supone un peso muerto que desgasta y muchas veces desanima a sus responsables, es una necesidad urgente para concretar las innovaciones claves en los negocios del siglo XXI. Este documento, atendiendo los desarrollos de los sistemas socio-técnicos y las consideraciones estratégicas simplificadas, establece un marco de acción concreto para los ejecutivos de la ciberseguridad que traduce las experiencias adversas en relaciones simétricas, transparentes y recíprocas que no se marchitan con los incidentes, sino que se fortalecen y fluyen desde la inevitabilidad de la falla.

Introducción

Una de las preguntas frecuentes que se les hace a los ejecutivos de seguridad y control es ¿cómo la ciberseguridad/seguridad genera valor? Esta pregunta que tiene por lo general visiones encontradas, distintas interpretaciones y consideraciones muchas veces sólo económicas, termina confundiendo a los profesionales de seguridad/ciberseguridad y las estrategias que estos pueden desarrollar de cara a los retos del contexto digital que tienen las organizaciones.

Entender qué es el valor, implica no sólo salir de la zona cómoda de las implementaciones tecnológicas y los términos técnicos, sino entrar en la visión holística de la organización y su dinámica de negocios, para identificar las interconexiones que se tienen entre los procesos, la promesa de valor y las innovaciones tecnológicas que se desarrollan para concretar las expectativas superiores de los clientes. Hablar el lenguaje del valor, el lenguaje de los ejecutivos es encontrar los puentes de conexión entre la ciberseguridad y la agenda estratégica de las empresas: el apetito de riesgo.

Cuando la ciberseguridad como elemento angular de la estrategia de negocio, hace parte de la agenda de los ejecutivos estamos asistiendo a la declaración concreta y detallada del apetito de riesgo declarado por los directivos, que entendiendo las exigencias y nuevas presiones de los clientes, es capaz de reconocer qué riesgos van a aceptar y qué capacidades se van a incorporar para dar cuenta de las transformaciones que se van a plantear para cambiar la forma de hacer las cosas (PwC, 2014).

Movilizar los retos asociados con los riesgos cibernéticos, conectados con las iniciativas de negocio implica simplificar la sobrecarga estratégica y el superávit de futuro, para reconocer las percepciones y experiencias que cambiarán la manera de hacer y ver las cosas de los clientes. En este sentido, es una oportunidad para construir una relación de compromiso de doble vía y simétrica con las personas, donde se detalle la manera como podrá interactuar en un entorno digital y qué compromisos se asumen por ambas partes cuando las cosas no salen como estaban previstas.

Entender el valor desde la ciberseguridad empresarial es asistir a una declaración corporativa de su capacidad de sensar y responder frente a las tendencias del entorno, reconociendo la delicadeza de los datos personales de sus clientes y las exigencias específicas que demandan la construcción de entornos confiables para concretar una experiencia distinta. En contexto, es claro que las innovaciones al estar asistidas por tecnología y una alta interconexión con terceros, algo no saldrá como estaba preparado, y es ahí donde habrá que capitalizar la experiencia y percepción de todos los participantes para disminuir y acordar la zona de actuación frente a los inciertos (Cano, 2021).

En consecuencia, la ciberseguridad no genera valor necesariamente en los entornos ciertos y estables, sino cuando es capaz de mantener la dinámica de la operación en momentos inestables, mostrar su resistencia frente a los eventos inesperados y sobremanera cuando logra encontrar un entorno definido de acción que comparte y da respuesta a las inquietudes del cliente: más allá de indicarles qué debe hacer, convertirlos en parte natural de la manera cómo funciona la misma organización.

En razón con lo anterior, este documento presenta una reflexión inicial sobre los retos que tiene la ciberseguridad para crear valor en las estrategias de negocio, y cómo desde allí es posible habilitar la captura y realización del valor empresarial, que permita movilizar las propuestas corporativas que conecten las necesidades y exigencias de los clientes actuales, potenciales y futuros.

