Muchos documentos internacionales insisten en la intensificación de los riesgos cibernéticos a nivel global, de la convergencia de diferentes fuerzas y sus diferentes interconexiones que generan efectos no lineales, experiencias sistémicas que las organizaciones no están acostumbradas a recibir. Todos estos momentos de tensiones y retos que las empresas tienen en la actualidad serán más desafiantes conforme pase el tiempo pues las diferentes condiciones geopolíticas que muestran un mundo más fragmentado y en pie de lucha, crearán escenarios adversos para unos y beneficiosos para otros (Bremmer & Kupchan, 2024).
En medio de estas diversas lecturas del mundo actual, las agendas del riesgo cibernético se entrelazan con las realidades de la dinámica social delineando efectos conocidos y condiciones emergentes que confrontan al mejor de los analistas especializados y los más expertos profesionales en riesgos. Lo inesperado, lo incierto y lo ambiguo es lo que marca la experiencia actual de las corporaciones, donde los equipos ejecutivos tratan de plantear los mejores escenarios para establecer las estrategias más adecuadas para navegar en medio de los mares de inestabilidades, no con el fin de evitar ser alcanzados por alguna tormenta, sino preparar tanto la embarcación como a la tripulación para sortear esas condiciones que tarde o temprano van a aparecer.
La zona cómoda de lo conocido y de los planes a largo plazo debidamente construidos y ejecutados, comienza a ceder terreno frente a un contexto que demanda abrazar la incertidumbre y comprender la complejidad, lo que implica explorar y mirar hacia adelante con las señales más precisas y los eventos menos relevantes, para descubrir y avanzar frente a las nuevas propuestas de los adversarios. El reto no es transformar la organización para enfrentar un escenario digital agreste, es repensarla desde un ecosistema digital de defensa para situar un apetito de riesgo necesario desde las capacidades claves que debe desarrollar para entender y aprender de la inevitabilidad de la falla.
Los retos de la junta directiva y el riesgo cibernético
Los miembros del directorio empresarial deben saber que la organización en cualquier momento será objeto de un ciber ataque exitoso, que el adversario podrá superar las estrategias de protección planteada por la organización y por tanto, no es “si vamos a tener un evento adverso que comprometa nuestra promesa de valor”, sino qué tanto la empresa está preparada para amortiguar y adaptarse luego del golpe que ha recibido. De esta forma, no es desde la invulnerabilidad que se piensa la defensa, sino desde la “vulnerabilidad por defecto” como fundamento de la resiliencia cibernética esa capacidad clave para navegar en el entorno digital actual y futuro.
La cátedra empresarial de los riesgos cibernéticos: una realidad líquida
El magisterio de la cátedra de los riesgos cibernéticos, no tiene una sola voz. Es una experiencia de reconocimiento de saberes y retos interconectados, que no son responsabilidad exclusiva de los especialistas tecnológicos, sino que demanda la construcción de un saber interdisciplinar para darle forma a un riesgo que resulta líquido, que cambia y se transforma con cada interacción, que genera una dinámica permanente que exige una práctica y reconocimiento de patrones y señales débiles, más allá de los riesgos conocidos y las recetas concretas que los estándares y buenas prácticas nos pueden ofrecer (Ray, 2022).
En este sentido, enfrentar al riesgo cibernético desde la vista del directorio no deber ser un ejercicio de recitación o repetición de contenidos del pasado, de los eventos que ya ocurrieron, sino un espacio para revelar la complejidad del entorno cibernético y de la dinámica de las nuevas propuestas de los adversarios, para labrarse su propio criterio y afinar en la medida de lo posible el apetito de riesgo cibernético requerido para darle forma a las estrategias digitales que los clientes esperan y requieren para superar las expectativas asociadas con los productos y servicios que ofrece la organización.
Las reuniones de las juntas directivas con frecuencia están revestidas de respuestas concretas y certezas que son requeridas por este grupo colegiado para dar cuenta del encargo fiduciario que han aceptado de los accionistas, esto es, cuidar sus inversiones y darles mejores escenarios para recibir sus dividendos en el mediano y largo plazo. Son como aquellos vigilantes ilustrados y asesores ejecutivos que motivan acciones efectivas y directrices concretas para que la organización se percate de su escenario y logre salir adelante (Calleja, 2015).
