screen displaying codes

Cómo realizar simulacros de planificación de escenarios: Una solución de gestión de riesgos de ciberseguridad

Author headshotLindsey Turk
Author headshotDan Pilat
read time - icon

0 min read

May 25, 2022

La FMH presenta nuevos riesgos para la ciberseguridad

Los estafadores se están aprovechando de los cambios en la mano de obra como consecuencia de la pandemia1 , incluido el cambio a WFH: en 2020, el 20% de las empresas afirmaron haber sufrido una brecha de seguridad como consecuencia de que un empleado trabajara a distancia2.

Este aumento de los ciberataques está costando caro a las empresas, ya que el coste medio de una violación de datos pasará de 3,86 millones de dólares en 2020 a 4,24 millones de dólares en 2021.3 Antes de la pandemia, los hackers se centraban en las grandes empresas y los gobiernos. Sin embargo, a medida que los empleados han empezado a trabajar desde casa, se han convertido involuntariamente en los nuevos objetivos.

Las amplias consecuencias de un ciberataque organizativo

Como han anunciado los titulares en los últimos meses, los ciberataques no solo afectan a la víctima. Por ejemplo, el pirateo de Colonial Pipeline en 2021, que causó pánico generalizado y provocó escasez de gas desde Texas hasta el noreste.4 Después de que la empresa pagara un rescate de 4,4 millones de dólares estadounidenses y comenzara a volver a su actividad habitual,4 el pirateo tuvo importantes repercusiones para los habitantes de estos estados, ya que se calcula que 1.800 gasolineras se quedaron sin combustible y los precios medios nacionales de la gasolina alcanzaron su nivel más alto desde octubre de 2014.5

Los ciberataques no sólo perjudican al bolsillo y a los consumidores, sino también al bienestar de los empleados. Las investigaciones demuestran que las víctimas de ciberdelitos se sienten tan violadas como si se tratara de un ataque físico: manifiestan sentimientos de rabia, vergüenza, aislamiento y miedo,6 y experimentan síntomas similares a los del trastorno de estrés postraumático (TEPT).7

La falta de preparación aumenta el coste de una brecha en 3,58 millones de USD

La preparación puede mitigar los peores impactos: para las organizaciones con operaciones de seguridad totalmente desplegadas, el coste medio de una filtración de datos es de 2,45 millones de dólares; para las que no están al día o están paradas, el coste medio fue de 6,03 millones de dólares.8

Sin embargo, aunque la preparación arroja notables dividendos, las organizaciones no están preparadas porque los directivos suelen subestimar los riesgos de los ciberataques y tienden a centrarse en prioridades temporalmente destacadas, una tendencia de comportamiento conocida como descuento hiperbólico.

El descuento hiperbólico disminuye la preparación en ciberseguridad

A menudo retrasamos la preparación para los acontecimientos, especialmente cuando las probabilidades de que se produzcan son bajas, en favor de tareas que están en primer plano. El descuento hiperbólico, definido como nuestra tendencia a preferir las recompensas inmediatas a las futuras, nos ayuda a entender la desconexión entre la comprensión de los riesgos y la preparación para un ataque. En una encuesta realizada a 5.000 directores, sólo el 38% declaró sentirse significativamente preocupado por los riesgos de ciberseguridad, y aún menos se sentían preparados9.

Está claro que la mayoría de los directores prefieren hacer frente a los problemas que están al frente y en el centro ahora, en lugar de lidiar con un problema que pueda surgir más adelante. Dado que los ciberataques se han vuelto más frecuentes y más graves en los últimos años, mitigar el descuento hiperbólico ayudaría a su organización a prepararse mejor para futuros riesgos.

graphs showing level of concern and level of readiness of companies towards cyberattacks

Por qué calculamos mal el riesgo de ciberataques: sesgo de confirmación

Tendemos a no reaccionar ante las diferencias en las probabilidades largas y a considerar estas estimaciones como muy improbables. Esta tendencia se conoce como el sesgo favorito-largo.10 Como resultado, empezamos a entender un riesgo "muy improbable" como "ninguno en absoluto".

El sesgo de confirmación refuerza esta forma de pensar: cuando realmente queremos creer que algo no va a ocurrir, entonces buscamos razones que apoyen que ignoremos el problema. Tendemos a redondear un 5% de posibilidades de que algo ocurra a 0, sin embargo el 5% de los ciberataques cuestan a las empresas 1 millón de dólares o más.11 Para ser conscientes de las trampas cognitivas que supone subestimar los riesgos reales, debemos ser hipervigilantes sobre nuestros sesgos y los riesgos tan reales a los que nos enfrentamos.