¿Qué es el valor? Algunas definiciones básicas

Para aproximarnos a esta temática, existen múltiples definiciones y enfoques para entenderla y darle forma. Por tanto, detallamos a continuación algunas de ellos.

1. “El valor es la capacidad de un bien, servicio o actividad, o las actividades de una organización para satisfacer una necesidad o proporcionar un beneficio a una persona o entidad legal” (Haksever, Chaganti, & Cook, 2004).

2. “Una propuesta de valor se puede definir como “una declaración de negocios o de marketing que resume por qué un consumidor debe comprar un producto o utilizar un servicio” (Twin, 2020). Esta declaración debe convencer a un consumidor potencial que un determinado producto o servicio va a agregar más valor o va resolver mejor un problema que otras ofertas similares”.

3. “Para los clientes, la creación de valor podría referirse a la constante innovación de productos y la capacidad de ofrecer servicios a costos competitivos. Para los empleados, el valor podría significar una mejor remuneración, oportunidades de formación o participar en la toma de decisiones, para que ellos, a su vez, estén motivados para crear valor para el cliente. Iniciativas de creación de valor fallan cuando los dos no están conectados” (HAYGROUP, 2010).

Como se puede observar las definiciones de valor hablan de al menos tres elementos: los clientes, los empleados y los terceros de apoyo. Adicionalmente se concentran en conceptos relacionados con resolver un problema, proporcionar un beneficio, sintonía entre retos corporativos y motivaciones de empleados, productos y servicios innovadores, los cuales terminan sugiriendo una experiencia distinta y novedosa que conecta las expectativas de las personas para crear una forma diferente de hacer las cosas (Oberholzer-Gee, 2021).

En este sentido, podríamos definir el valor como la percepción y experiencia que se genera en un grupo de interés particular, donde es posible resolver un reto, agilizar un proceso, reducir tiempos de espera, acompañar ante eventos inciertos, en general la respuesta personal y la impronta corporativa que entiende a cada beneficiario de sus productos/servicios como una persona relevante y clave para hacer realidad la promesa de valor de la empresa (Viklund & Tjernström, 2008).

Cuando se entiende el valor de esta forma, la organización toma una postura particular que privilegia y resalta la presencia del cliente, de sus realidades, expectativas y retos, como una forma de acompañarlos y encontrar lugares comunes que permiten traducir un querer en una experiencia. Lo que para un individuo es un problema, para la organización será una oportunidad para hacer la diferencia y crear escenarios novedosos donde juntos, persona y empresa, son capaces de transformar la manera de hacer las cosas.

¿Cómo crea valor la ciberseguridad en una organización?

Hoy la ciberseguridad se advierte como un problema de los técnicos, un riesgo operativo y una responsabilidad de las áreas de tecnología. Este escenario, que muchas veces se reitera por parte de los responsables de ciberseguridad, termina asociado como un tema de costos y gastos que se requieren para “mantenernos seguros”, algo que definitivamente no genera diferencia, sino que se incluye como un “commodity” para dar respuesta a las exigencias de los comités de auditoría.

Al entender la ciberseguridad de esta forma, se continua pensando en el riesgo cibernético como un riesgo de tecnología de información, como un riesgo que los ejecutivos piensan que conocen, que está a cargo de los especialistas y requiere los mismos “juguetes caros” que solicitan los ingenieros para mantener la expectativa de seguridad y control basada en una configuración tecnológica. Tratar el riesgo cibernético de esta forma, es intentar resolver los retos de los inciertos propios de la amenazas digitales emergentes con los estándares y tecnologías basadas en riesgos conocidos y ciertos (Cano, 2019).

