Mar/Abr 2016  |  Núm. 18






Jeimy J. Cano, Ph.D, CFE

Ángulos del Fraude

Anticipar la inevitabilidad de la falla. El error como postura clave de las empresas resilientes

Revisando diferentes reportes internacionales, la seguridad de la información y la ciberseguridad se están posicionando en las agendas de los altos ejecutivos como un tema relevante que ocupa un lugar importante dentro de la dinámica de las empresas (Alexander, Ciolek y Cummings, 2016).

Sin perjuicio de este movimiento estratégico de las temáticas mencionadas, es importante advertir que la lectura de las mismas demanda una pedagogía particular para transformar los imaginarios vigentes y contextualizar una vista complementaria de la protección de los activos claves empresariales, representados en información e infraestructuras críticas, desde la inevitabilidad de la falla.

Muchos ejecutivos consideran que tanto la seguridad de la información como la ciberseguridad tienen éxito sólo cuando no ocurren incidentes, cuando las noticias hablan de los niveles de control y gestión de las infraestructuras y que posibles acciones no autorizadas fueron contenidas y superadas.

Este imaginario, generalmente asociado con las consideraciones propias de la seguridad física, donde se tiene un guardián que está en operaciones 7x24x365 que siempre está atento a lo que ocurre, y cuya función es brindar tranquilidad para la locación que protege, confirma una vez más la postura donde la seguridad y ciberseguridad está en manos de otros que hacen las cosas y rinden cuentas sobre sus actuaciones.

En este escenario, los cuerpos ejecutivos con las agitadas agendas y las decisiones de estrategia que deben tomar, tienden a desentenderse de las dinámicas emergentes que el ecosistema digital, donde opera la empresa, les impone y las amenazas que se advierten frente a los actores que participan, que de manera dinámica aparecen y desaparecen sin previo aviso.

Así las cosas, si bien los temas de seguridad y control comienzan a alcanzar los dominios de las juntas directivas, es necesario “alfabetizarlas” sobre la evolución del tema, las consideraciones propias de los riesgos de la seguridad de la información, las implicaciones del tema “ciber” en el logro de las estrategias corporativas y sobre manera alrededor de las asimetrías que exhiben ambos temas, para configurar una estrategia no de protección sino de prevención y respuesta, pues la posibilidad de una falla siempre estará presente.


En consecuencia, el éxito de la gestión y el gobierno de la seguridad de la información y la ciberseguridad no está en las certidumbres y conquistas que los responsables de los temas puedan lograr, sino en el reconocimiento de las cegueras cognitivas e inestabilidades estructurales que en la lectura del entorno pueden hacer, para favorecer una identificación de patrones que anticipen una postura proactiva frente a amenazas y retos emergentes en su entorno digital (Charan, 2015, cap.2).

Para ello, se hace preciso rescatar la sabiduría del error (De la Torre, 2004), como fundamento de la actuación de estos responsables, la cual los lleva a un ejercicio disciplinado de exploración e indagación de lo que ocurre, una práctica que recaba en la necesidad de aprender y desaprender todo el tiempo, y así conjurar el riesgo más relevante de los encargados de la seguridad y la ciberseguridad: su propio ego.

En este sentido, se presentan cinco declaraciones del error como proceso, como experiencia de relaciones reveladas que se apartan de los estándares conocidos, que estos encargados deben incorporar y confirmar en su desarrollo y posicionamiento de las distinciones de seguridad y ciberseguridad dentro de las organizaciones:

Configurar esta práctica del error, desde la inevitabilidad de la falla, demanda crear una zona psicológicamente segura, donde se puedan construir elementos de anticipación y pensamiento hacia adelante y así nutrir las prácticas vigentes o en otro momento revaluarlas.

Cada una de estas declaraciones informan a los ejecutivos de la seguridad de la información y de la ciberseguridad, de la necesidad de fallar de manera anticipada, para preparar el camino del aprendizaje permanente, no sólo como fuente de información sobre la preparación de la organización frente a situaciones inesperadas, sino como construcción de una postura resiliente que desarrolla y fortalece la empresa desde la inseguridad misma (Valis, 2014).

Fallar de manera anticipada estresa los modelos existentes de seguridad y control, y abre la posibilidad para que el ejercicio de un gobierno de seguridad y de la ciberseguridad se haga desde una postura donde se suspende la realidad y se reconstruye de forma permanente el cuerpo de conocimiento que define y asegura los estándares en cada uno de los dos dominios.

La pregunta que queda es ¿estarán listos los responsables de la seguridad de la información y la ciberseguridad para este nuevo reto? Revisa y responde las siguientes preguntas: (Schoemaker, 2011)

  1. ¿Tus éxitos pasados te mantienen en una zona cómoda o postura arrogante?
  2. ¿Has reconocido a alguna persona que ha intentado algo novedoso, a pesar de que no haya funcionado en ese momento?
  3. ¿Privilegias la cultura del aprendizaje/desaprendizaje, sobre la cultura del desempeño y los indicadores?
  4. ¿Has intentado algo distinto en contra de tus propios paradigmas, para ver qué pasa?
  5. ¿Te has dado la oportunidad de observar puntos desconectados de la realidad y revisarlos desde diferentes marcos de conocimiento, para revelar patrones invisibles?

Cualquiera sea la respuesta a estas preguntas, lo más importante es abrir la reflexión en los ejecutivos de seguridad y ciberseguridad, para que se geste en sus prácticas la cultura de la curiosidad, que no dé nada por sentado e interrogue la realidad desde postura distintas y particularmente resilientes.

 

Referencias

Alexander, A., Ciolek, M. y Cummings, J. (2016) Cyber guardians of the grid. Insights TI. Korn Ferry Institute.
Charán, D. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. New York, USA: PublicAffairs.
De la Torre, S. (2004) Aprender de los errores. Buenos Aires, Argentina: Editorial Magisterio del Río de la Plata.
Schoemaker, P. (2011) Brilliant Mistakes. Philadelphia, USA: Wharton Digital Press.
Valis, I. (2014) The magnificent mistake. How you can earn more from failure tan you learn from success. Montreal, Canadá: Pop Philosophy Press.

Autor:
Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Facultad de Derecho y profesor distinguido de la misma Facultad, Universidad de los Andes, Colombia. Ingeniero y Magíster en Ingeniería de Sistemas y Computación de ese mismo ente educativo. Especialista en Derecho Disciplinario de la Universidad Externado de Colombia. Ph.D in Business Administration de Newport University, CA. USA. Executive Certificate in Leadership and Management de MIT Sloan School of Management, Boston. USA. Egresado del programa de formación ejecutiva Leadership in 21st Century. Global Change Agent, de Harvard Kennedy School of Government, Boston. USA. Profesional certificado como Certified Fraud Examiner (CFE), por la Association of Certified Fraud Examiners.



©2016 ACFE-Capítulo México, A.C., Derechos Reservados.
Aviso de Privacidad
Asociación de Examinadores de Fraude Certificados Capítulo México
Tel. 5207-7557, 5536-0104 | seminario@acfe-mexico.com.mx