• Buscar

Resiliencia cibernética. El arte y la ciencia de desviarse (y equivocarse) para encontrar el camino en el contexto digital

https://global-strategy.org/resiliencia-cibernetica-el-arte-y-la-ciencia-de-desviarse-y-equivocarse-para-encontrar-el-camino-en-el-contexto-digital/ Resiliencia cibernética. El arte y la ciencia de desviarse (y equivocarse) para encontrar el camino en el contexto digital 2021-09-15 07:26:00 Jeimy Cano Blog post Estudios Globales Global Strategy Reports Ciberseguridad

Global Strategy Report, 39/2021

Resumen: La resiliencia es una palabra que se ha venido agotando en el contexto cotidiano como respuesta natural al escenario volátil, incierto, complejo y ambiguo que persiste en la actualidad. Dicho concepto, más allá de una moda o un propósito corporativo se ha venido estudiando desde diferentes perspectivas con el fin de tratar de abordar sus bondades y reconocer sus limitaciones particularmente en el entorno cibernético. En este sentido, se presenta el modelo MARRAR, que sin pretensiones de dar respuesta a un reto tan complejo y multidimensional, establece un mapa estratégico de preparación organizacional, para desarrollar flexibilidad y fluidez a las corporaciones/naciones con el propósito de continuar y permanecer aun los escenarios sean los más inesperados y agrestes. Dicho modelo, más que brindar una respuesta para superar las zonas de inestabilidad que puedan atravesar las compañías/naciones, es una excusa académica para conversar y darle forma a la acción que estas requieren cuando la inevitabilidad de la falla y una disrupción inesperada se manifiestan sin previo aviso.

Para citar como referencia: Cano, Jeymi (2021), «Resiliencia cibernética. El arte y la ciencia de desviarse (y equivocarse) para encontrar el camino en el contexto digital», Global Strategy Report, No 39/2021.


Introducción

El cambio acelerado de un mundo volátil, incierto, complejo y ambiguo, a uno más frágil, ansioso, no-lineal e incomprensible, establece una nueva dinámica internacional donde existen muy pocas certezas, muchas inestabilidades y grandes interrogantes que exigen cambios en la manera como se viene analizando y explorando las realidades actuales (Cascio, 2020). La complejidad que se exhibe en el entorno vigente, requiere una transformación del marco de trabajo de seguridad y control, que más allá de asegurar una serie de activos claves y estratégicos de la compañía, exige mantener la operación y la confianza del cliente como fundamentos de la promesa de valor.

Reflexiones recientes recaban que este nuevo contexto de cambios repentinos y sorpresas fundamentales (Wears & Webb, 2014), que se ha denominado caótico, crea una serie de tendencias inesperadas que retan a los más exigentes escenarios y simulaciones disponibles a la fecha, con lo cual cada vez se hace menos evidente seguirle la pista a las disrupciones en sus diferentes formas. Así las cosas, la experiencia de aprendizaje y el reto permanente de los pocos conceptos estables disponibles, debe ser la práctica general de las empresas, con el fin de aumentar la capacidad de absorber y canalizar las imponentes fuerzas de perturbación que se generan, para advertir allí oportunidades y no solamente amenazas (Bracci & Tallaki, 2021).

Este escenario de tensiones permanentes y transformaciones inéditas conlleva agotamiento táctico y déficit estratégico, que termina por inhabilitar a la organización, posiblemente frenando su desarrollo y comprometiendo su capacidad de aprender y avanzar (Abraham & Sims, 2021). En este sentido, se hace necesario balancear tanto la necesidad de abrir y crear oportunidades, con la exigencia de continuar operando a pesar de los golpes de eventos inciertos que pueda recibir ahora y en el futuro. Por tanto, la resiliencia cibernética se advierte como la nueva capacidad que se debe incorporar en las organizaciones que aspiran a continuar avanzando en el entorno digital aún sabiendo que tendrán la materialización de eventos que afectarán su operación.