No obstante lo anterior, son la primera línea de acción para proteger la reputación de la empresa que enfrenta una brecha de seguridad que compromete no sólo la infraestructura de la organización, sino los datos de los clientes y de los diferentes grupos de interés. Para ello, deberán estar preparados, no sólo conceptualmente, sino de manera práctica para atender y responder a todos los diferentes intereses que se concentran cuando un evento adverso cibernético se hace realidad. Lo anterior, no es sólo leer el comunicado preparado por el área de comunicaciones y de ciberseguridad, sino entender en profundidad las implicaciones y compromisos que se tienen al dar una declaración pública.
Un evento cibernético adverso saca fuera de la zona cómoda la organización y la obliga a entender en territorio incierto lo que implica el reto de atender la inevitabilidad de la falla y cómo responder y superar la propuesta del adversario que compromete su defensa y deteriora la confianza de sus clientes y grupos de interés. En este momento, el directorio no sólo deber exigir información sobre lo que ocurre, sino acompañar a la organización para cuidar los intereses de todas las partes interesada, así como al equipo ejecutivo para avanzar en un acción coordinada que permita avanzar en medio de la tormenta y las averías que enfrenta la embarcación y la desorientación natural de la tripulación.
Formando a los miembros de junta directiva en el contexto digital
Para lograr lo anterior, los miembros de junta deben materializar y apropiar un entrenamiento básico que se podría denominar el ANC2: Analítica, Negocio, Código y Ciberseguridad (En inglés ABC2: Analytics, Business, Code & Cybersecurity) (Adaptado de: Lund-Pedersen, 2022).
En primer lugar la Analítica. Esto implica conectar la dinámica de la junta alrededor de los datos para crear una cultura del tratamiento de la información como fuente básica de las decisiones que les permita tomar aquellas necesarias frente a los eventos inusuales o emergentes en el escenario cibernético. La analítica es un ejercicio de construcción de equipo que asistido por plataformas tecnológicas no sólo presenta informes o reportes o tableros de gestión, sino la creación de “insights” que lleven a la acción de la junta directiva sobre el apetito de riesgo cibernético frente a los retos de la compañía en el contexto digital (Wixon, Beath & Owens, 2023).
En segundo lugar el Negocio. Conocer y detallar el modelo de generación de valor de la empresa debe ser la fuente fundamental de las reflexiones del directorio. No sólo comprender las cifras y las finanzas claves de la empresa, sino establecer la base del reto de la estrategia de la empresa de mediano y largo plazo para establecer los nuevos desafíos que debe asumir el equipo ejecutivo para movilizar la empresa fuera de la zona cómoda de los logros previos, y darle las herramientas para lanzarse a explorar territorios inciertos donde la compañía debe moverse para establecer una nueva hoja de ruta que cuestione los supuestos vigentes (Malnight, Keys & Van der Graaf, 2013).
En tercer lugar el Código. Esta característica implica entender y comprender las características de las tecnologías disponibles, así como algunos lenguajes de programación que son relevantes para movilizar las iniciativas de la organización. No es que los directivos deban conocer los detalles de las tecnologías y su forma de implementación, sino reconocer la complejidad y la interconectividad que implica su despliegue en las distintas propuestas que se desarrollan frente a las expectativas de los clientes, como apuestas de creación y realización del valor para cada uno de ellos. El código es la esencia que dinamiza la incorporación y materialización del apetito de riesgo cibernético al desplegar un nuevo producto o servicio digital (Weinman, 2015).
En cuarto lugar la Ciberseguridad. Reconocer que no existen utilidades sin riesgo, es comprender la exposición al riesgo cibernético que la empresa declara como parte del ejercicio ejecutivo y directivo que realiza para articular la promesa de valor de la empresa en el escenario digital. Esta cátedra de riesgos cibernéticos situada en la realidad de la organización y sus objetivos estratégicos, es una lectura obligada de los miembros de junta para desglosar y analizar los esfuerzos y capacidades requeridas por la compañía para enfrentar y navegar en la inevitabilidad de la falla inherente a la tecnología y el código que la habilita (Cano, 2023). La ciberseguridad define una didáctica cibernética que desarrolla un currículo intencional y dirigido para construir rutas metodológicas alternas de nuevas propuestas de defensa para construir un saber compartido y una toma de decisiones situada en el nivel de exposición actual y futuro de la empresa.
Estas cuatro asignaturas ofrecen a la junta el conjunto base de conocimientos y visiones requeridas para conectar la dinámica del negocio con los retos del riesgo cibernético en las organizaciones. No como un reto técnico, sino como un riesgo estratégico, de negocio y sistémico que afecta la organización como un todo, y por tanto, requiere una mirada integral y una lectura en clave de ecosistema digital interconectado, donde todos los participantes suman y hacen la diferencia cuando de construir una defensa activa se trata.
Fuente: Jeimy Cano, Ph.D, CFE
