• Buscar

Formación ejecutiva en ciberseguridad. Fundando las bases de los nuevos directivos y consejos de administración en un contexto digital

https://global-strategy.org/formacion-ejecutiva-en-ciberseguridad-fundando-las-bases-de-los-nuevos-directivos-y-consejos-de-administracion-en-un-contexto-digital/ Formación ejecutiva en ciberseguridad. Fundando las bases de los nuevos directivos y consejos de administración en un contexto digital 2021-04-01 10:25:07 Jeimy Cano Blog post Estudios Globales Global Strategy Reports Ciberseguridad
Print Friendly, PDF & Email

Global Strategy Report, 12/2021

Resumen: La acelerada transformación digital que se presenta en las organizaciones por cuenta de la emergencia sanitaria internacional ha revelado entre otros aspectos las asimetrías de conocimiento y capacidad que se tienen en los niveles ejecutivos de las empresas frente al tratamiento del riesgo cibernético. En este sentido, se hace necesario establecer algunas reflexiones básicas que permitan orientar la formación de estos directivos con el fin de superar el imaginario técnico vigente, superar los excesos de confianza de los riesgos conocidos y crear entornos psicológicamente seguros para pensar y proponer visiones no convencionales que conecten la dinámica de la organización con los retos de un escenario más interconectado y tecnológicamente modificado, y con adversarios cibernéticos muchas veces no identificados.

Introducción

Luego de revisar múltiples reportes a nivel internacional, desde diferentes perspectivas, el tema de ciberseguridad empresarial toma especial relevancia en un escenario como el actual. Particularmente los ejecutivos y las juntas directivas deben avanzar rápidamente no sólo en su conocimiento y comprensión, sino en su apropiación y acciones concretas para dar cuenta con las inestabilidades globales que se generan por las tensiones geopolíticas vigentes, exacerbadas por la emergencia sanitaria internacional y la diplomacia de las vacunas (FS-ISAC, 2021).

La pandemia no ha creado nuevas vulnerabilidades, ha revelado las existentes que permanecían en las sombras y ocultas de los radares de los controles. Esta situación no es responsabilidad exclusiva de los cuerpos de gobierno o ejecutivos de las empresas, es una realidad que muestra cómo evolucionan los riesgos y que demanda cada vez más, una visión ampliada de su gestión más allá de las amenazas conocidas, para comenzar a trazar nuevos mapas sobre un territorio de volatilidades e inciertos que cambia permanentemente (Lovejoy, Hartkopf, Randolph, George, Chambers & Petrisky, 2021).

En este sentido, se hace necesario profundizar en el conocimiento, la capacidad y la relevancia que los ejecutivos y juntas directivas le dan a la gestión de riesgos empresariales, comoquiera que sus orientaciones y directrices deberán estar bien fundadas, informadas y ejecutadas para enfrentar las nuevas fuentes de inestabilidad que pueden afectar a sus organizaciones. Estos tres elementos se configuran como la base conceptual sobre la cual la formación directiva debe moverse para movilizar a la empresa frente a su apetito de riesgo (IIA, 2020).

La emergencia sanitaria internacional crea un contexto que habilita una mayor superficie digital de conexión y actividad empresarial, lo que aumenta necesariamente el riesgo de ciberseguridad, por cuenta de un mayor trabajo remoto, mayor flujo de datos, conexiones desde dispositivos móviles (generalmente no asegurados), un aumento del comercio electrónico, uso intensivo de videoconferencias y uso de software de terceros en la nube para apalancar la dinámica empresarial fuera de la infraestructura interna establecida por las empresas.

Así las cosas, se hace necesario desarrollar un programa de formación ejecutiva que conecte y desarrolle el conocimiento y la capacidad en los directivos de la organización, para que el ejercicio de apetito al riesgo corporativo reconozca en la ciberseguridad empresarial la condición no negociable para avanzar en iniciativas que generen valor para los clientes, y que habilitan nuevas fuentes de oportunidades para lograr posiciones estratégicas en los ecosistemas digitales de negocio que se consolidan a nivel internacional.

