Ciberseguridad: De riesgos y brechas… a facilitador de las operaciones

La cifra es escandalosa: Entre 60 y 70% de las iniciativas empresariales de Cambio Organizacional, fracasan estrepitosamente. Y ya sea porque la empresa o entidad no estaba lista para el cambio, o porque a todos, el cambio les ha agarrado por sorpresa, lo cierto es que la habilidad que tenemos para transformarnos no es nuestro mejor talento como especie; y cuando se habla de seguridad de activos críticos, los retos para implementar la transformación digital generan aun problemas mayores.

La cifra la ofrece Mariana Ávila, gerente de Transformación Digital en Opinno -una consultora de desarrollo-, quien en una presentación para clientes y socios de negocio de la líder en Multi-nube y Seguridad VMware, estableció que la pandemia por Covid 19 ha colocado a la sociedad en general, en el espectro del “Cambio Radical”; que a diferencia del “Cambio Incremental”, ha eliminado la posibilidad de generar una estrategia de transformación adecuada, elevando más que nunca la incertidumbre y las pérdidas.

En el marco del evento “Hablemos de Zero Trust”, celebrado en días pasados en la CDMX, Ávila expuso que el papel del CISO (Chief Information and Security Officer/Oficial en Jefe de Seguridad e información, por sus siglas en inglés), en los últimos meses, ha tenido que transitar de ser “una brecha en la operación de la empresa, a transformarse en un habilitador de los negocios”, que permita que las operaciones corran con fluidez, dijo Mariana.

“Hay que entender que el papel del CISO ya ha cambiado”, subrayó. “Hoy día se trata de medir y gestionar los riesgos de seguridad TI, controlarlos y reducirlos, no de eliminarlos. Esta asunción de riesgos medidos también debe evolucionar con la disponibilidad de nuevas tecnologías de la información; por ello, el papel del CISO moderno requiere adaptarse, capacitarse y educarse constantemente en su área de especialidad, para que pueda ajustarse al entorno de control y convertirse en el catalizador del cambio que la organización espera”, indicó Mariana.

Ávila también reconoció que, a partir de ahora, los líderes de Gestión de Riesgos y Seguridad se habrán convertido en los facilitadores clave del negocio digital, y hoy más que nunca tienen la tarea de ayudar a la empresa, a balancear los riesgos y beneficios asociados; por ello, la experta en Transformación Digital aseguró que, para 2023, el 30% de la efectividad de los CISOs, se medirá directamente en función de la capacidad para crear valor para el negocio.

El CISO moderno está en una posición única para atender las brechas en Tecnología, Procesos, Automatización y Ciberseguridad; y según el Modelo de Gestión del Cambio de Kotter -dijo la experta-, hay 8 pasos a tomar en cuenta para hacer frente a la transformación con el mayor índice de éxito posible:

Crear urgencia de cambio

Es imperativo desarrollar un sentido de urgencia y necesidad de cambio entre todos los miembros de la organización. A través de la motivación se despertará el deseo inicial para poder ejecutarlo y el hecho de que toda la organización esté en la misma sintonía, facilitará cualquier proceso. Para Kotter, los altos mandos son quienes deben impulsar la construcción de la urgencia. La estrategia será detectar y presentar al cambio, como una oportunidad, e iniciar debates para poner sobre la mesa esta discusión, identificar posibles amenazas o plantear escenarios futuros.

Formar una coalición 

Un liderazgo fuerte y el apoyo visible de personas clave en la organización ayudarán a convencer a las personas de la necesidad del cambio. Estos líderes no necesariamente deben ocupar posiciones en los altos mandos, aunque no los excluye. Su poder puede provenir de su experiencia, estatus, importancia política, capacidad de relacionamiento, etc. Lo importante es que, una vez se identifiquen, se trabaje con ellos para ahondar en esa construcción del sentido de urgencia del cambio.

Crear una visión del cambio 

Concebir una hoja de ruta para los procesos de cambio, favorecerá la reducción de la resistencia entre los miembros de la compañía. Esta visión debe ser clara, concisa y fácil de comunicar, que ayude a las personas a ver y entender lo que se está tratando de conseguir. Así, al determinar los valores del cambio y crear una estrategia para alcanzar esa idea, las instrucciones cobrarán más sentido para las personas, lo que facilitará el proceso. 

Comunicar efectivamente 

La visión, o el camino a seguir, deben comunicarse de manera constante y adecuada a todos los niveles de la organización. Esto garantizará que la información llegue a todas las personas de la empresa y que todas se hagan conscientes de la necesidad de cambio. Para enviar un mensaje más claro, es necesario: hablar frecuentemente al respecto, responder honestamente a las dudas y ayudar a esclarecer los temores, aplicar esta visión en las operaciones y la toma de decisiones, así como actuar acorde a ella.