La resiliencia en el contexto cibernético pasó de ser un concepto que se manejaba en los territorios tecnológicos, a una declaración de nivel estratégico que busca preparar a las organizaciones y naciones para anticipar y responder en medio del incierto (Mani, 2021). Esta perspectiva, habilita a las organizaciones a vivir en permanente estado de aprendizaje y revisión de su entorno para identificar y detectar posibles escenarios de inestabilidad y disrupción de forma anticipada, sin olvidar sus capacidad para operar sobre una definición de umbrales, que le permita tener alertas sobre su tolerancia y capacidad de riesgo definido (Dupont, 2019).

Para avanzar en esta realidad la organizaciones requieren organizarse y reinventarse, para salir de la zona del “cero riesgo” y el “ciento por ciento de seguridad”, donde cada persona sabe que tiene un margen de operación, donde existe un porcentaje de deterioro permitido, y la responsabilidad de continuar en movimiento a pesar del evento adverso que esté ocurriendo en ese momento. Esto es, reconocer que siempre habrá un momento de inestabilidad donde se pondrá a prueba la capacidad individual y colectiva de superar la materialización de situaciones para las cuales no estaban preparados (Cano, 2021).

Por lo anterior, se presenta este artículo que introduce los fundamentos de la resiliencia cibernética organizacional y de nación, que le dan forma a una propuesta conceptual denominada MARRAR, como un mapa estratégico desarrollado a mano alzada con preguntas orientadoras, que buscan encontrar asideros de acciones concretas, para enfrentar y superar las zonas inciertas que estarán presentes por cuenta de las disrupciones y la inevitabilidad de la falla. De igual forma, se detalla un ejemplo de su aplicación a una organización específica, terminando con algunas reflexiones que resumen los análisis realizados y los retos que implica asumir el desafío de la resiliencia cibernética a nivel organizacional y de país.

Fundamentos de la resiliencia cibernética organizacional y nacional

Si bien van a permanecer algunos de los eventos conocidos, debidamente atendidos por las prácticas referentes y aseguradas por los estándares, es preciso mantener “lejos de la dinámica cotidiana” la falsa sensación de seguridad, esa que se genera cuando confiamos mucho en las buenas prácticas y las herramientas tecnológicas instaladas. El cumplimiento exigente y estricto de los estándares internacionales efectivamente va a hacer más resistente a la organización a los riesgos conocidos, y creará mayor fragilidad frente a los riesgos latentes y emergentes (Hall, 2021).

A continuación se detallan los fundamentos de la resiliencia cibernética organizacional y nacional indicados en la figura 1.

Figura 1. Fundamentos de la resiliencia cibernética y nacional (Elaboración propia)

En este sentido, la resiliencia cibernética se funda en la práctica de la inevitabilidad de la falla, en la comprensión de las relaciones del entorno y cómo ellas interactúan y se acoplan para superar los márgenes conocidos por los modelos de seguridad y control vigentes. Reconocer el “error” como una ventana permanente de aprendizaje para hacer más resistente la organización frente a eventos inesperados, es el sustento base para reconectar la dinámica organizacional por fuera del concepto de estabilidad. En esta línea, la empresa debe buscar de manera consciente y dirigida motivar la identificación de puntos de falla, para moverse de forma anticipada sobre situaciones que podría materializarse en el futuro (Linkov & Trump, 2019).

La organización ni las personas buscan equivocarse de forma deliberada, de ser así estaríamos frente a un tema de la intencionalidad de sus acciones, lo que podría catalogarse como un comportamiento que no se ajusta a la ética de los negocios, ni el reconocimiento y respeto de las expectativas de sus clientes o grupos de interés. Por esta razón, la resiliencia es un ejercicio bien intencionado de preparación anticipada y coordinación de acciones con los diferentes públicos objetivos, de tal forma que se puedan atender situaciones imprevistas de forma coherente y colaborativa para superar de forma conjunta el sobresalto que ha aparecido.

Otro elemento base de la resiliencia es la serenidad, es ese estado tanto de la persona como de los equipos para actuar sin miedo, sin pensar en los efectos buenos o no tan buenos que se pueden derivar una vez se disparan las acciones en los diferentes umbrales definidos. Es claro, que ante un evento adverso siempre habrá una afectación y su valoración estará atada a diferentes perspectivas de los actores del momento, por tanto es preciso es necesario “dejar ir” los éxitos del pasado, las felicitaciones y logros previos, liberarse del peso del futuro de los juicios y sus impactos, y así no dejar desplazar del propio centro y la atención plena del momento, las acciones previstas (Grün, 2017).