Esta breve reflexión es una invitación para darle forma a una experiencia ejecutiva de construcción y desarrollo de conocimientos y experiencias, para fundar las bases de los nuevos ejecutivos sensibles a los retos del entorno digital, las tecnologías disruptivas y emergentes, y en especial, a las amenazas cibernéticas y adversarios digitales que ahora hacen parte inherente de la nueva realidad digital y tecnológicamente modificada.

Alfabetización digital. Desinstalando los saberes previos de los equipos ejecutivos.

Una de las cosas que resulta interesante al conversar con los niveles de toma de decisiones, son los conceptos básicos que se tienen respecto de temáticas particulares. Conceptos que se han venido reiterando y consolidando con el paso del tiempo, y que al no tener actualizaciones pasan a ser “pilares” inamovibles que terminan creando zonas opacas en el ejercicio de la comprensión de las nuevas realidades de la empresa en el contexto digital.

Particularmente el reciente informe OnRisk 2021 (IIA, 2020) detalla tres temáticas que son relevantes para la organización, donde los ejecutivos aún no cuentan con un conocimiento detallado. Los temas son: ciberseguridad, innovación disruptiva, continuidad y manejo de crisis. Cada una de ellas exige una revisión en profundidad para reconocer las implicaciones que se pueden tener en la empresa sino se cuenta con una lectura y detalle adecuado para la comprensión de los retos y amenazas que se pueden materializar por cuenta de esta situación.

Los ejecutivos tienen un escenario contradictorio para el aprendizaje, que genera zonas inestables y de poca confianza para materializarlo. Por un lado, la teoría afirma que cuanto más se avanza hacia el nivel más alto de la pirámide empresarial, menos es la capacidad de aprendizaje que tiene las personas (poca tolerancia al error) (Ackoff, 2000). Y por otro, los cambios acelerados del ambiente, las nuevas tecnologías y las innovaciones emergentes, exigen de estos perfiles estar actualizados y conectados para mantenerse vigente y generar aportes que permitan avanzar a la organización desde su posición actual en medio de los inciertos.

Aprender implica que estamos dispuestos a encontrar puntos ciegos en nuestras reflexiones, a dejarnos interrogar por las posturas distintas y sobremanera, explorar y navegar en opciones antes inexploradas. Estas condiciones se pueden dar en la formación de ejecutivos siempre y cuando se configuren espacios psicológicamente seguros, donde no hay censuras, ni burlas, ni sanciones sociales por declarar que no sabe (Edmondson, 2018). No saber y preguntas cosas que pueden sonar absurdas o incongruentes, son situaciones que se requieren para romper con la inercia de lo que se sabe y dejar fluir las reflexiones de forma natural,  para que se construyan y renueven los referentes previos sobre los temas conocidos y emergentes.

De esta forma, es viable comenzar a desinstalar los conocimiento previos, suspender el ejercicio defensivo de lo que se suponía era estable y cierto, para buscar alternativas y horizontes nuevos que vayan más allá de los riesgos tradicionales. Esto es, quebrar el statu quo de los cuerpos directivos que reza “conocemos los riesgos de la empresa” y crear una zona de reto y laboratorio permanente, donde las ideas pueden ser desafiadas y contrastadas para buscar opciones y pensar de forma distinta.

Ya las formas para sumergir a los ejecutivos en esta dinámica de reinvención de la cultura de ciberseguridad, dependerán de los perfiles específicos, sus necesidades y posturas, con el fin abrir espacios para sentirse incómodos y compartir sus reflexiones con sus pares que los lleven a formular maneras distintas de ver la realidad empresarial desde las tendencias que cambian la manera de hacer las cosas y afectan la dinámica del negocio: las tecnologías disruptivas y los riesgos emergentes (ECIIA – IEAI, 2020).

El entorno cibernético. Más allá de las tecnologías de información y sus aplicaciones

Los diferentes reportes consultados ubican a la ciberseguridad como uno de los riesgos más importantes para los equipos ejecutivos y comités de auditoría. Estos resultados muestran un marcado interés por los directivos por conocer y comprender mejor esta nueva realidad, más allá de las noticias que a diario se publican sobre eventos adversos que termina afectando la empresa en su continuidad y reputación (IIA, 2020).

