miembros de junta por tener resultados de manera pronta, lo que
termina marginando la capacidad sistémica de ver otros aspectos
del entorno, que pudiendo ser relevantes, terminan siendo
marginados de los análisis y abandonados luego por la exigencia de
agilidad y efectividad requerida por la organización.
El segundo es el sesgo de amnesia, que se concreta cuando se
olvidan rápidamente las lecciones del pasado. Un ejecutivo de
seguridad que no mantiene la trazabilidad o línea de tiempo de los
eventos claves que han ocurrido dentro o fuera de la organización,
termina decidiendo con lo que con su corta memoria puede recordar
sobre los hechos que se materializaron. Su equipo debe ayudarlo a
mantener vigente el mapa de lecciones que se han aprendido y se
deben aprender.
relevantes frente a una situación particular. Las tendencias y
patrones que se puedan identificar, aún no sean confirmadas
pueden ayudar a anticipar posibles amenazas que están en curso.
El sexto sesgo es el de influenciar, en el cual el responsable de
seguridad de la información toma acción basado en opciones que
otros han tomado previamente. Si bien, otros colegas tienen
experiencia en el tratamiento de una situación particular, es claro
que tenían un contexto diferente de aquel que la tiene en este
momento. Por tanto, es clave consultar la práctica de otros, para
construir el escenario propio donde variables diferentes van a
orientar decisiones en otras direcciones.
El tercero es el sesgo de optimismo, que habla sobre subestimar la
probabilidad de la pérdida por un incidente. Si bien, el ejecutivo de
seguridad sabe el nivel de inversión y confiabilidad de la tecnologías
de protección que tiene incorporada, debe mantener un mínimo de
paranoia bien administrado que le permita estar indagando y retando
los niveles de seguridad y control que tiene disponibles y cómo un
ataque puede afectar a la organización y comprometer el valor que
ella genera. El último sesgo de arrogancia(*), es una característica del
profesional de seguridad que piensa que conoce siempre la
respuesta para asegurar una situación inesperada. Si bien el
responsable de seguridad debe confiar en sus saberes, prácticas y
estándares, y transmitir tranquilidad a sus grupos de interés, debe
también darle paso a aquellos que desde otras disciplinas retan sus
reflexiones y propuestas. En la medida que el directivo de seguridad
pueda superar sus propias seguridades, es posible encontrar
alternativas que sumen a las iniciativas de protección que requiere
una organización.
El cuarto es el sesgo de inercia, ese que quiere mantener el statu
quo, aquel que dice “lo que tenemos es suficiente y además no ha
pasado nada”. Esta postura, lo que hace es habilitar un escenario de
posibles amenazas que crece de forma silenciosa, dado que los
atacantes saben y conocen las rutinas de monitoreo y control que
tiene la organización. Lo que aparentemente puede ser normal,
puede estar gestando una brecha de forma oculta. En consecuencia, la “paradoja de la experiencia” es un elemento a
tener en cuenta en el desarrollo de un Chief Information Security
Officer, como una sana advertencia para mantenerse atento sobre
los acelerados cambios del entorno, las inestabilidades de sus
saberes previos y sobremanera, como una forma de preguntarse
cada cierto tiempo, “¿cuándo fue la última vez que hice algo por
primera vez?”.
El quinto sesgo es el de simplificación, en donde el ejecutivo tiene
atención selectiva a ciertos detalles, dejando de lado a otros. Este
sesgo es muy sensible y requiere que múltiples fuentes y análisis se
vinculen y reten las reflexiones del director de seguridad de la
información, con el fin de ver aspectos del entorno que podría ser Referencias
Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder
digital. IESE Insight. Tercer trimestre. 18.
15