Seguridad en América | Post

Este artículo explora cómo abandonar el perfeccionismo, fomentar una cultura de aprendizaje continuo y repensar la ciberseguridad desde una postura proactiva que transforme la incertidumbre en resiliencia.

El reto de la ciberseguridad empresarial no inicia en las prácticas y estándares de seguridad y control, inicia en la experiencia de la vulnerabilidad, en la lectura de la inevitabilidad de la falla, en el incierto de cuándo el atacante se va a aprovechar de una debilidad que no conocemos, en la sensación de incertidumbre que genera un estado de inquietud y muchas veces “susto”, sobre qué puede pasar cuando el evento adverso que no se quiere, ocurre (Stallings, 2019).

Experimentar vulnerabilidad muchas veces se traduce en sensación de debilidad y de exposición que las organizaciones no quieren experimentar ni conocer, pues la necesidad de certezas es lo que se necesita para tener tranquilidad. Bien anota Brené Brown (2016): “ex- perimentar vulnerabilidad no es opcional: lo único que sí podemos controlar es nuestra respuesta cuando nos enfrentamos a la incerti- dumbre, al riesgo y a la exposición emocional”. Esto es precisamente lo que en el escenario de las ciberamenazas, las organizaciones deben desarrollar, capacidad de respuesta y práctica para enfrentar la inevitabilidad de la falla.

Al iniciar un programa de ciberseguridad la consigna debería ser “seguridad por vulnerabilidad”, esto es, reconocer que estamos en un espacio de trabajo donde el adversario tiene algunas jugadas que no es viable descubrir (o al menos detectar con suficiente anticipación) y donde la organización, deberá jugar algunas veces viendo algunas señales débiles y otras, anticipando algunos de sus movimientos. Es un juego desigual donde por lo general la compañía tendrá algunas victorias y en otros momentos, las derrotas se materializan en eventos con efectos inesperados (Cano, 2015).

Cuando se concreta la perspectiva de ciberseguridad desde la vulnerabilidad, la empresa se prepara no sólo para asumir una brecha inminente, sino para jugar y retar al adversario en su propio terreno, lo que equivale a reconocer la vulnerabilidad propia y deteriorar la inteligencia del adversario, esto es, aumentar el incierto en el modelo de riesgo del atacante. De esta forma, la empresa no sólo no tiene una postura de víctima, sino que sale al encuentro de su propia amenaza para retar sus saberes previos y lecciones aprendidas, con el fin de encontrar nuevas formas para aprender de la inseguridad.

La vulnerabilidad mantiene a la organización fuera de la zona cómoda, de la falsa sensación de seguridad, para mantener una postura vigilante que le permite estar reconociendo su entorno, entendiendo las señales contradictorias de las acciones del adversario, y sobremanera revisando todo aquello que se sale de las líneas base previamente definidas. La vulnerabilidad por definición no debe ser una postura de debilidad, sino una oportunidad para explorar nuevas formas de mejorar y avanzar para enfrentar al adversario y sus asimetrías, esas que generan inestabilidad, incierto y muchas veces caos.

ABANDONAR EL PERFECCIONISMO EN LA GESTIÓN DE CIBERSEGURIDAD EMPRESARIAL.

No existe la seguridad perfecta, esto es, ni riesgo cero ni seguridad ciento por ciento. Por tanto, buscar la perfección o lograr el 100 en seguridad es una postura nociva y antinatural en las prácticas de seguridad y control. Es un ejercicio que niega la existencia de la falla y sobremanera, lleva a las personas a alcanzar un estado que técnicamente no existe: “ser seguros”. De acuerdo con René Brown (2016), estas son algunas de las características del perfeccionismo:

• Es un sistema de creencias adictivo y autodestructivo que fomenta un pensamiento primario y muchas veces infantil: “Si hago todo perfecto, puedo evitar o minimizar los sentimientos dolorosos de vergüenza, crítica y culpa”.