Cuando la organización actúa desde la serenidad, implica que acepta que algunas cosas no van a salir como estaban planeadas, y por lo tanto, tendrá que habilitar su capacidad de respuesta y todos sus aprendizajes prácticos, bien dispuestos de las simulaciones previamente realizadas, como por las condiciones inéditas de su entorno, para movilizarse y dar respuesta a los cambios que se han generado, que rompen con el estándar de normalidad previamente definido para la operación en ese momento. La serenidad no es desatención a las tensiones que produce el momento incierto, sino equilibrio dinámico, memoria muscular derivada de ejercicios previos y sobretodo, un entorno psicológicamente seguro donde se privilegia la coordinación, la comunicación y la cocreación con todos los afectados.

Un tercer fundamento de la resiliencia es el pensamiento sistémico, ese que identifica los vínculos entre los elementos de un sistema, que comprende su relación, que reconoce y explora el contexto donde opera. Es el ejercicio de “saborear y probar” opciones para identificar oportunidades, retos y amenazas de tal forma que se transforme el imaginario y la conceptualización de “causa-efecto”, en un ejercicio de desconexión de los puntos existentes, incorporación de nuevas distinciones identificadas, para nuevamente conectar lo actual y lo distinto, y así conceptualizar ganancias teóricas y prácticas que cambian la manera de hacer las cosas, que cuestionan el statu quo y crean malestar en los saberes vigentes (Cano, 2021).

El pensamiento sistémico es la forma de mostrar respeto a la complejidad y variedad inherente del entorno actual. Es una estrategia conceptual y práctica que reconoce las bondades de los procesos actuales que tiene la organización para atender sus propias contingencias, y así mismo, descubre relaciones emergentes o invisibles que bien pueden afectar a la empresa, o habilitar espacios no conocidos, donde el adversario puede motivar actividades que terminen con el equilibrio actual de la compañía. El pensamiento sistémico permite recuperar la capacidad de asombro requerido para navegar en el incierto y reconocer nuevas formas de aprender y renovar la caja de herramientas disponible en la comunidad empresarial (Weid et al., 2020)

Estos tres (3) elementos dan cuenta de los pilares que se requieren para aterrizar la operacionalización de la resiliencia cibernética, que habilitan una serie de comportamientos requeridos para fundar la base conceptual de un modelo de aplicación de seis (6) componentes que configuran los mínimos requeridos para hacer realidad la distinción de la resiliencia cibernética, el modelo MARRAR. Este modelo, no se basa en discursos elaborados de fundamentación conceptual, que continúan desgastando la palabra, sino que ofrece una vista práctica aplicada a la cotidianidad, con preguntas orientadoras para concretar la acción necesaria.

Modelo MARRAR – El arte del desequilibrio óptimo

La resiliencia es una capacidad que entiende que lo normal y natural es el desequilibrio, la inestabilidad y el incierto como base de la acción y movilización de las empresas y las naciones. Es el arte de encontrar el desequilibrio óptimo donde la compañía se mantiene vigilante, practica y se reta de forma permanente, y crea una zona de movimiento en medio de sus umbrales previamente definidos. Para ello, se propone el modelo MARRAR (palabra que significa no acertar, desviarse de lo recto[1]), que busca hacerle preguntas a las personas, organizaciones y naciones para reconocer que tanto es viable desviarse, cómo incomodar sus prácticas y descubrir los puntos ciegos y opacidades en el marco de seguridad y control disponible.

