Chanchis, la CISO de Banco “El Águila” (un personaje y un banco ficticios, aclaramos) estaba sentada en su recámara, frente al espejo. Su mirada se perdía en sus pensamientos … “¿qué me está faltando?; ¿por qué mi gente está tan estresada últimamente e, incluso, se ha vuelto agresiva?; ¿por qué se muestran desmotivados?”, todas estas preguntas cruzaban por su mente. Estamos en mayo de 2021 y en los doce meses anteriores,  Chanchis, a petición de su propia gente, había invertido una cantidad importante en prepararlos técnicamente para que estuvieran a la altura de los retos del banco en cuanto a ciberseguridad: algunos se habían certificado en CISSP, otros más habían tomado cursos de hacking ético y también habían logrado obtener una o dos certificaciones, y así para casi todo su equipo. De los 20 colaboradores todos habían estado en programas de entrenamiento y gran parte de ellos habían logrado certificarse en alguna tecnología o especialidad. ¿Por qué entonces se mostraban desmotivados?

Al no encontrar respuestas que le satisficieran, Chanchis le solicitó apoyo a la directora de Recursos Humanos del banco, Graciela. Cuando se reunieron para charlar y analizar el problema, Graciela le preguntó a Chanchis si su gente había tomado algún curso formal en comunicación o negociación o, incluso, en inteligencia emocional. Cuando Chanchis negó rotundamente y puso cara de signo de interrogación, Graciela fue hablándole de las habilidades “suaves” y de la importancia de ir desarrollándolas en su gente. Le comentó la relevancia de saberse comunicar en forma escrita y oral, y le compartió que -por desgracia- la mayoría de la gente se sienta a escribir en Word o a hacer su presentación en PowerPoint sin antes organizar sus ideas, le habló de la comunicación asertiva que sirve para asegurarse de que ambas partes están en la misma sintonía, y del papel de la escucha activa, así como del rol que juegan nuestras emociones y de lo que abarca la inteligencia emocional.

A partir de ahí Chanchis contrató a un par de empresas reconocidas en esos temas para que impartieran cursos y talleres en habilidades suaves a su personal. Todos se mostraron muy dispuestos y, efectivamente, mejoró mucho el clima del área y varias habilidades del personal: ahora sus colaboradores sabían comunicarse mejor y negociar en modalidad “ganar-ganar”, podían resolver entre ellos la mayoría de los conflictos, y los usuarios internos del banco también notaron un cambio en el trato, cada vez más amable y cordial.

Pero ahora, un año después, Chanchis volvía a sentarse en su recámara y, con una sensación de Deja vu, se preguntaba: “¿y ahora qué me falta?; ¿por qué mi gente se ha tardado tanto en resolver los últimos problemas técnicos que hemos tenido?; ¿por qué cuando estuvieron investigando el incidente de seguridad más reciente nunca pudieron reconstruir cómo había sucedido el ataque y tuve que contratar a una empresa externa?”.

Y, repitiendo la receta que le había funcionado un año antes, se fue a ver a Graciela para pedirle su opinión y apoyo. Pero esta vez Graciela no tenía idea de cómo ayudar a Chanchis, así que le propuso que juntas definieran el problema y buscaran opciones de solución.

Después de un par de sesiones fallidas en las cuales prácticamente no avanzaron nada, se les ocurrió que podían listar los comportamientos que consideraban erróneos como los que creían deseables. Aquí incluyo varias de las ideas que Chanchis le expresó a Graciela:

  • Sobre identificar el problema y usar diagramas de apoyo: “Muchas veces mis ingenieros empiezan a trabajar con un problema sin detenerse primero a documentarlo y tener claridad de cuál es, específicamente, el problema. Por ejemplo, ¿cuándo, dónde y cómo se presenta? Además, cuando les pido que me compartan los diagramas de cómo están interactuando las tecnologías, o no los tienen o solo tienen una parte o están desactualizados”.
  • Acerca de tener cada quién una parte de la realidad: “Por otro lado, he visto que frecuentemente los distintos involucrados poseen parte de la información que no la han documentado ni compartido con los demás”
  • Sobre sacar conclusiones sin fundamento: “Ah, y otro problema común es que confunden sacar conclusiones basadas en la evidencia con construir hipótesis. En otras palabras, hay veces que alguien concluye con base en una idea que no está totalmente confirmada, y en vez de darse cuenta de que eso es una hipótesis y hay que probarla, la toman como una conclusión válida y siguen trabajando a partir de ahí. Si resulta que esa conclusión es falsa, se dan cuenta hasta muchos días después y se frustran, en lugar de reflexionar acerca de que no fueron mentalmente organizados para sacar conclusiones y que de ahí se derivó toda la pérdida de tiempo y energía”.

Cuando Graciela fue entendiendo la problemática, le comentó a Chanchis que, además de las típicas habilidades suaves, hay otras habilidades que se denominan habilidades cognitivas y se relacionan con la forma en que pensamos. Así, por ejemplo, el pensamiento estratégico tiene que ver con un proceso mental de entender el estado actual de un problema o situación e imaginarnos el estado deseado y, a partir de ahí, determinar las grandes acciones que nos llevarán del primer estado al segundo.

Dado que Graciela no era experta en habilidades cognitivas, decidió llamar a Hugo, un amigo suyo especialista en psicología cognitiva y con mucha experiencia en evaluar y desarrollar esas habilidades del pensamiento.

