El capital humano y los riesgos en TIC. Creado con IA
En cualquier organización los eventos que afectan la gestión de las TIC o en una crisis de reputación muy rara vez son eventos súbitos. Estos son el resultado de una erosión silenciosa donde el factor humano desempeña un papel protagónico. A lo largo del tiempo, la gestión de riesgos se ha confinado a informes de cumplimiento que llenan archivos y aunque detallados, a menudo terminan siendo letra muerta si no se comprende que el capital humano no es solo un activo objeto de protección, sino el principal agente que contribuye a mitigar los riesgos.
Para que una organización cumpla sus objetivos clave, debe trascender la cultura del «reporte». El riesgo es una realidad viva, dinámica, y su gestión efectiva depende de la capacidad de los colaboradores para interpretar, reaccionar y adaptarse. No basta con tener un protocolo para las contingencias; se necesita un personal entrenado para desarrollar la solución en tiempo real. Por eso, puede afirmarse que el riesgo es mucho más que un reporte.
Existe una peligrosa desconexión en la creencia de que un riesgo que está documentado esta controlado. Los reportes son fotografías estáticas de una realidad que cambia con mucha volatilidad. Cuando en una organización se entiende el riesgo como un informe burocrático, pierde la capacidad de respuesta.
El capital humano tiene la capacidad de transformar ese simple reporte en acción. Es la diferencia entre poseer un mapa de las rutas a transitar y saber seleccionar la que es adecuada, en medio de un tráfico congestionado para llegar al objetivo. El factor humano de una organización, en su totalidad, son los sensores principales que detectan anomalías, mucho antes de que aparezcan en cualquier métrica. Gestionar el riesgo, por tanto, es procurar la capacidad de decisión y respuesta de las personas.
Para integrar al capital humano en la estrategia de mitigación de riesgos, se debe abandonar la improvisación y seguir una lógica procesal rigurosa que conduzca a la resiliencia. Este proceso se conduce a través de cinco pasos esenciales que no pueden ser dejados a un lado.
El punto de partida es la definición del alcance y las prioridades. En este acápite el error más común es intentar cubrir todo, cuando en realidad debe valorarse que se enfrenta, que se asume, que se transfiere o que se mitiga porque no todos los riesgos son iguales; algunos amenazan la supervivencia y otros son meramente operativos. En este etapa, el rol del capital humano es decisivo para alinear la estrategia de riesgos con los objetivos institucionales.
En este punto la dirección debe formularse cuales son los objetivos clave, porque de ellos depende la prioridad de las acciones a desarrollar, el alcance de la gestión de riesgos debe centrarse en riesgos regulatorios, cambiantes y de reputación en nuevos espacios. El personal involucrado debe entender que su prioridad es blindar los objetivos específicos, para evitar la burocracia del reporte que queda en un archivo.
El segundo aspecto en la cadena es la identificación de los procesos y activos críticos, que permiten definir hacia donde dirigir la atención y qué aspecto es esencial. Aquí es donde la formación del capital humano es vital. Los activos críticos no son siempre los servidores o el equipamiento de más valor; puede que lo más importante sea una base de datos o el conocimiento de un especialista.
Es por ello, que el trabajo diario permite identificar que procesos al fallar, paralizan la organización. Constituye un ejercicio de autodiagnóstico con el que se conoce las necesidades para funcionar. La identificación de estos activos permite concentrar los recursos de seguridad y capacitación en lo que es realmente esencial.
El tercer paso está en definir las métricas de impactos y los umbrales de tolerancia porque lo que no se mide, es inexistente. En la gestión de riesgos, esto se traduce en establecer cuan serio puede ser el impacto a soportar por una institución antes de quebrarse. Esto marca los umbrales de tolerancia y con ello que riesgo se acepta, se mitiga o se transfire.
El capital humano participa al definir qué es aceptable. Una caída del sistema informático institucional por 10 minutos puede ser tolerable para un área y catastrófica para otras. La definición de estas métricas requiere consenso entre todos las áreas. Es aquí donde se traducen los riesgos abstractos a realidades tangibles para cada persona en la organización, con el presupuesto de que si una cosa falla, no se podrán cumplir las metas.
En cuarto lugar es esencial estimar los impactos por escenarios y dar prioridades para su gestión. Identificados los activos y con las métricas claras, entra en acción la imaginación prospectiva para calcular la magnitud de un desastre de salir mal alguna cosa. Esto solo se logra cuando se hace la estimación de impactos por escenarios.
Para ello son vitales interrogantes que incluyan saber que ocurre si hay un ciberataque o se produce una ruptura en las cadenas de suministro, incluso si en una situación de emergencia hay que recurrir al teletrabajo. Aquí una vez más la participación del capital humano es crucial en la simulación de los problemas y priorizar los escenarios. Esto implica sustituir la reacción por la anticipación. Es vital, priorizar los escenarios proyectados con mayor impacto negativo que gravitan sobre los objetivos clave definidos en el primer paso.
Finalmente, el paso cinco implica definir las respuestas, los planes y las métricas de seguimiento y es quizás el más operativo. Un riesgo que se prioriza demanda una respuesta. Aquí es donde el capital humano deja de ser analista para ser ejecutor donde se definen los tipos de respuestas: mitigar para reducir la probabilidad de impacto, transferir que implica asegurar los procesos a través de empresas de seguro, por ejemplo, o aceptar cuya esencia es asumir el costo de un impacto.
Para cada escenario crítico, se diseñan planes de acción y las métricas de seguimiento. Estas métricas no pueden ser estáticas y deben se alimentadas a partir de un ciclo de mejora continua que se puede expresar a través del ciclo de vida de una sistema de gestión de la seguridad de la información. En este momento debe estar claro para el factor humano el conocimiento de las acciones a desarrollar cuando se activa la alarma y la aplicación de las acciones de los planes de contingencia que se probaron en las simulaciones. El seguimiento constante garantiza que la memoria de la organización no se pierda y que el capital humano mantenga su agilidad.
De todo lo expuesto se deduce que la formación del capital humano es un bastión para el enfrentamiento de los riesgos, porque es evidente que no es una cuestión de software o de auditoría, sino una responsabilidad profundamente humana. Los cinco pasos que fueron descritos antes, son la arquitectura, pero es el capital humano quien la sostiene.
El cumplimiento de los objetivos clave de una institución requiere que cada persona, asuma su rol como gestor de riesgos de manera consciente. Cuando el riesgo deja de ser un reporte en el archivo y se convierte en una preocupación de todos, la institución no solo se protege; sino que exhibe mayor competencia. En el mundo de la gestión de riesgos, la capacidad de anticipar y reaccionar del capital humano es una fortaleza que aporta a la seguridad.