VUCA[1], acrónimo de las palabras en inglés volatility, uncertainty, complexity y ambiguity, es un término que, como muchos otros, surgió en el ámbito de la milicia. Se utiliza para describir entornos que cambian rápidamente, en los cuales es difícil tener toda la información para tomar decisiones; hay muchos aspectos que deben conectarse para entender el entorno, los éxitos pasados no necesariamente garantizan el éxito futuro, y las acciones no necesariamente producen los resultados esperados, es decir, son ambientes volátiles, inciertos, complejos y ambiguos.

Si bien se considera que desde hace algunos años vivimos en este tipo de ambientes, hoy más que nunca habitamos en un mundo de cambios rápidos que han sido exacerbados por la pandemia. En los últimos meses el mundo ha cambiado rápidamente no solo en temas tecnológicos sino también en aspectos de salud, sociales, económicos, políticos y por supuesto en los negocios.

De acuerdo con estudios realizados por el MIT[2], ante este entorno volátil se requiere un nuevo estilo de liderazgo que le permita a la organización reinventarse continuamente de forma ágil, enfocándose siempre en el cliente y con una estructura de liderazgo distribuido. Lo anterior lo plasman en un modelo de liderazgo llamado 4-CAP+, el cual establece que los líderes deben:

  • Entender los cambios, es decir, darle sentido a lo que pasa allá afuera a través de diagnosticar e identificar qué necesitamos hacer para mantener el paso en este mundo que se transforma rápidamente, así como poder experimentar y aprender de ello.
  • Estar sintonizado con el sentir de los demás y sus creencias, influir y negociar, crear relaciones de apoyo y puentes entre las personas tanto internamente como externamente.
  • Crear una visión de inspire a todos y relacionarla con los principios y valores centrales de la organización, así como con la misión.
  • Ser creativo pero práctico, buscar formas diferentes de hacer las cosas, buscar la forma de volver realidad la visión mediante las estructuras y los procesos de la organización.
  • Actuar con integridad y ganar el respeto de los demás, y actuar con un fuerte sentido de propósito.

 

¿Cómo podemos trasladar estas ideas al rol del CISO?

Considerando que las tres actividades principales de todo líder[3] son diagnosticar (entender dónde estamos), decidir (definir a dónde queremos llegar) y ejecutar (operar el día a día para lograr lo que se decidió), podemos identificar que los dos principales retos que los CISO enfrentan hoy son:

  • Entender de forma ágil los escenarios de riesgos y el contexto de amenazas que enfrenta.
  • Implementar de forma rápida y efectiva iniciativas que amplíen la visibilidad y la capacidad de analizar, detectar y responder.

Para ello, en el entorno actual, el CISO debe modificar su estilo de liderazgo para dirigir a su equipo utilizando metodologías ágiles, y particularmente utilizar el ciclo OODA (observe, orient, decide, act), a través del cual se pretende obtener información (observe), encontrarle el sentido a esa información (orient), decidir qué se hará (decide) y, finalmente, ejecutar esa decisión (act); el resultado obtenido, sea el esperado o no, se vuelve a su vez una observación, iniciando así un nuevo ciclo. El objetivo finalmente es hacer que al adversario le resulte más difícil lograr su objetivo.

Si observamos el ciclo OODA, identificamos claramente cómo las fases de observar y orientar se relacionan con la primera actividad del líder, que es el diagnóstico, y las fases de decidir y ejecutar se correlacionan directamente cada una con las actividades de decidir y ejecutar, respectivamente.

Para ello el CISO tiene que desarrollar un conjunto de competencias primordiales tales como aprendizaje ágil, manejo de la ambigüedad, pensamiento estratégico y orientación a la acción; así mismo, es necesario que fortalezca su capacidad de analizar, priorizar, colaborar e innovar. También tendrá que hacer uso de virtudes como la objetividad, humildad, audacia y constancia; y desarrollar una mentalidad de crecimiento que nos permita innovar, experimentar y aprender (de acuerdo con Carol Dweck[4], la mentalidad de crecimiento es aquella en la que la persona cree que sus habilidades pueden desarrollarse con dedicación y trabajo, además de ver los retos y desafíos como una oportunidad de aprendizaje).

De igual forma, el CISO deberá lograr una visión holística de ciberseguridad que esté alineada a la visión, estrategia y objetivos de negocio.

Haciendo un mapeo de las características que el CISO debe tener versus lo que requieren los líderes en este nuevo entorno, se observa lo siguiente:

Para finalizar, de una frase de Carol Dweck que dice “el desarrollo de habilidades y los éxitos son producto del compromiso y del esfuerzo”, yo defino el reto actual de los CISO así: “el desarrollo de habilidades/capacidades en ciberseguridad y los éxitos en la protección de nuestra organización son producto del compromiso de la alta dirección y del esfuerzo de todos los empleados, pero sobre todo del CISO”.

[email protected]

 

[1] https://hbr.org/2014/01/what-vuca-really-means-for-you

[2] MIT Sloan Executive Education Blog. Credible leaders walk the talk: An updated leadership framework from MIT’s Deborah Ancona, y https://sloanreview.mit.edu/article/five-rules-for-leading-in-a-digital-world/

[3] El quehacer del director. Reflexiones sobre la dirección estratégica de las organizaciones. Carlos Ruiz González

[4] Mindset. The new psychology of success. Carol S. Dweck, Ph. D.