MARRAR es un acrónimo que se traduce en Monitorizar, Anticipar, Responder, Resistir, Aprender y Reinventar (Ver figura 2). Cada una de las palabras está relacionada la una con la otra y responde a una pregunta base que orienta la discusión y operación de la organización. Las preguntas base de cada palabra se detalla a continuación:

  • Monitorizar – ¿Qué buscar?
  • Anticipar – ¿Qué esperar?
  • Responder – ¿Qué hacer?
  • Resistir – ¿Cómo operar?
  • Aprender – ¿Qué cambiar?
  • Reinventar – ¿Cómo hacerlo distinto?
Figura 2. Modelo MARRAR (Elaboración propia)

Monitorizar es la primera palabra del modelo que implica reconocer y permanecer vigilante a los cambios del entorno. Es un verbo de acción activa que exige al menos dos temas clave: saber aquello es relevante para la organización y saber organizar la información que se recabe en el entorno. De esta forma, se busca dar respuesta a la pregunta orientadora. Mientras la empresa o la nación, no concrete de forma estructural y afinada la exploración y reconocimiento del ambiente, poco podrá avanzar en las siguientes palabras del modelo. En este sentido, se requiere un equipo calificado que se mantenga expuesto e informado sobre las diferentes fuerzas que actúan en el entorno, y cómo éstas pueden cambiar la dinámica de la organización (Schoemaker & Day, 2021).

Factores críticos de éxito para monitorizar:

  • Use un marco general de exploración del entorno.
  • Adelante sesiones de trabajo con expertos y aliados dentro y fuera de la organización/nación.
  • Adopte una metodología para enmarcar y ordenar la información relevante para la organización/nación.

Anticipar como la segunda palabra del modelo, depende del ejercicio de monitorizar. El anticipar es el ejercicio de tomar la información previa del monitorizar, para elaborar diferentes escenarios y futuros, los cuales buscan sacar a la organización de la zona cómoda y establecer parámetros de acción distintos. Es una apuesta no para predecir el futuro, sino para visualizar futuros posibles (Kekovic & Ninkovic, 2020). Es una manera de advertir cómo se pueden ordenar o desordenar las tendencias identificadas, cómo se pueden mezclar las señales emergentes y cómo crear alternativas para operar en medio de situaciones que aún no aparecen. Si se logra armonizar en este ejercicio la respuesta a la pregunta orientadora, se podrá tener un abanico de posibilidades para motivar reflexiones y propuestas no convencionales.

Factores críticos de éxito para anticipar:

  • Identifique y elabore posibles futuros emergentes y retadores.
  • Conecte y desconecte las diferentes tendencias previamente identificadas.
  • Diseñe escenarios pertinentes e inesperados que reten la realidad de la organización/nación.

La siguiente palabra es responder, es la acción natural de un conglomerado frente a eventos que pueden afectar su dinámica interna, sus diseños estructurales y la estrategias inicialmente diseñadas en contextos generalmente definidos y conocidos. La respuesta en este modelo se caracteriza por la flexibilidad que debe tener frente a la diversidad de situaciones que se pueden enfrentar, para dar paso al reconocimiento de los umbrales de operación definidos, los cuales responden a posturas de falla segura que se activan de acuerdo con los niveles de alerta y la atención de alarmas cuando la situación supera los límites inicialmente establecidos. Responder no es una actividad instintiva, es un ejercicio planeado y entrenado para movilizar a la organización o Estado (Rehak, 2021).

Factores críticos de éxito para responder:

  • Determine los umbrales de operación: límites de tolerancia, capacidad, absorción y rebote.
  • Coordine y comunique las actividades a realizar para mantener informados a todos los grupos de interés.
  • Practique y ajuste sus “libros de jugadas” diseñados y previstos para navegar dentro del evento inesperado.

La palabra que sigue es resistir, que en últimas muestra cómo se debe operar bajo condiciones adversas, manteniendo los mínimos establecidos y acordados por los diferentes afectados por la situación. La resistencia no es una posición pasiva o de contención, sino una postura activa que no solo sabe cómo tiene que hacer las cosas, sino que invita a construir de forma colaborativa y cooperativa las acciones que sean necesarias, y apoyar el desarrollo de aquellas que hacen falta. La resistencia no implica detener, sino dejar fluir, para transformar las inestabilidades en la fuente misma de las respuestas que se requieren en ese momento (Panda & Bower, 2019). Es liberarse de las individualidades que “tienen la respuesta”, y pasar a visualizar “las diferentes respuestas” que tiene una colectividad.