• Es una meta inalcanzable, que se basa más en la percepción que en la motivación interna.

• Es un acto defensivo, que se traduce en un escudo que arrastramos, pensando que nos protege cuando en realidad evita que nos vean.
  

Al revisar estas características básicas del perfeccionismo en la práctica de la ciberseguridad empresarial, revelan las encrucijadas de los oficiales de seguridad y ciberseguridad de la organizaciones, cuando les pi- den alcanzar un nivel de seguridad y control que raya en la perfección, esto es, cero ciberataques exitosos o brechas de seguridad en la empresa, como una métrica de su trabajo, lo que resulta en términos prácticos y a largo plazo, algo que no se puede lograr.

Si se interpretan las características anteriores en la práctica de los ejecutivos de ciberseguridad se podrían tener las siguientes lecturas:

• Tenemos que asegurar que tenemos todos los puntos cubiertos y monitoreados para que el adversario no nos sorprenda. Es nuestro deber mantener una vigilancia permanente que no descanse ni tenga brechas para lograr el mayor nivel de confianza con los ejecutivos.

• Es importante trabajar en la percepción de la seguridad y fortaleza de nuestras defensas, como una lectura de tranquilidad para que los ejecutivos nos puedan ayudar y mantener su apoyo ahora y en el futuro.

• Debemos cerrar todas las vulnerabilidades conocidas para asegurar que estamos preparados y enviar un mensaje de protección y aseguramiento que es lo que esperan los ejecutivos.

Si se revisan todas estas reflexiones se envía un mensaje de invulnerabilidad y blindaje que no es sostenible en el tiempo, no sólo por el esfuerzo que esto implica, sino por la imperfección natural de las herramientas, las prácticas y estrategias que se tienen implementadas en las organizaciones. Bien afirma René Brown (2016): “nuestra naturaleza consiste en ser imperfectos, tener sentimientos y emociones inclasificables, fabricar o hacer cosas que no necesariamente tienen sentido”, esto es, no es viable anular la dinámica natural de un entorno volátil e incierto, ni se puede evitar las emociones que una brecha de seguridad genera. Negar la existencia un ataque exitoso, es negar la existencia de puntos ciegos en la dinámica de la ciberseguridad empresarial.

APRENDER, DESAPRENDER Y REAPRENDER. EL RETO DE LA CIBERSEGURIDAD EMPRESARIAL

Las personas aprenden cuando elaboran nuevos significados, cuando retan sus saberes previos (Petty, 2023), en este sentido, el área de ciberseguridad será más efectiva en la medida que logra construir y reconstruir de forma permanente sus propias experiencias, y de esta manera alcanza una perspectiva más fina y activa de las actividades de los atacantes. Dicho aprendizaje se traduce en cambios en la manera como reconocen el entorno, la forma como detallan patrones de eventos y en la estrategia para atender de los incidentes. En pocas palabras, en la forma como logran sorprenderse y conectar puntos inconexos en sus análisis.

Desaprender es reconocer y admitir prácticas, metodologías o creencias que se han vuelto obsoletas o ineficaces ante la evolución de las ciberamenazas. Este paso requiere una evaluación crítica de las medidas de seguridad existentes para identificar las áreas que necesitan ser renovadas o abandonadas (Gundu, 2024). Es un ejercicio de desconexión de las prácticas actuales en sus diferentes componentes, para observar los nuevos patrones de amenazas que se advierten en el entorno, y desde allí, ver cómo recomponer la dinámica de las metodologías y renovar los constructos de la ciberseguridad, ahora enriquecidos con las novedades del entorno.