Esta aparente contradicción que se plantea a nivel ejecutivo, tiene la virtud de advertir las opacidades y oportunidades para crear una visión distinta y enriquecida, que sirva como punto de apoyo para transformar a la ciberseguridad en un fundamento estratégico de la empresa, como generador de experiencias distintas que acompañan a los productos y servicios corporativos para custodiar y proteger la promesa de valor de la compañía. La creación de valor por parte de la ciberseguridad está en aumentar la confianza digital en las personas, apoyar la flexibilidad de las operaciones y mejorar la productividad de los procesos.

Leer la creación de valor de la ciberseguridad en clave de negocio, es comprender que las propuestas innovadoras con tecnología se enmarcan en el modelo de los sistemas socio-técnicos. Este marco conceptual entiende que todo desarrollo tecnológico se estructura en cuatro niveles los cuales deben articularse entre sí para producir el efecto deseado en los clientes. Los cuatro niveles son: (Cano, 2021b)

  • Nivel físico – Almacenamiento de datos
  • Nivel de aplicaciones – Procesamiento de datos
  • Nivel de negocio – Uso de los datos
  • Nivel de comportamiento – Generación de los datos

El tratamiento de los datos en cada uno de los niveles es la esencia misma del flujo de la información que se crea por cuenta de una mayor conectividad y la convergencia entre lo físico, lo lógico y lo biológico. De esta forma, la creación de valor por parte de la ciberseguridad a nivel empresarial deberá articular la iniciativa innovadora con los aquellos que reconocen su valor y participan de su materialización: el cliente, los empleados y los proveedores (Oberholzer-Gee, 2021).

Por tanto, una vista consolidada de la lectura de la creación de valor de la ciberseguridad se puede ver en la siguiente figura 1, donde para cada uno de los niveles de los sistemas socio-técnicos se establecen algunas prácticas claves que apalancan el valor definido para el cliente (confianza), los empleados (flexibilidad) y los proveedores (productividad).

Figura 1. Ciberseguridad empresarial. Creación de valor para clientes, empleados y proveedores

(Elaboración propia)

Cuando se entiende el valor como esa transformación de una experiencia conocida en otra que modifica el statu quo, que reta los saberes previos y los conecta con las expectativas de clientes, empleados y proveedores, se advierte una espiral de aprendizaje creciente que acompaña a cada uno de los participantes frente a los inciertos que plantea el contexto digital (Cano, 2016). Esto es, un cambio de perspectiva que no se marchita con un incidente, sino que se consolida y crece con cada reto que se asume de forma conjunta.

Creación de valor. El reto del estratega de ciberseguridad empresarial

El ejecutivo de ciberseguridad es una figura, que dependiendo de cada organización, podrá asumir roles como asesor técnico, asesor conceptual o estratega tecnológico y digital. Cuando estos ejecutivos son convocados para asistir a las juntas directivas por lo general llegan con informes técnicos de estadísticas sobre eventos y acciones que su área ha realizado para justificar las inversiones que se han destinado para mantener la dinámica de protección definida (Fruhlinger, 2019).

Por tanto, pocas veces se concentran estos directivos en identificar la manera de cómo transformar las experiencias de los clientes desde la lectura del negocio. La ciberseguridad en lectura estratégica, no es una propiedad adicional que se adhiere a las iniciativas de la empresa, sino que se diseña desde aquello que se quiere cambiar y cómo se va a acompañar al cliente preferiblemente cuando las cosas no salen como estaban planeadas.

El ejecutivo de ciberseguridad deberá procurar construir una relación de doble vía entre la promesa de valor de la empresa y los clientes, sabiendo que deberá conectar y acordar con los diferentes participantes de la iniciativa las exigencias de transparencia, simetría y reciprocidad, que al final se deben traducir en: (Sanz, Ruiz & Pérez, 2009)

  • Transparencia – No ocultar información cuando existan un evento adverso.
  • Simetría – Asumir riesgos y amenazas por igual.
  • Reciprocidad – Efectuar acciones equivalentes entre las partes.

