Photo by Joanna Kosinska on Unsplash

Ciberseguridad como estrategia

Elabora estrategias de ciberseguridad y evita pérdidas

By Julian Arango | October 21, 2020

Manuel Hepfer y Thomas Powell de la Universidad de Oxford compartieron algunas lecciones de las empresas que se enfrentaron a ataques ransomware en los últimos años. Los resultados de la investigación fueron publicados en un reciente artículo del MIT Sloan Management Review. En mis palabras, el documento clama por cambiar la manera en la que las organizaciones ven la ciberseguridad. Me sorprendieron dos aspectos: primero, la mayoría de las organizaciones todavía piensa que la ciberseguridad es solo instrumental para sus negocios. Segundo, las ciencias del comportamiento pueden ofrecer valiosas herramientas para mejorar el enfoque organizativo de la ciberseguridad. En este post, trato de describir estos aspectos del artículo a la luz de perspectivas comportamentales.

La ciberseguridad no es un esfuerzo perdido

Fue sorprendente encontrar en el artículo que los ejecutivos ven la ciberseguridad como una situación de doble pérdida. "Sentían que, si su empresa era atacada, perderían reputación y ganancias; si su empresa no era atacada, las inversiones en ciberseguridad se desperdiciarían". La aceptación de esta narrativa podría estar arraigada en varios sesgos cognitivos. La saliencia (salience en inglés) es una pieza esencial aquí: aquello que se presenta ante nosotros impulsa nuestros juicios y fomenta nuestros comportamientos. El que no haya alguna violación o ataque, significa que se desperdicia dinero (¿qué pasaría si se estuviera efectuando un ataque del que no tenemos conocimiento?). En cambio, si se confirma un ataque o una violación, ahí sí se piensa en pérdidas. Sin embargo, esto es como decir que una empresa de construcción desperdicia dinero probando la resistencia sísmica de sus edificios. La narrativa de doble pérdida implica la movilidad del punto de referencia lo que hace que aparezcan pérdidas en ambas situaciones. Y como "las pérdidas parecen más grandes que las ganancias", entonces las organizaciones dejan de invertir, pensando que así están evitando pérdidas.

Usemos una narrativa y un modelo mental diferentes para abordar la ciberseguridad. Las amenazas en el ámbito digital y los terremotos son similares en tanto que no sabemos cuándo vamos a experimentar alguno. Sin embargo, a diferencia de lo que ocurre con los terremotos, las organizaciones deben ser conscientes de que un ataque o una violación cibernética podrían permanecer ocultas durante algún tiempo, lo que terminaría amplificando riesgos y pérdidas. Además, dada la dinámica de las amenazas cibernéticas, las organizaciones deben estar preparadas continuamente para afrontarlas. Solo de esta manera, las empresas podrán reducir su exposición a tales riesgos, minimizando así el precio que podría esperarse de las pérdidas.

Algo adicional que podemos hacer es cambiar el punto de referencia. Para lograrlo se podría adoptar una actitud de transparencia plena en los buenos y en los malos tiempos. Es decir, destacar y hacer públicas las acciones exitosas de prevención y contención a las partes interesadas, así como revelar violaciones e incidentes que hayan causado daño. Hepfer y Powell también abordaron esto: "Mantener los ciberataques confidenciales también implica que las mejores prácticas para responderles no son compartidas y que los ejecutivos no puedan aprender de los ciberataques a otras empresas" (p.15).

También podemos trabajar con los altos mandos ejecutivos en la consideración de situaciones hipotéticas, debatiendo, por ejemplo, preguntas como las siguientes:

  • ¿Cuántas vulnerabilidades se han identificado y corregido? ¿Qué habría pasado si esas vulnerabilidades hubieran permanecido abiertas?

  • ¿Cuántos incidentes se han evitado o contenido exitosamente con los esfuerzos actuales de ciberseguridad? ¿Podríamos haber tenido los mismos resultados sin estos esfuerzos? ¿Cómo podríamos saberlo?

  • ¿Cuál ha sido el papel que ha tenido la ciberseguridad al momento de disuadir ataques o prevenir errores que, a cualquier nivel, han amenazado los negocios? ¿Podemos decir con confianza que no se habrían cometido ataques ni errores si no hubiéramos tenido esfuerzos de ciberseguridad?

  • ¿Dónde tenemos lagunas en la ciberseguridad? ¿Qué podría pasar si no cerramos esas brechas en las próximas semanas?

Una narrativa diferente, cambiar los puntos de referencia cognitivos y pensar en situaciones hipotéticas realistas puede ayudar a posicionar mejor las operaciones de ciberseguridad.