Reaprender es desarrollar la capacidad de amortiguación, adaptación y evolución frente a los nuevos retos de los atacantes (Gundu, 2024). Es movilizar los esfuerzos fuera de la zona de protección, asociado con los riesgos conocidos, y movilizar la estrategia de ciberseguridad al ejercicio de defensa y anticipación, que busca distraer, disuadir, demorar y confundir al adversario, para ganar tiempo y así, tener la oportunidad de interceptarlo antes de que tenga éxito. Esto es, innovar y transformar los mecanismos de seguridad y control para “pensar fuera de la caja” y hacer menos predecible la inteligencia del adversario sobre la infraestructura de la organización.

Por tanto, la organización no sólo recibe nuevos conocimientos frente al reto de la ciberseguridad empresarial, sino que queda habilitada para aplicar estos nuevos aprendizajes en la dinámica de los procesos y el aseguramiento de su promesa de valor (Petty, 2023). En este sentido, todo lo aprendido es viable reutilizarlo para profundizar en las nuevas formas de ciberamenazas las cuales permiten a la organización, no sólo experimentar la vulnerabilidad natural que conlleva reconocer estos aspectos, sino comenzar a preparar lo pertinente para defenderse frente a estos nuevos escenarios y formarse en aquello en donde carece de los conocimientos o saberes requeridos.

La vulnerabilidad natural de los nuevos entornos y apuestas de los atacantes deben motivar reflexiones y preguntas claves por partede todos los participantes de la organización para formarse una idea y explorar nuevas posibilidades de amenazas. De igual forma, las inquietudes permiten conectar diferentes lecturas de la realidad y así detallar de forma situada las posibles debilidades que la organización puede tener y que debe atender de cara al reto del riesgo cibernético. El debate constructivo permite aumentar la capacidad de respuesta y la comprensión de la inevitabilidad de la falla.

REPENSANDO LA CIBERSEGURIDAD EMPRESARIAL DESDE LA VULNERABILIDAD

El reto de las organizaciones actuales es tratar de identificar el “cuándo”, no “sí” van a tener un ciberataque. Esta condición nativa habla del ejercicio imperfecto de la ciberseguridad que recaba en la vul- nerabilidad como estado natural pero no necesariamente “normal” de la función de ciberseguridad. Lo anterior, se traduce en un apetito de riesgo cibernético que la organización define y acepta, como la base de sus retos estratégicos, donde el ejecutivo de seguridad y control revela cómo puede acompañar dicho apetito y cómo deberá prepararse la organización cuando el atacante tenga éxito (Martin, 2024).

Aceptar la vulnerabilidad debe activar los mecanismos de aprendizaje, desaprendizaje y reaprendizaje como fundamento de la acción organizacional frente al riesgo cibernético. Es movilizar a la organización en la zona de prototipos y simulaciones que no siempre dejarán respuestas claras a las preguntas de los efectos de los posibles movimientos de los atacantes (Petty, 2023), un ejercicio que revela el incierto que la organización debe asumir frente a los nuevos escenarios que se tienen en el contexto de su negocio. Un juego donde todos los participantes de la organización suman para explicar un modelo imperfecto de defensa, que no sólo es responsabilidad del área de ciberseguridad.

En este sentido, la vulnerabilidad que genera las nuevas capacidades de los adversarios no debe motivar respuestas concretas, sino preguntas que permitan ir afinando el mapa estratégico incompleto de la gestión de la ciberseguridad desde preguntas claves que abran espacios para un debate informado que rete los modelos de seguridad y control vigentes de la organización. Entre las preguntas a realizar se tienen:

• ¿Qué podemos aprender de los adversarios?

• ¿Qué tienen en común y qué los diferencia?

• ¿Qué capacidades tienen y que puedan hacer-

  nos daño?

De esta manera la organización reconoce la vulnerabilidad como el espacio natural para reconocer las amenazas, sin miedo o susto, sino con entusiasmo y postura proactiva, con el fin de establecer el grado de preparación que tiene para dar cuenta con estas capacidades del adversario, y cómo debe prepararse para enfrentarlo y en el mejor de los casos, superarlo si es del caso. En este sentido, la vulnerabilidad no se convierte en debilidad de la organización, sino en motivación para conocer, explorar y aprender de la inevitabilidad de la falla como una fuente natural del ejercicio de defensa, alineado con el apetito de riesgo cibernético de la empresa (Siegel & Sweeney, 2020).

