Por Alberto Ray – AlbertoRay.com
Quizás muchos de ustedes me han escuchado (o han leído en mis artículos) que el primer objetivo de la seguridad es crear consciencia del riesgo. Es decir, desarrollar plena y dinámicamente nuestras capacidades para entender que tan expuestos estamos frente al peligro, y que podemos hacer para colocarnos en una posición más ventajosa en caso de estar comprometidos más allá de nuestro poder de mitigación.
De este primer objetivo se derivan algunos otros, tales como; remediar vulnerabilidades, identificar amenazas y estimar probabilidades de que estas actúen, además de determinar los impactos en caso de que los riesgos se materialicen. Pero con la aparición de los riesgos líquidos la seguridad ha dejado de ser lo que era, un sistema estático y predecible para prevenir, proteger, y se ha visto en la urgente necesidad de transformarse en un modelo dinámico y adaptativo que tenga capacidades para pronosticar los eventos del entorno. Frente a este giro, se impone un nuevo objetivo; entender la complejidad.
En tal sentido, la pregunta que surge es cómo lo hacemos, ¿existe algún método para abordar la complejidad?
En el libro Riesgos Líquidos, trato de dar varias respuestas a esta interrogante, y más que un modelo para entender la complejidad, lo que sugiero es un nuevo mindset frente a ella, lo que lleva implícito elevar el nivel de consciencia en torno a los riesgos. Sin embargo, recientemente vi un anuncio comercial que me hizo reflexionar. Se trata de Reliaquest, una empresa dedicada a la ciberseguridad, que en un afiche pegado en la pared de un aeropuerto decía: “Reducimos la complejidad”.
Efectivamente, entender la complejidad es crucial para la seguridad, pero no significa necesariamente una acción que mitigue riesgos, mientras que reducirla tiene detrás, no solo el poder del entendimiento, sino llevarla a un nivel para que no represente una amenaza.
En tal sentido, el gerente del área va a requerir alguna estrategia para esta reducción, y que precisamente se inicia con la comprensión de lo que lo rodea, y cómo la organización interactúa con su realidad. Este proceso lo describo en un artículo sobre el líder de seguridad publicado en mi blog: No se puede ser líder de seguridad sin conocer el entorno
Un segundo aspecto tiene que ver con la reducción de errores humanos. Frente a la complejidad excesiva, es muy fácil equivocarse. Estar alertas sobre las fuentes de error son un indicador directo de la complejidad. Asimismo, la seguridad debe hacer un esfuerzo por mantenerse “sencilla”. Es decir, que, sin perder calidad o eficiencia, el reto es que sus procesos se puedan ejecutar sin complicaciones. En un mundo en constante movimiento, donde las amenazas y los entornos cambian con rapidez, la simplificación de la seguridad permite una mayor flexibilidad y adaptación. Es más fácil modificar y actualizar medidas de seguridad cuando son flexibles y la organización es dúctil al cambio. En esta línea, las capacidades de comunicación asertiva del líder de seguridad son fundamentales.
Una última consideración en la reducción de la complejidad está vinculada con las amenazas y vulnerabilidades críticas para la organización. Tener comprensión profunda de ambos flancos del riesgo facilita el desarrollo y despliegue de acciones de mitigación.
Crear conciencia del riesgo para abordar la complejidad con mayores destrezas requiere un esfuerzo, ya que no es un acto intuitivo de las personas y las organizaciones, en tanto que en la mayoría de los casos ocurre como consecuencia de la pérdida a partir del riesgo materializado. Es por ello, que la seguridad no emerge naturalmente, sino que debe construirse con sentido estratégico. Reducir la complejidad, por tanto, va a redundar en numerosos beneficios, desde una mayor comprensión hasta una mejor adaptación a entornos cambiantes. Esto contribuirá a mejores procesos, no sólo sobre sistemas, sino en personas y organizaciones.