Entender que la ciberseguridad responde a la comprensión de un entorno enriquecido con conectividad, con una mayor densidad digital de los objetivos físicos, es reiterar en la referencia de la cibernética como disciplina, que busca estudiar la comunicación y control en seres vivos y artificiales. El aumento creciente de objetos conectados muestra un flujo ascendente de información personal, de control y de negocios, que ahora circula por fuera de los tradicionales servidores e infraestructura tecnológica (Cano, 2021).

Cuando se comprende que el entorno cibernético, es un entorno enriquecido por una hiperconectividad de los objetos físicos, que crean “duales digitales” de la realidad, se hace evidente la emergencia de objetos ciberfísicos, en los cuales las dinámicas de conexión, funcionalidad y uso cambian conforme las experiencias de los usuarios y las demandas de los clientes (Sjarov, Lechler, Fuchs, Brossog, Selmaier, Faltus, Donhauser & Franke, 2020). Ya no son las implementaciones de tecnologías de información las que hacen la diferencia (son necesarias como infraestructura base), sino la manera como se perfeccionan las expectativas de los clientes alrededor de temáticas que son de su interés.

Es así, como la realidad virtual, la realidad aumentada, los pagos basados en criptomonedas, los dispositivos médicos implantados, la impresión 3D, la inteligencia artificial, la computación cuántica, entre otros temas crean oportunidades inéditas para fundar zonas de conocimiento por fuera de lo establecido, con el fin de retar los límites actuales a nivel social, político, económico, tecnológico, legal y ambiental. Este nuevo escenario mediado por una realidad digital y ciberfísica, sitúa tanto a las empresas como a los individuos en una realidad de sistemas socio-técnicos que cambian las interacciones entre los seres humanos, enriquecen las experiencias individuales y habilitan posibilidades con el uso y tratamiento de la información (Sawant, 2021). 

Las tecnologías de información y las comunicaciones como fundamento de la conectividad básica de las empresas tienen una base de riesgos conocidos, donde las organizaciones deben asegurar una adecuada implementación de controles, que permita mantener un nivel aseguramiento y confiabilidad, los cuales deben ser evaluados y verificados de forma permanente con el fin de establecer el referente esencial de su operación y los momentos en los cuales puede estar fuera de línea o en mantenimiento.

En el contexto digital y ciberfísico, lo normal es enfrentar al riesgo cibernético, que si bien comparte algunas características del riesgo de tecnología de información, plantea diferencias claves para su gestión como son: estar orientado la resiliencia del negocio, promover estrategias de defensa y anticipación, así como definir umbrales de operación y reconocer sus características sistémicas, que implica efectos en cascada.

Habilitando el aprendizaje ejecutivo en temas de ciberseguridad. Del análisis de casos a las simulaciones prácticas

Los ejecutivos por naturaleza son personas con agendas complicadas y demandan acciones concretas y prácticas que les permitan tomar las decisiones más adecuadas con un mínimo de información disponible. En muchas ocasiones, se podría pensar que estos directivos cuentan con un mar de conocimientos (asistidos de una experiencia) con poca profundidad, pero nada más distante de esta afirmación, como quiera que sus lecturas y desafíos sobre la organización precisamente están asistidas del reconocimiento mismo de los retos de la empresa en su contexto de negocios.

En este sentido, las estrategias de apoyo para conectarlos con los temas del entorno ciberfísico como son los estudios de caso generales, aquellos particulares para su sector de negocio y los impactos documentados de eventos, resultan de interés para levantar una alerta sobre sus saberes previos y saber que tienen un tema pendiente para estudiar o referenciar. No obstante, como es un tema novedoso y asociado con un imaginario técnico, termina referido a los especialistas de seguridad y tecnología, lo que implica disminuir su prioridad de la agenda estratégica de la empresa.

Dada esta lectura técnica del riesgo cibernético, es preciso transformar ese imaginario desde la perspectiva de las simulaciones, bien a través de ejercicios de mesa (Tabletop Exercises) donde se escala a través de eventos, en el cual la organización debe dar respuesta y al mismo tiempo atender los impactos sobre sus grupos de interés; o usando simulaciones asistidas por plataformas tecnológicas donde se requiere que los diferentes participantes opinen y coordinen acciones para enfrentar la crisis cibernética que genera un ciberataque a la dinámica misma de la organización (Angafor, Yevseyeva & He, 2020).