Estos tres elementos definen de alguna forma el compromiso y la impronta de la empresa frente a los clientes, que se traduce en una experiencia de apoyo y acompañamiento, que si bien estará asistida por prácticas y estrategias de seguridad y control (como se observa en la figura 1), tendrá un efecto en la percepción y el imaginario de la persona, que se traduce en el tratamiento del incierto y la capacidad de la empresa para tomar muy en serio las exigencias y las inquietudes de cada uno de los clientes.

Así las cosas, el estratega de ciberseguridad consciente de esta situación, no se prepara para crear valor cuando las cosas funcionan bien, sino cuando las condiciones son menos favorables, cuando tiene que salir de su zona cómoda y reconocer las inestabilidades del escenario de interacción de las iniciativas empresariales y establecer la ruta de atención sobre un territorio que se advierte agreste y muchas veces incierto. Por tanto, se hace necesario superar lectura binaria de la realidad blanco o negro que inhibe toda iniciativa estratégica sabiendo que un incidente va a ocurrir, una afectación se va a presentar y lo peor puede evitarse (Ohmae, 1984).

Para ello, el estratega de ciberseguridad deberá estar atento al menos a cinco elementos claves para diseñar y desarrollar una vista de umbrales de acción claramente comunicados, donde se asumen riesgos y retos por igual, y se coordinan acciones equivalentes entre las partes participantes: (Ohmae, 1984)

  • Realidad – Evolución de los clientes y sus expectativas, la competencia y sus propuestas, y las tendencias de su sector de negocio.
  • Oportunidad – Identificar el momento oportuno para el lanzamiento de la estrategia.
  • Recursos – Evaluar las disponibilidad de habilidades y medios necesarios para concretar la estrategia.
  • Crítica – Capacidad para enfrentar el reproche, la hostilidad y aun la mofa, como parte del ejercicio de reto de los saberes previos de la empresa.
  • Experimentación – Habilidad para crear zonas psicológicamente seguras para explorar y probar propuestas que cambien la manera de hacer las cosas.

Nota: Las cursivas no son parte del texto original.

Lo anterior exige del ejecutivo de ciberseguridad entender a nivel operacional las características y retos de los riesgos cibernéticos, a nivel de negocios las implicaciones y transformaciones que se proponen con el aumento de la densidad digital y a nivel estratégico, entender, analizar y capitalizar el apetito al riesgo de la empresa, no sólo desde la perspectiva técnica de operación, sino desde las capacidades que son requeridas para crear el valor esperado en los clientes, los empleados y los proveedores (Culot, Fattori, Podrecca & Sartor, 2019).

Para el ejecutivo de ciberseguridad crear valor es preparar a la organización para rebotar ante cualquier evento, preparar el músculo de prácticas y coordinación para mantener la dinámica empresarial, aun esté amenazada y comprometida por evento adverso. Es un ejercicio de constante de simulación y prospectiva que se nutre de las respuestas a una pregunta clave: ¿qué cosas se deben hacer particularmente bien para tener éxito en esta industria?

En consecuencia, el ejecutivo de ciberseguridad debe ser consciente que vende un producto muy sensible y delicado, que puede ser afectado todo el tiempo por los cambios en el entorno como lo es la confianza digital. Una confianza que estará medida por su capacidad para crear relaciones entre pares y sus clientes, para construir escenarios conjuntos de aprendizaje y experimentación con sus grupos de interés, y para asistir el desarrollo de operaciones flexibles y coordinadas con cada una de las áreas de la organización alineados con los objetivos estratégicos de la empresa.

