En la gestión empresarial constantemente se priorizan y deciden los objetivos que se perseguirán. En ocasiones, hay objetivos que se contraponen a otros por su naturaleza, ocasionando que los avances en uno de ellos se hagan a expensas de otro. A estos objetivos en “competencia” se les conoce como tensiones, y de las muchas que existen en las organizaciones, las tres más importantes son:

  • Crecimiento vs rentabilidad.

Buscar el crecimiento de la organización típicamente merma la rentabilidad, al menos temporalmente, ya que el control de los costos se puede relajar. De igual forma, si el foco principal es la rentabilidad seguramente el crecimiento se verá afectado.

  • Corto plazo vs largo plazo.

Si la gente se enfoca con prioridad en el largo plazo, lo más seguro es que los resultados de corto plazo se vean impactados negativamente, del mismo modo, si el enfoque es dar resultados en el corto plazo, lo más probable es que se estén poniendo en riesgo los resultados de largo plazo.

  • La organización completa vs las partes.

Buscar los mejores beneficios de la organización como un todo probablemente tenga efectos adversos en los beneficios particulares de algunas de las unidades de negocio y viceversa.

Si bien los líderes de las organizaciones están acostumbrados a manejar estas tensiones, no siempre se elige cuidadosamente en cuál de ellas trabajarán con mayor énfasis y enfoque, para así maximizar los resultados de la organización. Y no solo se trata de elegir la tensión correcta, sino de encontrar aquel factor que resulte ser común entre los objetivos en tensión, es decir, no tenemos que elegir un objetivo sobre el otro, sino enfocarnos en trabajar en un factor común, pues así ambos elementos en la tensión serán atendidos.

De igual forma, en el ámbito de la seguridad de la información, las organizaciones y sus directivos se enfrenta a diversas tensiones estratégicas que deberán ser identificadas, para posteriormente elegir, dado el contexto particular de la organización, aquella que consideren más relevante atender para reducir los riesgos, a la vez que se logra que la ciberseguridad se convierta en un habilitador para el negocio.

De múltiples pláticas con clientes, fabricantes y colegas, algunas de las tensiones que yo observo son las siguientes:

  • Nivel de seguridad vs funcionalidad/libertad de acción de los usuarios.

Entre más restrictivo es un ambiente, es decir, que tiene más controles, la facilidad de operación del usuario final se puede ver afectada, sobre todo cuando esos controles se implementan a posteriori. El factor común que se puede identificar en esta tensión es considerar la seguridad por diseño, esto significa que, por ejemplo, cuando vamos a desarrollar una aplicación, consideremos las necesidades y requisitos de seguridad desde el inicio, de tal forma que la seguridad no esté “peleada” con las funcionalidades y facilidades que los usuarios requieren.

  • Las mejores tecnologías de nicho vs plataformas integradas.

Dada la versatilidad del mercado de ciberseguridad, han surgido cientos de empresas nuevas (las famosas startups) enfocadas a resolver de forma creativa e innovadora cierto reto. Estas se suman a la gran cantidad de empresas grandes y bien conocidas que ya existen. Estas últimas, además de sus desarrollos, van adquiriendo a otros fabricantes en búsqueda de crear plataformas que, si bien no siempre son lo mejor en cada nicho, si son más integradas, tienen una cobertura más amplia, y, por lo tanto, son más simples de operar (o al menos esa es la promesa). Ante esta situación, considero que el factor común debe ser la capacidad de ejecución, es decir, enfocarse en saber operar al máximo las tecnologías adquiridas (esto significa saber configurar, afinar, monitorear, analizar, integrar, explotar, etc.), aplicar técnicas de gestión empresarial (por ejemplo: 4DX, OKR, TRIZ, por mencionar algunas) a la operación de la seguridad, reducir la complejidad en la medida de lo posible, contar con diagramas end to end, tener claridad de los flujos de datos, etcétera.

  • Construir las capacidades de ciberseguridad vs tercerizarlas.

En esta tensión, mi sugerencia es enfocarse en indicadores clave de desempeño y riesgo, e identificar la manera más rápida, eficiente y rentable de obtener la madurez requerida por el negocio, típicamente esto resultará en un balance entre ciertas capacidades desarrolladas de forma interna y otras tercerizadas, midiendo todo a través de un modelo de madurez.

Identificar las tensiones estratégicas que cada organización enfrenta en el terreno de la ciberseguridad es un ejercicio que puede resultar muy útil, sobre todo si se enfocan los esfuerzos en identificar el factor común a trabajar.

[email protected]