Factores críticos de éxito para resistir:

  • Navegar con los mínimos acordados y practicados mientras se encuentra la ruta de regreso a la nueva normalidad.
  • Acompañar y cooperar de forma conjunta en escenarios inciertos.
  • Mantener una visión colectiva que fluya en medio de la inestabilidad como factor convergente.

Aprender como palabra del modelo, implica dejarse sorprender, dejarse interrogar por la novedad, abrirse a respuestas no convencionales y sobremanera, habilitar espacios para motivar aquellas cosas que no salen como estaban planeadas. El que aprende puede cambiar. Cuando un evento inesperado se concreta, necesariamente lo que se generan son aprendizajes, puntos de vista hasta ahora ignorados que hablan de cómo actualizar los umbrales, cómo pensar nuevas formas para responder, cómo identificar puntos de vista novedosos para pronosticar e insumos diferentes para monitorizar (Fiskel, 2015). El aprendizaje busca ajustar el itinerario de la organización, para ajustar el curso de la navegación actual frente a los cambios de “oleaje” en un mar de inciertos.

Factores críticos de éxito para aprender:

  • Declare que no sabe y que quiere aprender.
  • Defina una ruta de aprendizaje que marque un mapa parcial sobre un territorio ahora caótico.
  • Experimente y ajuste para encontrar aquellas cosas que cambian o retan los saberes de la organización/nación.

La última palabra, y por ello no menos importante, es reinventar. Reinventar es una palabra compuesta por el prefijo “Re” que significa volver a hacer, volver a diseñar, y por inventar, que anticipa algo nuevo que viene, que explora aquello que está temporalmente oculto a la vista de lo actual. Reinventar es el ejercicio que desconecta los diferentes puntos disponibles de la situación analizada, reconoce la complejidad del momento y habilita las opciones distintas para darle forma a una nueva perspectiva (Shaked et al., 2020). Esa que transforme la manera actual de hacer las cosas e incorpora y apropia los matices de otros y le da sentido a las individuales. Reinventar es habilitar la creatividad a partir de lo que se tiene para visualizar patrones distintos que saquen a la compañía de su zona cómoda y así promueva la flexibilidad de sus acciones.

Factores críticos de éxito para reinventar:

  • Reconozca la complejidad del momento o situación en el contexto.
  • Proponga distintas perspectivas de acción y ajuste.
  • Active la creatividad personal y colectiva para ver matices distintos del reto.

Los seis elementos del modelo están íntimamente conectados y entrelazados. No buscan juzgar una acción en particular, sino marrar, desviarse de la lectura actual de organización, para construir respuestas distintas desde la pedagogía del error, la serenidad de la acción y el pensamiento sistémico. Es un modelo conceptual y práctico que renuncia a resultados inmediatos para construir y renovar la base de sus aprendizajes, sobre los cuales construye nuevas oportunidades, nuevas posibilidades y sobretodo, proyectar a la organización/estado en renovados lugares comunes donde no existen respuestas únicas sino diferentes alternativas para navegar y lograr resultados distintos.

La articulación y accionar de estas seis palabras habilita a las empresa/país para lograr un desequilibrio óptimo, ese que se desarrolla una tensión creativa en todo lo que hace para sortear las zonas de inestabilidad y caos, creados bien por las fuerzas del mercado y las condiciones geopolíticas, o por alteraciones internas en respuesta a las transformaciones de su entorno (Siegel & Sweeney, 2020). El desequilibrio óptimo es un punto de encuentro/desencuentro donde la organización/nación abraza el incierto como oportunidad y renuncia a sus seguridades como posibilidad. Es un lugar que cada comunidad debe encontrar en el ejercicio de aseguramiento de sus propias dinámicas y reflexiones particulares, sin perder de vista los logros que pueda tener en el presente (Caron, 2019).

