• Buscar

Red Team: identificando nuestras vulnerabilidades

https://global-strategy.org/red-team-la-importancia-de-identificar-nuestras-vulnerabilidades/ Red Team: identificando nuestras vulnerabilidades 2021-09-02 10:20:00 Javier Jordán Blog post Análisis y Estrategia Análisis Análisis estratégico
Print Friendly, PDF & Email

Por algo será que uno no pone la nota de su propio examen. Nadie es buen juez en causa propia; y este principio fundamental da sentido al red teaming.

El equipo rojo no es propiamente una técnica analítica sino un proceso estructurado que utiliza diversas técnicas para identificar vulnerabilidades propias y, en un contexto competitivo, anticipar estrategias hostiles del oponente. El red teaming es un modo de hacer análisis estratégico con el fin de comprender el entorno y la competencia estratégica de la propia organización. Aunque se trata de una práctica vinculada a cuestiones de seguridad y defensa, resulta extrapolable para la evaluación de otras realidades. Se emplea principalmente para testear análisis de especial relevancia, decisiones estratégicas y funcionamiento interno de determinadas organizaciones.

El red teaming trata de evitar tres problemas frecuentes:

  • Complacencia institucional, que tiene un origen múltiple: cultura organizativa poco innovadora, sesgo de existencia (las cosas están bien como están), falta de visión estratégica, apego a rutinas y planes establecidos… El funcionamiento estándar posee numerosas ventajas pero si el entorno se transforma o surge una nueva amenaza, el apego al “como siempre se han hecho las cosas” acaba teniendo consecuencias catastróficas. En ese sentido, el red teaming trata de mejorar la comprensión del entorno señalando al mismo tiempo las debilidades críticas de la propia organización.
  • Sesgos cognitivos, bien conocidos por cualquier analista (aquí un resumen de algunos) pero no por ello menos peligrosos. En particular el red teaming intenta evitar el ‘pensamiento de grupo’ (groupthinking) haciendo de abogado del diablo, cuestionando los consensos artificiales e identificando a los responsables de ese pensamiento forzado. El equipo rojo también previene el sesgo de la ‘imagen especular’, que asume erróneamente igualdad entre nuestros intereses, valores, métodos, etc. y los del adversario. Y en general el red teaming ayuda a superar la visión de túnel, las ideas ancladas en estimaciones antiguas, y los sesgos de confirmación en las suposiciones explícitas e implícitas de un argumento, decisión o estrategia.
  • Consenso jerárquico, derivado de la tendencia natural a intentar quedar bien ante los jefes. Guardar silencio ocasiona menos problemas que llamar la atención de los superiores sobre lo que no marcha dentro de la propia organización. Y esa presión institucional más o menos tangible dificulta que información relevante sobre el (mal) funcionamiento de la organización llegue a los escalones superiores. El red teaming tiene como propósito hacer precisamente lo contrario.

El proceso de equipo rojo se sirve de diversas técnicas estructuras que pueden agruparse de la siguiente manera:

  • Simulaciones que permiten elaborar estrategias, ponerlas a prueba y refinarlas a partir de los resultados obtenidos. También ayudan a visualizar acontecimientos y acciones de los competidores en escenarios actuales o futuros. Las simulaciones sin fuerzas sobre el terreno son una herramienta empleada por los ejércitos desde el siglo XIX bajo la forma de wargames y ejercicios de puesto de mando (CPX). Los servicios policiales y de emergencias recurren a los llamados tabletop exercises (TTX), donde se discute la reacción ante un determinado supuesto sin necesidad del juego de equipos. También son útiles los matrix games donde los equipos, que representan actores en un determinado escenario, dan motricidad al juego mediante decisiones argumentadas y contra-argumentadas por los propios participantes. Por su relativa sencillez los matrix games eluden la curva de aprendizaje que requieren algunos wargames y convierten el análisis en el centro del juego.
  • Pruebas de vulnerabilidad, muy comunes en ciberseguridad a través del hacking ético para identificar los puntos débiles de un determinado sistema. También es una práctica con antecedentes en el ámbito militar, como el de la famosa Red Cell de los Navy Seals que en la década de 1980 puso a prueba instalaciones gubernamentales de alta seguridad de Estados Unidos, incluyendo polvorines con armas nucleares de la US Navy, el Air Force One y la residencia presidencial de Camp David. En definitiva, se trata de asumir el rol de adversario para testear la efectividad real de los mecanismos de seguridad.
  • Análisis alternativo, mediante técnicas analíticas estructuradas que potencien la creatividad y desafíen las suposiciones convencionales referidas al objeto del red teaming. Ya hemos tratado algunas de ellas en Global Strategy como las dirigidas a la identificación de drivers, la técnica de análisis y construcción de escenarios, la rueda de futuros, el análisis del centro de gravedad o el método de competición de hipótesis. A ellas se añaden otras como la matriz de riesgos, el diagrama bowtie, o el planeamiento basado en supuestos para estimular el pensamiento crítico.