Este tipo de ejercicios revelan a los ejecutivos que participan, la necesidad de comprensión de la dinámica de la empresa y sus impactos, lo que necesariamente no requiere a una respuesta técnica, sino de coordinación, comunicación y comprensión de la situación, con el fin de establecer las jugadas o movimientos que se deben efectuar para disminuir los impactos en sus diferentes grupos de interés, asegurar una adecuada atención del incidente y mostrar el debido cuidado y diligencia de la empresa tanto a sus clientes como a los diversos entes de control, supervisores o autoridades de su sector de negocio.

Mientras más involucrados y comprometidos estén los ejecutivos con este tipo de ejercicios, es viable recomponer el imaginario que se tiene del riesgo cibernético, y avanzar en una mejor comprensión del apetito al riesgo que la empresa va a declarar de cara a la generación e implementación de iniciativas innovadoras, donde necesariamente la junta directiva va a tomar riesgos, y por tanto, deberá desarrollar capacidades claves para dar cuenta con la decisión que ha tomado para hacer la diferencia en su sector de negocio. 

Contar con una dinámica permanente de simulaciones habilita la creación de una capacidad de análisis y consciencia situacional a nivel ejecutivo, que permite romper la lectura actual de los riesgos de la compañía, y explorar nuevas opciones para defender y anticipar amenazas latentes y emergentes, que muchas veces no son visibles o se esconden en medio de la cotidianidad. Así mismo, puede revelar el rostro de los adversarios digitales, que posiblemente están más allá de los perfiles conocidos y más difundidos en la actualidad.

Creando una capacidad resiliente. El reto emergente del tratamiento del riesgo cibernético.

Un reciente estudio realizado por EY y el Instituto de Auditores Internos (Lovejoy, Hartkopf, Randolph, George, Chambers & Petrisky, 2021) indica que se hace necesario aumentar la capacidad resiliente de las organizaciones respecto de los cambios acelerados de los adversarios digitales y sus diferentes estrategias. En este sentido, plantean algunas preguntas que son claves para conectar estas nuevas exigencias con las dinámicas empresariales para adelantar una mejor gestión del riesgo cibernético:

  • ¿Ha realizado su organización una evaluación de riesgos cibernéticos reciente en toda la empresa? □ sí □ no
  • ¿Ha implementado su organización un programa de gobierno de datos más allá de la clasificación básica? □ sí □ no
  • ¿Se han incorporado los riesgos y las respuestas cibernéticas de forma diferenciada en su programa de gestión de crisis? □ sí □ no
  • ¿Ha realizado su organización una evaluación reciente de los riesgos cibernéticos de terceros y/o de empresas conjuntas? □ sí □ no
  • ¿Se incluye la ciberseguridad en el plan de auditoría y/o se aprovecha la auditoría interna como herramienta para ayudar a su organización a gestionar el riesgo cibernético? □ sí □ no
  • ¿Se mide la eficacia de los controles cibernéticos y se informa de ellos de una manera coherente y significativa? □ sí □ no
  • ¿Se adelantan simulaciones de materialización de riesgos cibernéticos con la participación del equipo ejecutivo de la empresa? □ sí □ no (*)

(*)Pregunta que no está incluida en la publicación original

Para asegurar que el riesgo cibernético recibe la atención que merece, muchos consejos de administración han decidido formar comités especializados que permiten debatir los asuntos de la ciberseguridad en un entorno confidencial, generalmente dirigidos por asesores expertos calificados, con el fin de plantear un escenario de apertura y confianza, que permita a todos los participantes revelar aspectos concretos de las limitaciones y vulnerabilidades que se observan, así como perspectivas de áreas y profesionales no técnicos, que puedan aportar información que sugiera puntos ciegos no conocidos en el modelo de seguridad y control vigente en la empresa.

La ubicuidad de los riesgos cibernéticos, los efectos en cascada de su materialización y las acciones disruptivas que se generan por cuenta de las estrategias novedosas de los adversarios, establecen los aspectos básicos de preparación, anticipación y respuesta que las organizaciones deben adelantar desde la perspectiva de negocio (Cano, 2019). Por tanto, la lectura del riesgo cibernético por parte de los ejecutivos de la compañía debe responder a una capacidad de negocio para mantenerse operando a pesar de la materialización de un ciberataque. Esto es, la acción que permite a la organización rebotar y continuar sus operaciones dando cuenta de la respuesta necesaria para atender la crisis, proteger a sus grupos de interés y aprender de sus adversarios.

