Influenciador
La paradoja de la experiencia: Un reto para los CISO más
experimentados
Jeimy Cano, Ph.D, CFE
Los más experimentados directores o ejecutivos de seguridad de la
información tienden a sufrir la “paradoja de la experiencia”. Una
paradoja que generalmente se presenta luego de más de una o dos
décadas de ejercicio profesional en dicha disciplina. Esta paradoja,
si bien no es algo que comprometa la esencia de su práctica, si es
un riesgo latente que deben atender para evitar el aumento del nivel
de sesgos que se pueden presentar en sus decisiones, sin poderlos
notar.
La paradoja de la experiencia es, siguiendo las ideas de Taylor
(2016, p.72-73), “la frustrante realidad de que cuanto más
profundamente sumergido se está en un mercado, una categoría de
producto o una tecnología, más difícil resulta abrirse a nuevos
modelos, nuevas ideas o propuestas que pueden remodelar ese
mercado o formas prometedoras de superar esa tecnología”. En
este sentido, cambiar de dominio o perspectiva puede ayudar al
ejecutivo de seguridad de la información a retar su práctica
introduciendo visiones que sugieran reflexiones distintas.
En un contexto donde el flujo de información se presenta de formas
inesperadas, la densidad digital (Káganer, Zamora, & Sieber, 2013)
aumenta de manera exponencial y más objetos del mundo físico son
digitalmente modificados, es necesario que los profesionales de
seguridad tomen distancia de sus saberes previos y las buenas
prácticas que conocen, para observar la nueva pintura de la realidad
que tienen en la actualidad. El ejercicio no es observar lo que se ve
en este panorama, sino poder hablar acerca de lo que se ve, poder
detallar aspectos invisibles a la cognición y particularmente,
reconocer que no se tiene la variedad requerida para dar cuenta con
los riesgos emergentes o reinventados, que se ocultan en este
contexto.
Crear zonas de disonancia y discrepancia en la manera como se lee
el entorno, permite mover de la zona cómoda a los analistas
tradicionales de seguridad. Incorporar visiones de personas no
especialistas en seguridad, profesionales que sean críticos de los
estándares conocidos, sorprenderse con posibilidades no
documentadas, incorporar lecciones aprendidas de otros procesos y
crear conexiones entre dominios aparentemente no relacionados
son entre otras, algunas rutinas que la función de seguridad de la
información deberá incorporar para poder superar el reto de la
“paradoja de la experiencia”.
En este contexto, los profesionales de seguridad deben activar más
que la innovación, la imaginación. Esto es, ventanas de aprendizaje
permanente, creando experiencias de eventos que puedan
sorprenderlos, con el fin adelantar un ejercicio semejante al que
adelantan los atacantes. Mientras los “chicos malos” se mantienen
“jugando y experimentando” en el terreno de la incierto y no
documentado, los profesionales de seguridad de la información
deberán desarrollar un sentido de urgencia para avanzar y concretar
propuestas que visualicen nuevas formas de anticipar los
movimientos de los agresores.
Por tanto, los ejecutivos de seguridad de la información deberán
estar atentos a reconocer y superar al menos los siguientes siete (7)
sesgos (Meyer & Kunreuther, 2017) en sus decisiones sobre la
protección de la información y el valor de la empresa, como quiera
que no hacerlo, es habilitar un entorno de vulnerabilidad no
documentada, que sólo se hace evidente una vez se ha concretado
un hecho.
El primero es el sesgo de miopía, que implica concentrarse en
decisiones de corto plazo y soluciones inmediatas. Este sesgo
muchas veces se aumenta con la presión de las organización y los
14