Cuando Hugo conversó con Graciela y Chanchis decidió entrevistar a varias personas del equipo, aplicarles la versión IV de la prueba de inteligencia de Weschler (llamada WAIS, por las siglas en inglés de “Weschler Adult Intelligence Scale”) y observar su comportamiento en tres tipos de tareas:

  1. Cuando analizaban los eventos de monitoreo de seguridad desde el SOC.
  2. Cuando estaban resolviendo un problema que se había presentado.
  3. Cuando investigaban un incidente.

Con base en lo anterior, Hugo pudo diagnosticar mejor qué tipo de habilidades cognitivas necesitaban mejorar y, en conjunto con Chanchis y Graciela, propuso algunas herramientas y prácticas metodológicas que podrían ayudarles a lograrlo.

Para ello, fijaron primero los objetivos en cada una de las tareas anteriores:

  1. Cuando están monitoreando, el objetivo principal es que analicen los eventos de las consolas de ciberseguridad y (probablemente recolectando más información) determinen si se trata de un incidente o no. En caso afirmativo, deben transferir el incidente al equipo especializado.
  2. Si el caso es resolver un problema, el objetivo principal es entender qué factores lo causan para removerlos y/o modificarlos, y evitar que vuelva a suceder.
  3. Y, por último, cuando se trata de responder a un incidente de ciberseguridad (normalmente derivado del inciso 1 anterior), lo que se persigue es que entiendan cómo fue el ataque (investigación), eviten que se siga propagando (contención), restauren los servicios a su estado original (recuperación), se aseguren de que ningún atacante ni malware permanecen en el sistema (erradicación) y creen e implementen los mecanismos para que no vuelva a suceder (lecciones aprendidas).

 Después de que pudieron enumerar los objetivos principales, Hugo les compartió algunas competencias y procesos cognitivos que un “buen pensador” realiza, aplicando estos conceptos a la ciberseguridad. Y empezó explicando lo que son el pensamiento analítico y el sintético:

Pensamiento analítico, les dijo, es la capacidad de entender de qué partes consta un sistema y revisar cada una. Por otro lado, el pensamiento sintético se ocupa de entender el todo a partir de la suma de cada parte. En general es el pensamiento que usamos cuando contamos con distintas evidencias y, entonces, podemos sacar una conclusión.

Graciela entendía bien esos conceptos pero no sabía cómo aplicarlos al área de Chanchis, por lo que la misma Chanchis propuso un ejemplo para comprobar si estaba razonando bien:

“Digamos que tenemos un problema de lentitud de un servidor; al analizar el problema (aquí usamos pensamiento analítico) observamos que ocurre cuando un usuario lanza una consulta específica a la base de datos. Seguimos investigando y vemos que la consulta involucra miles de registros. Al intentar concluir la causa del problema (usando pensamiento sintético) establecemos una hipótesis de que podría ser que la memoria principal del servidor no esté siendo suficiente y, entonces, tiene que empezar a hacer un intercambio de información entre la memoria principal y el disco duro (proceso que se denomina “swap”). Para probar esta hipótesis, volvemos a usar nuestro pensamiento analítico que nos lleva a revisar los distintos parámetros de consumo de disco y memoria y nos percatamos de que, al hacer la consulta, se incrementa muchísimo el swap entre disco y memoria; ahora sí podemos concluir, con ayuda de nuestro pensamiento sintético, que la causa de la lentitud es debido a que la consulta provoca que la memoria principal no alcance, lo que genera un exceso de “swapeo” entre disco y memoria.  A partir de ahí podremos visualizar distintas soluciones: crecer la memoria, modificar la consulta o el diseño de las bases de datos, adquirir un disco de mayor velocidad, implementar memoria caché, etcétera.”

Con esta explicación Graciela quedó más convencida pero, entonces, lanzó una serie de preguntas: “¿Qué nos guía a sacar conclusiones válidas? Y no sólo a eso, ¿qué nos guía a seguir recabando información o a ya parar?, ¿a identificar fuentes confiables para obtener dicha información?, ¿a revisar para ver si no se nos pasó algo?”

Chanchis volteó a ver a Hugo, esperando que él sí supiera qué responder. Y él, muy seguro, contesto: “Hay dos habilidades interconectadas que nos ayudan en este proceso: el pensamiento crítico y la metacognición”.

Ante una respuesta tan “contundente” (estoy siendo irónico) Chanchis y Graciela se quedaron mudas, pero Hugo prosiguió su explicación:

  • La metacognición es una forma de autorreflexión. Es observar lo que estamos haciendo como si fuéramos un observador externo, es tomar distancia y ver qué hemos logrado y dónde vamos; pero también es darnos cuenta de lo que no estamos logrando y entender qué cambios necesitamos hacer.
  • El pensamiento crítico es tener disciplina para pensar y, sobre todo, sacar conclusiones. Cuando hay claridad en las condiciones del problema y el contexto de la situación, esto conforma una parte importante de las premisas. Partiendo de estas premisas y, de acuerdo con el objetivo que queremos lograr, el pensamiento crítico nos guía para recolectar más evidencia en caso de ser necesario, e ir obteniendo conclusiones sólidas y verdaderas siempre que la evidencia sea igualmente sólida. En caso contrario, el pensamiento crítico nos limita a establecer hipótesis y es cuando usamos un lenguaje como: “Puede ser…”, o “es probable…” …

Chanchis y Graciela fueron siguiendo la explicación de Hugo pero seguían con diversas dudas alrededor de cómo aplicar estas habilidades en el personal de ciberseguridad y si, además, requerirían herramientas metodológicas que sirvieran de apoyo.

Pero este “aterrizaje” lo abordaré en mi siguiente artículo en el que también les recomendaré diversas fuentes de información en las cuales podrán profundizar acerca de estos temas.

Mientras tanto, cuídense.

 

[email protected]