La asimetría de conocimientos y capacidades entre los diferentes miembros de los equipos ejecutivos, así como los comités de auditoría corporativos, dificulta la valoración del riesgo cibernético, lo que confirma las exigencias de formación y comprensión de este riesgo para evitar los excesos de confianza que pueden producir posturas como “ese riesgo ya lo conocemos y lo tenemos controlado” (IIA, 2020). En consecuencia, es importante tener consciencia de que un ataque cibernético se puede dar en cualquier momento y por lo tanto, los umbrales de operación se deben definir y activar para establecer la capacidad y la tolerancia al riesgo que define la respuesta de la compañía y su postura resiliente.

Tener una respuesta negativa en alguna de las preguntas realizadas previamente, es una invitación a los equipos ejecutivos para encontrar nuevos lugares comunes alrededor del riesgo cibernético que se traduzcan en nuevas relaciones y canales de comunicación que permitan no solo crear, sino consolidar una vista ejecutiva sistémica, debidamente informada y sobremanera, entrenada para defender y anticipar posibles efectos nocivos que se deriven de un evento cibernético adverso.

Reflexiones finales

Formar ejecutivos en los temas de riesgos cibernéticos es un reto empresarial y educativo que revela las asimetrías de conocimiento, capacidad y valoración las cuales deben ser objeto de estudio y análisis por parte de los cuerpos de gobierno de los riesgos, así como de los diferentes ejecutivos responsables de los riesgos corporativos, incluidos los de ciberseguridad y seguridad de la información.

El informe de EY-IIA (Lovejoy, Hartkopf, Randolph, George, Chambers & Petrisky, 2021) releva que el 50% de las organizaciones afirma que la relación entre la ciberseguridad y las líneas de negocio es, en el mejor de los casos neutra, hasta desconfiada o inexistente, lo que aumenta aún más la brecha que se ha identificado de conocimiento y comprensión de la temática, que trasciende a los niveles ejecutivos confirmando un imaginario técnico, que termina siendo nocivo, para las iniciativas claves de la empresa en el contexto digital.

Lo anterior, sumado al desconocimiento de los impactos de los ciberataques (en sus diferentes dimensiones político, económico, social, tecnológico, legal y ecológico) y la poca evidencia de su cuantificación, hacen que la temática no alcance a movilizar las reflexiones necesarias en las diferentes instancias ejecutivas. Sin embargo, es claro que el interés creciente por conocer y entender mejor la temática abre posibilidades para crear entornos psicológicamente seguros que puedan ser capitalizados por los diferentes consejos de administración de las empresas.

Según Gartner (2021) para el 2025, el 40% de los consejos de administración tendrán un comité de ciberseguridad dedicado y supervisado por un miembro cualificado del consejo, frente al 10% actual. Este es uno de los varios cambios organizativos que la consultora espera ver en las juntas directivas, la dirección y los equipos de seguridad, en respuesta al mayor riesgo creado por la ampliación de la superficie digital de las organizaciones durante la pandemia.

Por tanto, el reto de la formación ejecutiva implica elaborar y facilitar una vista integral de la dinámica de los riesgos cibernéticos, que rete las expectativas y saberes previos de los directores y consejos de administración en el cual se consideren aspectos como:

  • La transformación digital, que implica un cambio hacia las operaciones impulsadas por la tecnología y un alejamiento simultáneo de los procesos manuales basados en el papel.
  • Un marcado aumento del trabajo remoto, que pone de manifiesto la importancia de la colaboración y la comunicación seguras en un entorno virtual.
  • Un mayor escrutinio por parte de los inversores, mayores expectativas de los consumidores y un número creciente de consideraciones de las partes interesadas.
  • Un enfoque normativo en la supervisión de terceros y sus impactos en la cadena de suministro.
  • El impacto del riesgo de reputación y sus ramificaciones financieras asociadas.
  • La necesidad de programar ejercicios de simulación para desarrollar un músculo operativo de respuesta y coordinación para atender situaciones de crisis.
  • La diversidad de adversarios digitales, sus diferentes técnicas y estratégicas como marco de análisis y desarrollo del perfil de riesgo cibernético de la empresa. (Diligent, 2021)