Reflexiones finales

Crear valor desde la ciberseguridad se convierte necesariamente en un reto de liderazgo en el contexto digital que implica crear mecanismos de absorción y restauración frente a eventos y situaciones naturales como son:

  • las mutaciones del entorno de amenazas,
  • la explosión de flujos de información y dispositivos conectados,
  • los cambios en las regulaciones,
  • las afectaciones a los datos personales,
  • la desinformación y los engaños,
  • la cibercriminalidad transnacional,

los cuales son habilitados por tecnologías de información y materializados, entre otras cosas, a través de los comportamientos de las personas. Esta realidad de transformaciones y cambios permanentes hacen que el ejercicio de crear valor por parte de los ejecutivos de ciberseguridad, se convierta en una práctica permanente de “sensar y responder” donde deben desarrollar habilidades y capacidades para superar sus propios sesgos y encontrar respuestas en personas y aliados con diferentes perspectivas (Mukherjee, 2020).

Crear valor desde la ciberseguridad supone desarrollar y actualizar mapas sobre un territorio digital inestable para encontrar “espacios en blanco” donde posicionar una estrategia que lea el entorno de forma permanente, para aprender a pensar en términos de escenarios y simulaciones que permitan superar las reflexiones de causa-efecto, y reemplazarlas con lecturas sistémicas de la realidad, que reten los saberes previos aceptados por la organización.

La ciberseguridad no crea valor desde las prácticas y estándares que actualmente se implementan en las organizaciones, ni desde el seguimiento y aseguramiento de los riesgos conocidos, sino desde las lecturas de su “saber que no sabe” y cómo de manera colaborativa, cooperativa, cocreativa y en coordinación con otros, es posible proponer posibles alternativas para hacer más resistente la organización a los eventos adversos, donde todos las partes interesadas y grupos de interés hacen parte de la respuesta.

Por lo anterior, el ejecutivo de ciberseguridad deberá pasar de una mentalidad de “comprar e implementar” a una basada en “sensar y anticipar”, en donde sus habilidades y estrategias deberán estar centradas en vincular las exigencias de los clientes para participar de manera confiable en las iniciativas innovadoras de la organización, sin perjuicio de la activación del ejercicio de confianza digital previsto cuando situaciones inesperadas aumenten el nivel de incierto más allá de los límites acordados y comprometidos con ellos.

La creación de valor desde el desarrollo de capacidades en ciberseguridad asociado con el “sensar y anticipar” se debe convertir en un nuevo estándar emergente y competitivo, que implica persuadir y conectar a los miembros del directorio empresarial con las nuevas características del riesgo cibernético, que más allá de materializar un producto innovador con tecnología, se requiere crear productos y servicios emergentes, nunca antes probados y desafiantes para el estado del arte de la tecnologías en el momento, que necesariamente tendrán un espacio de aprendizaje, de “error” y de oportunidad que deberá ser construido a la medida y con los grupos de interés.

Así las cosas, cuando el cuerpo ejecutivo no logra concretar, ni entender claramente las inestabilidades y retos de los riesgos cibernéticos, se crean silos de conocimiento y especialidades que responden solo por su feudo, y terminan minando la confianza de los clientes (Cano, 2021c). Los efectos de esta postura afectan directamente los objetivos estratégicos de la compañía que trata de responder a las necesidades de sus clientes, y no permite construir de manera conjunta experiencias distintas que creen zonas psicológicamente seguras donde aprender es la base de la relación de doble vía.

No obstante, cuando es posible darle forma al apetito al riesgo desde la junta directiva, es decir, concretar aquellos riesgos que se van a asumir, cuáles son las tolerancias y capacidades de riesgo que se deben construir y probar, así como la forma definida para acompañar a los clientes por los posibles efectos derivados de la materialización de eventos inciertos, es posible crear valor, una alianza estratégica que se consolida y lidera con los grupos de interés, no desde las certezas, sino desde el desafío de los inciertos y las volatilidades.

En pocas palabras, parafraseando al poeta Leonard Cohen: “En todo siempre habrá una vulnerabilidad, sólo así es como entra la luz”.

