Ciberseguridad como estrategia
Manuel Hepfer y Thomas Powell de la Universidad de Oxford compartieron
algunas lecciones de las empresas que se enfrentaron a ataques
ransomware en los últimos años. Los resultados de la investigación
fueron publicados en un reciente
artículo
del MIT Sloan Management Review. En mis palabras, el documento clama por
cambiar la manera en la que las organizaciones ven la ciberseguridad.
Me sorprendieron dos aspectos: primero, la mayoría de las organizaciones
todavía piensa que la ciberseguridad es solo instrumental para sus
negocios. Segundo, las ciencias del comportamiento pueden ofrecer
valiosas herramientas para mejorar el enfoque organizativo de la
ciberseguridad. En este post, trato de describir estos aspectos del
artículo a la luz de perspectivas comportamentales.
La ciberseguridad no es un esfuerzo perdido
Fue sorprendente encontrar en el artículo que los ejecutivos ven la
ciberseguridad como una situación de doble pérdida. “Sentían que, si su
empresa era atacada, perderían reputación y ganancias; si su empresa no
era atacada, las inversiones en ciberseguridad se desperdiciarían”. La
aceptación de esta narrativa podría estar arraigada en varios sesgos
cognitivos. La saliencia (salience en inglés) es una pieza esencial
aquí: aquello que se presenta ante nosotros impulsa nuestros juicios y
fomenta nuestros comportamientos. El que no haya alguna violación o
ataque, significa que se desperdicia dinero (¿qué pasaría si se
estuviera efectuando un ataque del que no tenemos conocimiento?). En
cambio, si se confirma un ataque o una violación, ahí sí se piensa en
pérdidas. Sin embargo, esto es como decir que una empresa de
construcción desperdicia dinero probando la resistencia sísmica de sus
edificios. La narrativa de doble pérdida implica la movilidad del
punto de referencia lo que hace que aparezcan pérdidas en ambas
situaciones. Y como “las pérdidas parecen más grandes que las
ganancias”,
entonces las organizaciones dejan de invertir, pensando que así están
evitando pérdidas.
Usemos una narrativa y un modelo mental diferentes para abordar la
ciberseguridad. Las amenazas en el ámbito digital y los terremotos son
similares en tanto que no sabemos cuándo vamos a experimentar alguno.
Sin embargo, a diferencia de lo que ocurre con los terremotos, las
organizaciones deben ser conscientes de que un ataque o una violación
cibernética podrían permanecer ocultas durante algún tiempo, lo que
terminaría amplificando riesgos y pérdidas. Además, dada la dinámica de
las amenazas cibernéticas, las organizaciones deben estar preparadas
continuamente para afrontarlas. Solo de esta manera, las empresas podrán
reducir su exposición a tales riesgos, minimizando así el precio que
podría esperarse de las pérdidas.
Algo adicional que podemos hacer es cambiar el punto de referencia. Para
lograrlo se podría adoptar una actitud de transparencia plena en los
buenos y en los malos tiempos. Es decir, destacar y hacer públicas las
acciones exitosas de prevención y contención a las partes interesadas,
así como revelar violaciones e incidentes que hayan causado daño. Hepfer
y Powell también abordaron esto: “Mantener los ciberataques
confidenciales también implica que las mejores prácticas para
responderles no son compartidas y que los ejecutivos no puedan aprender
de los ciberataques a otras empresas” (p.15).
También podemos trabajar con los altos mandos ejecutivos en la
consideración de situaciones hipotéticas, debatiendo, por ejemplo,
preguntas como las siguientes:
¿Cuántas vulnerabilidades se han identificado y corregido? ¿Qué
habría pasado si esas vulnerabilidades hubieran permanecido
abiertas?¿Cuántos incidentes se han evitado o contenido exitosamente con los
esfuerzos actuales de ciberseguridad? ¿Podríamos haber tenido los
mismos resultados sin estos esfuerzos? ¿Cómo podríamos saberlo?¿Cuál ha sido el papel que ha tenido la ciberseguridad al momento de
disuadir ataques o prevenir errores que, a cualquier nivel, han
amenazado los negocios? ¿Podemos decir con confianza que no se
habrían cometido ataques ni errores si no hubiéramos tenido
esfuerzos de ciberseguridad?¿Dónde tenemos lagunas en la ciberseguridad? ¿Qué podría pasar si no
cerramos esas brechas en las próximas semanas?
Una narrativa diferente, cambiar los puntos de referencia cognitivos y
pensar en situaciones hipotéticas realistas puede ayudar a posicionar
mejor las operaciones de ciberseguridad.