Aplicando el modelo MARRAR. Una vista parcial de cómo sortear un mundo en caos

Aprender a desalinearse, suena una postura convencional en tiempos de alineación estratégica y visión consolidada. El modelo MARRAR no es una invitación al caos, sino a la flexibilidad y fluidez de las organizaciones/naciones para continuar y permanecer aun los escenarios sean los más inesperados y agrestes.  A continuación se presenta un marco base de aplicación del modelo (ver Tabla 1) con sus preguntas orientadoras y sus detalles a la luz de la vista colectiva de opiniones convergentes y divergentes que sitúen a la compañía en lugares poco comunes y la motiven a respuestas no convencionales.

Tabla 1. Aplicación del modelo MARRAR

Nota: Elaboración propia.

Aplicar el modelo MARRAR es crear una zona de inestabilidad concreta y situada en las dinámica interna y conocida de la organización, para desinstalarla de su cotidianidad, tratando de encontrar el desequilibrio óptimo que genere la suficiente incomodidad a los resultados conocidos, para pensar distinto, preparar a la empresa para situaciones no esperadas y ajustar sus estrategias y marcos de operación, más allá de sus estándares actuales, para dar cuenta con la presencia del caos y la incertidumbre, como base principal de su manera de interactuar con el entorno: bien sea creando nuevos patrones o incorporando distinciones inexistentes identificadas en su ambiente de operación (Visser, 2020).

Siguiendo las indicaciones previas de aplicación del modelo, se procede a mostrar un ejemplo de operacionalización sobre una entidad financiera basado en un análisis previo de los acelerados cambios que ha tenido este sector por cuenta de la crisis sanitaria internacional, así como por las presiones de sociales y tecnológicas que han exigido una respuesta cada vez más flexible y ágil, que no deja de ser incómoda para una empresa tradicional que hoy siente amenazado su base conceptual del negocio, que es ser tercero de confianza para todos los usuarios del sistema.

A continuación se presenta una vista del modelo MARRAR aplicado a una entidad bancaria tradicional.

Tabla 2. Aplicación del modelo MARRAR a una entidad bancaria tradicional

Nota: Elaboración propia.

Como se puede observar en el ejemplo de la tabla 2, el marco de aplicación de MARRAR ofrece una perspectiva de alto nivel de acción de la organización que deberá aterrizar con detalle en la realidad de sus operaciones, para encontrar ese desequilibrio óptimo y pertinente a las condiciones de la entidad, sabiendo que su entorno cambia rápidamente y que algunas tendencias serán estructurales (permanecerán y se consolidarán con el tiempo) y otras tendrán variaciones que deberán ser registradas para actualizar la respuesta y operación de la organización.

El resultado que se obtiene más que una respuesta, es el diseño de nuevos lugares comunes para conversar y construir las acciones requeridas para movilizar a la organización frente a posibles manifestaciones y eventos futuros, para los cuales debe organizar y canalizar esfuerzos colectivos, que le den forma a una respuesta de nivel empresarial, apalancada desde la vista ejecutiva, comprendida por la dinámica de los ejercicios tácticos y asegurada desde la práctica operativa para lograr todo el tiempo: flexibilidad, agilidad y eficiencia (Snyder et al., 2019).

Reflexiones finales

Avanzar en el desarrollo de resiliencia cibernética organizacional/nacional implica desarrollar una postura vigilante y hacerse cada vez más resistente con cada choque o desafío que superan. Siguiendo las reflexiones de Schoemaker y Day (2021) una empresa vigilante es “aquella que está mejor equipada para anticiparse a las señales tempranas de las sorpresas y es más hábil para manejar las turbulencias o los trastornos cuando se producen”. Es una organización que reconoce en la diferencia la oportunidad para ver cosas distintas, en la curiosidad el insumo fundamental para innovar, en la franqueza un elemento base de las conversaciones y en el reto, la manera de desafiar las suposiciones superficiales y la sabiduría convencional obsoleta (Schoemaker & Day, 2021).

En este sentido, a pesar de que se identifican importantes brechas de percepción frente a la preparación actual, que dejan a las organizaciones vulnerables a las interrupciones inmediatas y a largo plazo, sus operaciones empresariales, activos digitales y flujos de ingresos, el camino hacia la resiliencia cibernética pasa por al menos cuatro comportamientos claves que se deben concretar para transformar la gestión de riesgos y mejorar la resistencia a los eventos adversos como son anticipar el riesgo, conectar el riesgo con la estrategia, evitar las brechas de percepción frente a la preparación y medir lo que es importante (Marsh, 2021).