Telescope
Figure 1. Foto de Maarten van den Heuvel en Unsplash

La ciberseguridad sufre conforme a su modo de enmarcación

Gracias a la psicología y al marketing sabemos que la forma en que se presentan las opciones, mensajes y situaciones (el modo en que son enmarcadas) influye en cómo se perciben o juzgan. He aquí un ejemplo llamativo compartido por Richard Shotton: una tienda en Estocolmo quería vender más plátanos orgánicos que los habituales no orgánicos. Para evitar explicar los beneficios de los plátanos orgánicos, el supermercado calificó al primer grupo como "plátanos orgánicos" y al segundo como "plátanos rociados con pesticidas". Adivina qué pasó después.

Lo mismo se aplica a la seguridad de la información como campo, servicio o responsabilidad. La ciberseguridad suele enmarcarse como un tema o rama de la tecnología de la información (TI), y el imaginario que esto crea es que es algo meramente instrumental y que no tiene suficiente relevancia. Hepfer y Powell escribieron lo siguiente: "[los ejecutivos] nos dijeron que su mayor error en el período anterior al ataque de NotPetya era tratar la ciberseguridad como un problema operativo". Hacer este tipo de vínculos monocategoriales con la TI pone una barrera entre la ciberseguridad y el pensamiento estratégico. La capacidad de la empresa para mantenerse en el negocio se deja en segundo plano, ya que la TI es sobresaliente. Esto se vuelve evidente cuando ya es demasiado tarde.

Otra consecuencia de la enmarcación habitual es la inercia, una tendencia conductual bien conocida. Como afirman los autores en su artículo, "nuestra tendencia cognitiva es continuar con las mismas prioridades estratégicas, interpretando la ausencia de un ciberataque como evidencia de que la empresa está en el camino correcto". Además, la tendencia crea y preserva una ilusión de control mientras no ocurre ningún ataque. ¿Qué pasa si hay una brecha que no se ha detectado? "Los ciberataques no son rutinarios y son difíciles de planear, y muchos ejecutivos no han experimentado un ciberataque grave". Parece que los ejecutivos siguen el dicho inercial: “si no está roto, no lo arregles". El artículo de Hepfer y Powell muestra lo peligroso que es esto.

La ciberseguridad se asemeja a una elección intertemporal

Un comentario final desde una perspectiva comportamental: la ciberseguridad, en esencia, es una elección intertemporal. La ciberseguridad tiene que ver con las decisiones que tomamos hoy y las consecuencias futuras de esas decisiones. Si ahorras dinero hoy y sigues haciéndolo, disfrutarás de una buena jubilación. Si inviertes hoy en ciberseguridad y mantienes inversiones en ciberseguridad, tu negocio será más proclive a prosperar. Sin embargo, una buena ciberseguridad consiste en adaptarse al panorama cambiante y en hacer que un negocio sea sostenible y competitivo mediante la buena gestión de riesgos hoy. En otras palabras, la ciberseguridad tiene un impacto presente en los negocios. El problema es que nuestra cognición no lo percibe, nosotros no lo vemos.

En el artículo, los investigadores se centraron también en la naturaleza intertemporal de la ciberseguridad. "Después de haber experimentado un ataque, los ejecutivos de la compañía de productos de consumo reconocieron que los ciberataques no se pueden prevenir, pero sí hay manera de prepararse para ellos. La junta se dio cuenta de que el impacto de un ataque no se limita a la TI, sino que afecta la viabilidad de todo el negocio". Para estos ejecutivos, fue necesario un ataque con pérdidas masivas para pensar estratégicamente en la ciberseguridad. El ciclo de aprendizaje se cerró abruptamente. Como seres humanos, estamos sesgados en el presente, y nos involucramos con cosas que podemos disfrutar de inmediato. Sin este tipo de comentarios que provienen de la experiencia, tendríamos problemas para pensar a largo plazo.

La ciberseguridad es una necesidad para los negocios

Fluid Attacks proporciona servicios que contribuyen a solucionar los problemas y recomendaciones discutidos en este blog. Por un lado, tenemos Hacking Continuo que vendría a ser como las pruebas de resistencia sísmica a las que nos referíamos antes. Aquí se identifican vulnerabilidades y los clientes pueden saber el daño potencial de estas en caso de permanecer abiertas (una aproximación a las situaciones hipotéticas). Además, con nuestro Attack Surface Manager, una organización puede mostrarle a los interesados todo lo que, tras bambalinas, podría afectar al negocio. Esto equivale a adoptar transparencia, permitir el aprendizaje para el futuro y señalar oportunamente lo que debe hacerse rápidamente.

Esperamos que hayas disfrutado de este post. Haznos saber lo que piensas y contáctanos si deseas saber más sobre nuestras soluciones.