Figure 1. Foto de Maarten van den
Heuvel
en Unsplash
La ciberseguridad sufre conforme a su modo de enmarcación
Gracias a la psicología y al marketing sabemos que la forma en que se
presentan las opciones, mensajes y situaciones (el modo en que son
enmarcadas) influye en cómo se perciben o juzgan. He aquí un ejemplo
llamativo
compartido por Richard Shotton: una tienda en Estocolmo quería vender
más plátanos orgánicos que los habituales no orgánicos. Para evitar
explicar los beneficios de los plátanos orgánicos, el supermercado
calificó al primer grupo como “plátanos orgánicos” y al segundo como
“plátanos rociados con pesticidas”. Adivina qué pasó después.
Lo mismo se aplica a la seguridad de la información como campo, servicio
o responsabilidad. La ciberseguridad suele enmarcarse como un tema o
rama de la tecnología de la información (TI), y el imaginario que esto
crea es que es algo meramente instrumental y que no tiene suficiente
relevancia. Hepfer y Powell escribieron lo siguiente: “[los
ejecutivos] nos dijeron que su mayor error en el período anterior al
ataque de NotPetya era tratar la ciberseguridad como un problema
operativo”. Hacer este tipo de vínculos monocategoriales con la TI pone
una barrera entre la ciberseguridad y el pensamiento estratégico. La
capacidad de la empresa para mantenerse en el negocio se deja en segundo
plano, ya que la TI es sobresaliente. Esto se vuelve evidente cuando ya
es demasiado tarde.
Otra consecuencia de la enmarcación habitual es la inercia, una
tendencia conductual bien conocida. Como afirman los autores en su
artículo, “nuestra tendencia cognitiva es continuar con las mismas
prioridades estratégicas, interpretando la ausencia de un ciberataque
como evidencia de que la empresa está en el camino correcto”. Además,
la tendencia crea y preserva una ilusión de control mientras no ocurre
ningún ataque. ¿Qué pasa si hay una brecha que no se ha detectado? “Los
ciberataques no son rutinarios y son difíciles de planear, y muchos
ejecutivos no han experimentado un ciberataque grave”. Parece que los
ejecutivos siguen el dicho inercial: “si no está roto, no lo
arregles”. El artículo de Hepfer y Powell muestra lo peligroso que es
esto.
La ciberseguridad se asemeja a una elección intertemporal
Un comentario final desde una perspectiva comportamental: la
ciberseguridad, en esencia, es una elección intertemporal. La
ciberseguridad tiene que ver con las decisiones que tomamos hoy y las
consecuencias futuras de esas decisiones. Si ahorras dinero hoy y sigues
haciéndolo, disfrutarás de una buena jubilación. Si inviertes hoy en
ciberseguridad y mantienes inversiones en ciberseguridad, tu negocio
será más proclive a prosperar. Sin embargo, una buena ciberseguridad
consiste en adaptarse al panorama cambiante y en hacer que un negocio
sea sostenible y competitivo mediante la buena gestión de riesgos hoy.
En otras palabras, la ciberseguridad tiene un impacto presente en los
negocios. El problema es que nuestra cognición no lo percibe, nosotros
no lo vemos.
En el artículo, los investigadores se centraron también en la naturaleza
intertemporal de la ciberseguridad. “Después de haber experimentado un
ataque, los ejecutivos de la compañía de productos de consumo
reconocieron que los ciberataques no se pueden prevenir, pero sí hay
manera de prepararse para ellos. La junta se dio cuenta de que el
impacto de un ataque no se limita a la TI, sino que afecta la viabilidad
de todo el negocio”. Para estos ejecutivos, fue necesario un ataque con
pérdidas masivas para pensar estratégicamente en la ciberseguridad. El
ciclo de aprendizaje se cerró abruptamente. Como seres humanos, estamos
sesgados en el presente, y nos involucramos con cosas que podemos
disfrutar de inmediato. Sin este tipo de comentarios que provienen de la
experiencia, tendríamos problemas para pensar a largo plazo.
La ciberseguridad es una necesidad para los negocios
Fluid Attacks proporciona servicios que contribuyen a solucionar los
problemas y recomendaciones discutidos en este blog. Por un lado,
tenemos Hacking Continuo que
vendría a ser como las pruebas de resistencia sísmica a las que nos
referíamos antes. Aquí se identifican vulnerabilidades y los clientes
pueden saber el daño potencial de estas en caso de permanecer abiertas
(una aproximación a las situaciones hipotéticas). Además, con nuestra
Attack Resistance Management platform, una organización puede mostrarle a los
interesados todo lo que, tras bambalinas, podría afectar al negocio.
Esto equivale a adoptar transparencia, permitir el aprendizaje para el
futuro y señalar oportunamente lo que debe hacerse rápidamente.
Esperamos que hayas disfrutado de este post. Haznos saber lo que piensas
y contáctanos si deseas saber más sobre nuestras
soluciones.
*** This is a Security Bloggers Network syndicated blog from Fluid Attacks RSS Feed authored by Julian Arango. Read the original post at: https://fluidattacks.com/blog/ciberseguridad-estrategia/