Esta nueva realidad, exige pasar de una aproximación basada en sólo pronósticos, a una fundada en resiliencia. Mientras la vista de pronóstico incluye la prospectiva, la valoración, el plan y la prevención como factores fundamentales para avanzar en el descubrimiento del entorno y sus inestabilidades; la postura resiliente implica preparación, monitorización, respuesta y rebote, las cuales articulan las capacidades de la organización para mantenerse operativa a pesar de los eventos adversos que puedan ocurrir, una visión que encuentra en las condiciones de incertidumbre e inestabilidad, la forma de evaluar los umbrales definidos y cómo ajustarlos conforme se tensionan o exigen los límites de la organización misma (Wied et al., 2020).

Así las cosas, los fundamentos de la resiliencia cibernética como son la comprensión e incorporación del error, como base del conocimiento parcial e inacabado de la dinámica de la organización y sus elementos; la serenidad, como la forma de asumir y enfrentar las condiciones y tensiones que se generan por cuenta de las inestabilidades, y el pensamiento sistémico como la forma de observar y distinguir aspectos distintos de la realidad, enmarcados en un contexto específico, establecen los pilares que orientan las acciones que son necesarias para mantener y superar las zonas de “tormentas y neblina” que asumen las empresas cuando se lanzan a conquistar nuevos territorios y explorar sus retos.

De esta forma, y de conformidad con estos fundamentos, se introduce el modelo MARRAR que busca aumenta el conocimiento y consciencia situacional de la organización frente a eventos inesperados, habilitando un mapa de estratégico de preparación empresarial, basado en preguntas orientadoras las cuales exigen un trabajo colectivo con los diferentes grupos de interés, con el con fin de concretar un espacio de conversación y acción para movilizar a la organización fuera de la zona cómoda y lanzarla para encontrar el punto desequilibrio óptimo que la mantenga en tensión creativa, sin agotar sus capacidades de operación vigente.

La aplicación del modelo MARRAR demanda concretar una condición de flexibilidad y adaptación de la organización frente a las situaciones que se advierten delante de la curva, no sólo para identificar oportunidades estratégicas para la empresa, sino como fundamento de su preparación para defender y anticipar los posibles movimientos de los adversarios, quienes todo el tiempo estarán adelantando la inteligencia requerida para darle forma a sus planes de acción con el fin de comprometer el modelo de seguridad y control, aumentado la incertidumbre en la respuesta corporativa y motivar acciones erráticas por parte de los responsables de la atención del evento.

Comprender y desarrollar resiliencia cibernética no es una tarea individual de un área, o el plan de trabajo liderado por una persona, es una construcción colectiva y un compromiso directivo para co-laborar (introducir posturas distintas y aprender), co-operar (encontrar puntos de encuentro trabajar entre las áreas), co-ordinar (establecer protocolos de acción y despliegue conjuntos), co-municar (establecer un lenguaje común alrededor de los retos organizacionales) y co-crear (habilitar espacios para pensar fuera de la caja e innovar), donde el reto no sólo será sobrevivir a la condición adversa, sino rebotar y reinventar la dinámica organizacional desde la sabiduría del error, haciéndola más fuerte y resistente a la inevitabilidad de la falla.  

Referencias

Abraham, C. & Sims, R. (2021). A Comprehensive Approach to Cyber Resilience. Sloan Management Review. https://sloanreview.mit.edu/article/a-comprehensive-approach-to-cyber-resilience/

Bracci, E. & Tallaki, M. (2021). Resilience capacities and management control systems in public sector organisations. Journal of Accounting & Organizational Change. 17(3). 332-351. Doi: 10.1108/JAOC-10-2019-0111

Cano, J. (2021). Ciberseguridad empresarial. Reflexiones y retos para los ejecutivos para el siglo XXI. Bogotá, Colombia: Lemoine Editores.