Referencias

Cano, J. (2016). La educación en seguridad de la información. Reflexiones pedagógicas desde el pensamiento de sistemas. 3er Simposio Internacional en “Temas y problemas de Investigación en Educación: Complejidad y Escenarios para la Paz”. Universidad Santo Tomás. https://www.researchgate.net/publication/310844543_La_educacion_en_seguridad_de_la_informacion_Reflexion_pedagogicas_desde_el_pensamiento_de_sistemas

Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. 63-73. https://doi.org/10.29236/sistemas.n151a5

Cano, J. (2021). Ciberseguridad empresarial. Reflexiones y retos para los ejecutivos del siglo XXI. Bogotá, Colombia: Lemoine Editores.

Cano, J. (2021b). Modelos formales de seguridad y control. Una reflexión no convencional de estrategias y prácticas probadas para un contexto digital. Global Strategy. Global Strategy Report No. 17. https://global-strategy.org/modelos-formales-de-seguridad-y-control-una-reflexion-no-convencional-de-estrategias-y-practicas-probadas-para-un-contexto-digital/

Cano, J. (2021c). Superando los silos en la gestión de riesgos corporativos. Breves anotaciones para el riesgo cibernético. Linkedin. https://www.linkedin.com/pulse/superando-los-silos-en-la-gestión-de-riesgos-breves-cano-ph-d-cfe

Culot, G., Fattori, F., Podrecca, M. & Sartor, M. (2019) Addressing Industry 4.0 Cybersecurity Challenges. IEEE Engineering Management Review. 47(3). 79-86. Doi: 10.1109/EMR.2019.2927559

Fruhlinger, J. (2019). What is a CISO? Responsibilities and requirements for this vital leadership role. CSO. https://www.csoonline.com/article/3332026/what-is-a-ciso-responsibilities-and-requirements-for-this-vital-leadership-role.html

Haksever, C., Chaganti, R., & Cook, R. G. (2004). A Model of Value Creation: Strategic View. Journal of Business Ethics, 49(3), 295–307. https://doi.org/10.1023/b:busi.0000017968.21563.05

HAYGROUP (2010) Corporate centres: Value destroyers? Unlock business value from within. https://www.haygroup.com/downloads/sg/misc/sg_corporate_centre_6pp_april2010.pdf

Mukherjee, A. (2020). Leading in the digital world. How Foster creativity, collaboration, and inclusivity. Cambridge, MA. USA: MIT Press.

Oberholzer-Gee, F. (2021). Eliminate Strategic Overload. Harvard Business Review. https://hbr.org/2021/05/eliminate-strategic-overload

Ohmae, K. (1994). La mente del estratega. El triunfo de los japoneses en el mundo de los negocios. Naulcapan de Juárez, Estado de México. Mexico. McGraw Hill Interamericana.

PwC (2014). Board oversight of risk: Defining risk appetite in plain English. Report. http://www.ceolearningnetwork.com/_assets/library/2014/08/Defining-Risk-Appetite.pdf

Sanz, S., Ruiz, C. & Pérez, I. (2009). Concepto, dimensiones y antecedentes de la confianza en los entornos virtuales. Teoría y Praxis. 6. 31-56. https://www.redalyc.org/articulo.oa?id=456145109003

Twin, A. (2020). Value Proposition: Why Consumers Should Buy a Product or Use a Service. Investopedia. https://www.investopedia.com/terms/v/valueproposition.asp

Viklund, K. & Tjernström, V. (2008). Benefits management and its applicability in practice. A case study of a Benefits Management approach. [Unpublished Master Thesis]. Department of Applied Information Technology. University of Gothenburg. https://core.ac.uk/download/pdf/16315434.pdf


Editado por: Global Strategy. Lugar de edición: Granada (España). ISSN 2695-8937

Jeimy Cano

Profesor Universitario y Consultor Internacional en Ciberseguridad y Ciberdefensa. Ph.D en Administración y Ph.D en Educación. Docente en varios posgrados en seguridad de la información, ciberseguridad y cibercrimen en Colombia.

Ver todos los artículos
Jeimy Cano