Eliminar obstáculos 

Es importante reconocer potenciales amenazas para eliminarlas. Estas pueden ir desde personas que aún se encuentran en una etapa de resistencia o debido a procesos o estructuras de la empresa que frenan el avance. Para eliminar los obstáculos se recomienda identificar nuevos líderes del cambio, revisar que la estructura de la organización y los procesos estén en unísono con la visión, recompensar a quienes trabajan para el cambio, e identificar a quienes aún se resisten para ayudarles en el proceso.

Asegurar triunfos a corto plazo 

Es de vital importancia mantener la motivación trazando metas a corto plazo, que permitan a los trabajadores ver los resultados del proceso de cambio, ¡y celebrarlos! Por el contrario, si las personas no empiezan a ver resultados, pueden desanimarse y aportar negatividad que puede dañar lo que se ha logrado hasta el momento. De esta manera, es importante analizar de antemano los pros y contras del proyecto, reconocer a las personas que trabajan para el cambio; al igual que apostar por proyectos y metas con una alta posibilidad de éxito.

Construir sobre el cambio

Si bien es importante celebrar los logros conseguidos a corto plazo, se debe reconocer que lograr un verdadero cambio a largo plazo es un proceso lento y profundo. En ese orden, cada resultado alcanzado es una oportunidad para analizar qué salió bien y qué aspectos se pueden mejorar. Muchos proyectos de cambio terminan fallando, según Kotter, porque cantan victoria demasiado temprano; por eso, es importante adoptar una actitud de mejora continua, siempre trabajando con el foco en la visión de cambio.

Anclar el cambio a la empresa

El último de los 8 pasos consiste en hacer que el cambio conseguido se convierta en parte de la cultura de la organización. De esta manera, será transversal a todas las acciones y a todos los niveles en el día a día. Es importante señalar que los líderes son una figura fundamental para anclar el cambio y evitar el retorno a fases iniciales. Para conseguir que la nueva normalidad se mantenga, se recomienda hablar de los avances y de los beneficios conseguidos en cada oportunidad, así como contar historias de éxito tras el proceso. También es útil inculcar esta cultura a los nuevos empleados que entren a formar parte de la fuerza de trabajo.

Gobierno de ciberseguridad

Andrés Velázquez, socio director de Mattica, consultora en Ciberseguridad y experto invitado al evento de VMware, estableció que una de las razones que históricamente han generado vulnerabilidad en las áreas de seguridad, es que hasta ahora solo fueran consideradas como áreas de servicio, dejándolas fuera de la parte de planeación y estrategia de las organizaciones. 

El nuevo paradigma consiste en integrar al área de Ciberseguridad con la Dirección General, desde las etapas más incipientes del diseño y planeación de las operaciones de la organización, a modo de que tome parte activa en la construcción de la estrategia, colocando a los elementos clave que definirán con exactitud la medición del riesgo a que se expone la empresa a cada paso que da.

Para Velázquez, implementar un modelo de Gobierno de Seguridad se trata de un tema de madurez y crecimiento de la organización: “Cuando comenzamos a hablar de riesgo y dejamos de hablar tanto de ‘Riesgos de Ciberseguridad', tendremos naturalmente que orientarnos mucho más hacia el negocio. ¿Por qué? Porque un área de Ciberseguridad es responsable de poder llegar e identificar y mitigar aquellos riesgos que supongan una amenaza para la organización; no un tema de poner controles simplemente para evitar un ciberataque”.

Esa diferencia sutil permite radicalmente cambiar la postura y el valor del área de ciberseguridad. Cuando lo vemos desde un punto de vista de arriba hacia abajo, nos damos cuenta de que hay cada vez más organizaciones que comienzan a entender que el tema de ciberseguridad, más que un tema de cumplimiento es un tema de continuidad de los negocios. 

El experto en ciberseguridad indicó que las soluciones de seguridad de VMware y su enfoque hacia Zero Trust, es un modelo de control de acceso condicional que requiere verificación continua de la confianza antes de permitir el privilegio mínimo de acceso a aplicaciones y datos. La estrategia detrás de Zero Trust, se reduce a alejarse de los métodos tradicionales de seguridad, en el que todos los recursos dentro del perímetro de la red están considerados dignos de confianza, y en su lugar adoptando un enfoque de: "nunca confíes, siempre verifica”. En comparación con los métodos tradicionales de seguridad, con Zero Trust hay puntos de decisión dinámicos que verifican la confianza e influyen en los niveles de acceso a la empresa, aplicaciones y datos, finalizó.