Caron, F. (2019). Obtaining reasonable assurance on cyber resilience. Managerial Auditing Journal. https://doi.org/10.1108/MAJ-11-2017-1690

Cascio, J. (2020). Facing the age of caos. Institute for the future. https://medium.com/@cascio/facing-the-age-of-chaos-b00687b1f51d   

Dupont, B. (2019). The cyber-resilience of financial institutions: significance and applicability. Journal of cybersecurity. 5(1). 1-17. Doi: 10.1093/cybsec/tyz013

Fiskel, J. (2015). Resilient by design. Creating Businesses That Adapt and Flourish in a Changing World. Washington, D.C. USA: IslandPress.

Grün, A. (2017). Cómo podríamos vivir. Actitudes que transforman el mundo. Cantabria, España: Editorial Sal Terrae.

Hall, R. (2021). Transitioning from risk to resilience. Resilient First. https://www.resiliencefirst.org/sites/default/files/2021-01/TransitioningFromRiskToResilience_FINAL.pdf

Kekovic, Z. & Ninkovic, V. (2020). Towards a conceptualisation of resilience in security studies. Institute of political studies. 27(67). 153-175. https://doi.org/10.22182/spm.6712020.7

Linkov, I. & Trump, B. (2019). The Science and Practice of Resilience. Springer Nature. Switzerland: Springer Verlag.

Mani, V. (2021). Demystifying the Implementation of Cyberresilience Programs. ISACA Journal. 3. https://www.isaca.org/resources/isaca-journal/issues/2021/volume-3/demystifying-the-implementation-of-cyberresilience-programs

Marsh (2021). Risk Resilience Report. Keys to Building a More Resilient Business: Anticipation, Forecasting, and Agility. https://www.mmc.com/insights/publications/2021/june/risk-resilience-report.html

Panda, A. & Bower, A. (2019). Cyber security and the disaster resilience framework. International Journal of Disaster Resilience in the Built Environment. Doi: 10.1108/IJDRBE-07-2019-0046

Rehak, D. (2021). Assessing and strengthening organisational resilience in a critical infrastructure system: Case study of the Slovak Republic. Safety Science. https://doi.org/10.1016/j.ssci.2019.104573

Schoemaker, P. & Day, G. (2021). Preparing Organizations for Greater Turbulence. California Management Review. June. https://doi.org/10.1177/00081256211022039

Shaked, A., Tabansky, L. & Reich, Y. (2020). Incorporating systems thinking into a cyber resilience maturity model. IEEE Engineering Management Review. https://doi.org/10.1109/EMR.2020.3046533

Siegel, C. & Sweeney, M. (2020). Cyber strategy. Risk-Driven Security and Resiliency. Boca Raton, FL. USA: CRC Press.

Snyder, D., Mayer, L., Weichenberg, G., Tarraf, D., Fox, B., Hura, M., Genc, S. & Welburn, J. (2019). Measuring Cybersecurity and Cyber Resiliency. Rand Corporation. https://www.rand.org/pubs/research_reports/RR2703.html

Visser, W. (2020). Measuring future resilience: a multilevel index. Corporate governance. Doi: 10.1108/CG-01-2020-0044

Wears, R. & Webb, K. (2014). Fundamental on situational surprise: a case study with implications for resilience. En Nemeth, C. & Hollnagel, E. (editors) (2014). Becoming resilient. Resilience Engineering in practice, Volumen 2. Surrey, England: Ashgate Publishing Limited. 33-46.

Wied, M., Oehmen, J. & Welo, T. (2020). Conceptualizing resilience in engineering systems: An analysis of the literature. Systems Engineering. 23(1). 3-13. https://onlinelibrary.wiley.com/doi/10.1002/sys.21491


[1] https://dle.rae.es/marrar


Editado por: Global Strategy. Lugar de edición: Granada (España). ISSN 2695-8937

Jeimy Cano

Profesor Universitario y Consultor Internacional en Ciberseguridad y Ciberdefensa. Ph.D en Administración y Ph.D en Educación. Docente en varios posgrados en seguridad de la información, ciberseguridad y cibercrimen en Colombia.

Ver todos los artículos
Jeimy Cano