Por último, Micah Zenko en su libro Red Team: How to Succeed by Thinking Like the Enemy extrae una serie de recomendaciones a partir de más de doscientas entrevistas a profesionales del red teaming. Me gustaría destacar las siguientes:

  • Respaldo y actitud receptiva por parte de los responsables de la organización. Por razones obvias es la primera condición a la hora de poner en marcha el proceso. De lo contrario, se carecerá de recursos, acceso a información y a informantes clave. A la vez, si en los niveles superiores falta apertura a la crítica y buena disposición para escuchar malas noticias, los resultados del red teaming serán estériles. Aunque, por supuesto, actitud receptiva no equivale a que los responsables de la organización deban asumir ciegamente las recomendaciones del equipo rojo sino tener en cuenta su valoración junto a otros factores y condicionantes a la hora de tomar grandes decisiones.
  • Análisis objetivo y a la vez adecuado al carácter de la organización. El red teaming debe conocer a fondo la estrategia, la cultura y la estructura de la organización que analiza. Algunos o todos los miembros del equipo rojo pueden formar parte de la organización; de hecho, difícilmente funcionará si todos son externos. Pero han de defender su independencia y objetividad sin permitir que los condicionantes corporativos perviertan el proceso.
  • Formación, experiencia y factor humano. Aplicar solo una serie de técnicas no es suficiente para hacer un buen red teaming. Además de un profundo conocimiento experto sobre el objeto de estudio, los componentes del equipo rojo han de destacar en una serie de competencias: apertura mental, inconformismo, curiosidad intelectual, compromiso con la verdad, buena disposición para escuchar y aprender de otros, facilidad para el pensamiento lateral y creativo… Y aunque a todos nos parezca que contamos con esos atributos, lo cierto es que muy pocas personas los consiguen sin un dilatado entrenamiento y práctica. El red teaming también exige autoconfianza y fortaleza de carácter para llevar la contraria de manera bien argumentada al pensamiento convencional y a quienes se aferren injustificadamente a él, sea cual sea su posición en la jerarquía. Al mismo tiempo esa claridad ha de combinarse con buenas palabras y respeto hacia las personas. Como señala uno de los entrevistados a Micah Zenko: “Puedes tener grandes ideas pero si eres un borde nadie te hará caso”.
  • Impredecibilidad. El equipo rojo no tiene nada que ver con la evaluación periódica de indicadores de progreso previamente definidos. Es evaluación, pero de otro tipo. Se asemeja más a lo que Chris Argyris denomina aprendizaje organizacional de doble ciclo (double loop learning), que no se pregunta por el cumplimiento de determinadas metas y objetivos (primer ciclo) sino por la validez de las estrategias que marcan esas metas y objetivos. Para ese fin el equipo rojo debe contar con un repertorio variado de técnicas que cuestionen y arrojen luz nueva sobre las suposiciones convencionales que subyacen sobre dicha estrategia. Técnicas que a su vez no sean de empleo habitual dentro de esa organización.
  • Frecuencia equilibrada. Poner en práctica un equipo rojo consume recursos (humanos y de tiempo) y genera cierto nivel de estrés dentro de la organización, por lo que debe usarse con medida: ante decisiones de cierta envergadura, frente a amenazas emergentes o en momentos de cambio profundo del entorno o de la propia institución. Para el seguimiento del día a día ya existen otras técnicas y procedimientos de evaluación.

El subjetivismo, el emotivismo y la falta de reflexión -tan comunes en nuestra cultura- llevan fácilmente a la complacencia injustificada, a nivel personal e institucional. El red teaming introduce un sano realismo al identificar problemas objetivos que rara vez de solucionan dándoles la espalda. Saber que están ahí es el primer paso para afrontarlos de manera efectiva.

Javier Jordán

Profesor Titular de Ciencia Política en la Universidad de Granada y Director de Global Strategy

Ver todos los artículos
Javier Jordán