Nota: las cursivas no son parte del documento original

Contar con esta base de elementos previamente enumerados y con la apertura de los ejecutivos de una organización, es posible diseñar un programa de formación ejecutiva sobre el riesgo cibernético que no sólo encuentre puntos comunes para los diferentes participantes, sino escenarios de desinstalación intelectual y deconstrucción de saberes previos, donde los directivos puedan abrirse, explorar e incomodarse con las condiciones inciertas de este riesgo y poder navegar con diferentes perspectivas sobre un territorio digital aún por descubrir, para motivar acciones muchas veces no convencionales para darle tratamiento a un riesgo que va más allá de la instalación de un componente tecnológico (hardware o software).

Referencias

Ackoff, R. (2000). Recreación de las corporaciones. Un diseño organizacional para el siglo XXI. México, México: Ed. Oxford Press México.

Angafor, G., Yevseyeva, I. & He, Y. (2020). Game‐based learning: A review of tabletop exercises for cybersecurity incident response training. Security and Privacy. 3(6). 1-19 https://doi.org/10.1002/spy2.126

Cano, J. (2019). Ciberriesgo. Aprendizaje de un riesgo sistémico, emergente y disruptivo. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. 151. 63-73. https://doi.org/10.29236/sistemas.n151a5

Cano, J. (2021). Ciberseguridad empresarial. Reflexiones y retos para los ejecutivos del siglo XXI. Bogotá, Colombia: Lemoine Editores.

Diligent (2021). Assessing your cyber risk score. https://diligent.com/au/resources/assessing-cyber-risk-score

ECIIA: European Confederation of Institutes of Internal Auditing – IAIE: Instituto de Auditores Internos de España (2020). Risk in focus 2021. Practical guidance on cybersecurity and data security. https://auditoresinternos.es/uploads/media_items/100827-ciia-risk-in-focus-cyber-security-spain-4.original.pdf

Edmondson, A. (2018). The fearless organization. Creating psychological safety in the workplace for learning, innovation, and growth. Hoboken, New Jersey. USA: John Wiley & Sons.

FS-ISAC: Financial Services Information Sharing and Analysis Center (2021). Navigating cyber 2021. The Case for a Global FinCyber Utility. https://www.fsisac.com/hubfs/GIOReport2021/NavigatingCyber2021.pdf

Gartner (2021). Gartner Predicts 40% of Boards Will Have a Dedicated Cybersecurity Committee by 2025. https://www.gartner.com/en/newsroom/press-releases/2021-01-28-gartner-predicts-40–of-boards-will-have-a-dedicated-

IIA (2020). OnRisk. A guide to understanding, aligning, and optimizing risk 2021. IIA Report. http://theiia.mkt5790.com/OnRisk2021/

Lovejoy, K., Hartkopf, L., Randolph, M., George, A., Chambers, R. & Petrisky, D.  (2021). The risky six. Key questions to expose gaps in board understanding of organizational cyber resiliency. EY-IIA. https://global.theiia.org/knowledge/Public%20Documents/EY-The-Risky-Six-Board-Disconnections.pdf

Sawant, M. (2021). The Chief Security Strategist in an Age of Uncertainty. Security Management. https://www.asisonline.org/security-management-magazine/latest-news/online-exclusives/2021/the-chief-security-strategist-in-an-age-of-uncertainty/

Sjarov, M., Lechler, T., Fuchs, J., Brossog, M., Selmaier, A., Faltus, F., Donhauser, T. & Franke, J. (2020). The Digital Twin Concept in Industry – A Review and Systematization. 2020 25th IEEE International Conference on Emerging Technologies and Factory Automation (ETFA). doi:10.1109/etfa46521.2020.9212089


Editado por: Global Strategy. Lugar de edición: Granada (España). ISSN 2695-8937

Avatar
Jeimy Cano

Profesor Universitario y Consultor Internacional en Ciberseguridad y Ciberdefensa. Ph.D en Administración y Ph.D en Educación. Docente en varios posgrados en seguridad de la información, ciberseguridad y cibercrimen en Colombia.

Ver todos los artículos
Avatar Jeimy Cano