La ciberseguridad empresarial no es un deporte de individualidades, es un reto de conjunto donde cada uno de los participantes suma y se fortalece cada vez que reconoce aspectos novedosos del entorno que son de interés para la organización y se enmarcan dentro de la dinámica de las ciberamenazas. Esto implica un trabajo colaborativo y cooperativo donde aplicar lo que se ha aprendido y reflexionar en ello de forma situada, permite crear un constructo de ciberseguridad por vulnerabilidad que no es un saber superficial basado en los impactos, sino un aprendizaje profundo integrado en y desde la dinámica organizacional.

CONCLUSIONES

La ciberseguridad empresarial es un ejercicio de confianza imperfecta, donde la organización sabe que se va a equivocar, que va tener una falla, o que el atacante aprovechará una vulnerabilidad conocida u oculta, y por lo tanto, la promesa de una vida tranquila y sin ataques no será posible. En este sentido, la empresa no sólo debe declarar su apetito de riesgo cibernético de cara a su estrategia corporativa, sino prepararse para responder frente a la inevitabilidad de un ciberataque, que, entre otras cosas, no sólo afecta su infraestructura sino a sus diferentes grupos de interés, incluidos los reguladores.

En este contexto, experimentar vulnerabilidad debe ser el referente natural que la compañía debe tener para mantener una postura vigilante. Esta lectura de la realidad, centrada en la inseguridad y limitación de la infraestructura, los procesos y las personas, debe motivar una reflexión permanente de los ejecutivos para actualizar el panorama de riesgos cibernéticos que pueden afectar a la empresa. En línea con lo anterior, los directivos deben razonar y conectar la estrategia de la organización como una amalgama de retos empresariales e iniciativas digitales que podrán hacer la diferencia en la experiencia de sus diferentes clientes para asegurar la promesa de valor y crear nuevas fuentes de ingresos.

La ciberseguridad por vulnerabilidad es reconocer que la organización cuenta con puntos ciegos en su dinámica de negocios, infraestructura y personas, los cuales hacen parte de lo que ella representa, y al mismo tiempo, configura la postura vigilante y humilde que le permite trabajar y desafiar lo que he aprendido para configurar una estrategia de ciberseguridad flexible y adaptable, que no se acomoda con lo conocido, sino que se lanza a encontrarse con el incierto para renovar su caja de herramientas y tratar de disuadir, demorar y distraer al adversario.

Si la organización decide superar su apetito de riesgo cibernético, deberá actuar para mitigar los efectos de la materialización de este riezgo, lo que necesariamente hará que aumente la vulnerabilidad natural de la empresa, llevando las reflexiones previas realizadas a lugares inexplorados y las estrategias planteadas a escenarios donde no es posible anticipar cómo serán sus desempeños. La ciberseguridad por vulnerabilidad demanda una cultura organizacional de seguridad de la información que hable e interrogue desde un entorno psicológicamente seguro, donde las ideas y debates permitan elaborar nuevos mapas de un territorio desconocido y configuren nuevos constructos de defensa desde la comprensión y cierre de sus propias vulnerabilidades.

La vulnerabilidad en ciberseguridad no debe ser una condición que debe ser evitada, sino una oportunidad que debe ser aprovechada por las organizaciones. Es un ejercicio que lleva consigo la posible materialización de una falla, la incomodidad de no saber lo que pasa. De esta forma, una compañía podrá sobrevivir a los impactos que esto genera, si reconoce que no se sabe, que quiere aprender y declara como maestra a la inevitabilidad de la falla, un desafío de confianza digital imperfecta como camino para hacerse más resistente a los ataques.