La planificación de escenarios como medida contra el descuento hiperbólico y el cálculo erróneo del riesgo

¿Qué es la planificación de escenarios?

Una estrategia con grandes probabilidades de aumentar la preparación es la planificación de escenarios realistas. Esta estrategia, construida sobre la base de objetivos de aprendizaje claros, consiste en ejecutar escenarios plausibles, como que la organización se quede sin acceso a elementos clave de su infraestructura digital o que se subasten datos confidenciales en la web oscura.12 Para crear los escenarios, la dirección debe tener en cuenta un problema clave, sus fuerzas motrices y cualquier incertidumbre que pueda existir en el contexto de esa cuestión.13 La planificación de escenarios ayuda a las organizaciones a reforzar sus sistemas de defensa poniendo a prueba los supuestos, creando resiliencia, fomentando la colaboración entre empleados de todos los sectores y niveles, y aumentando la capacidad de reacción de los empleados.14

Existen dos tipos de simulacros de planificación de escenarios:12

  • Simulacros de incendio, que se producen ocasionalmente y ponen a prueba las respuestas de los directivos.
  • Ejercicios teóricos, que se realizan con mayor regularidad y ponen a prueba a las personas, los procesos y la tecnología.

¿Cómo contrarresta el descuento hiperbólico y los errores de cálculo?

Como explicó Sarah Paquet, Directora y Consejera Delegada de FINTRAC (en un seminario con The Decision Lab y Boston Consulting Group), la gente necesita historias para hacer que los riesgos parezcan reales.15 La investigación también apoya esta idea: las historias relacionadas con el futuro (también conocidas como priming de enfoque futuro) pueden ayudar a evitar el descuento hiperbólico.16 Combinando el pensamiento sistemático y el imaginativo,17 la planificación de escenarios empuja a los participantes a "alejarse de las peligrosas previsiones de futuro con un único objetivo "18 y, en su lugar, a pensar de forma más amplia sobre su entorno de ciberseguridad.19 Un método empíricamente probado para evitar el descuento hiperbólico es imaginarse a uno mismo interactuando con su yo futuro, y la planificación de escenarios hace exactamente eso.20

Otra razón por la que esta estrategia funciona es porque reúne a una serie de personas de dentro de la organización y permite que todo el mundo se ponga de acuerdo con respecto a los riesgos de ciberseguridad.21 Al reconocer los límites de nuestro conocimiento y responsabilizarnos mutuamente de ello, los empleados pueden reducir significativamente el riesgo del sesgo favorito-largo.10

¿Cómo nos prepara la planificación de escenarios para los ciberataques?

¿Se ocupa realmente la planificación de escenarios de cómo sobreestimamos nuestros propios conocimientos? Para responder a esta pregunta, un investigador del MIT pidió a docenas de estudiantes de MBA que proporcionaran intervalos de confianza sobre varias cuestiones relevantes para sus ocupaciones diurnas.22 Unas semanas más tarde, les hizo crear escenarios para utilizarlos como base de nuevos intervalos de confianza, ignorando sus respuestas anteriores.22 Los intervalos de confianza se ampliaron en un 50% como media de todos los escenarios.22

Esto significa que, tras crear sus escenarios, los alumnos fueron más conscientes de los riesgos y se esforzaron por tenerlos en cuenta. Otros experimentos demuestran que la planificación de escenarios nos ayuda a cuestionarnos23 y a estar preparados para el futuro24 al presentar conjuntamente información compleja de forma coherente, exhaustiva y metódica25.

¿Cuáles son las ventajas de la planificación de escenarios?

En una empresa que ha utilizado la planificación de escenarios y está sufriendo un ataque (llamémosla Empresa A), los altos directivos conocerán sus respectivas funciones y serán capaces de trabajar juntos de forma cohesionada. Sabrán cómo y qué decir a las partes interesadas, y conservarán gran parte de su consideración positiva entre el público. Al haber realizado una planificación de escenarios rigurosa y creativa, la Firma A tuvo tiempo de hacer experimentos de pensamiento e incorporó un nuevo software con capacidades aún mejores.

¿Cuáles son las consecuencias de procrastinar los simulacros?

Para una organización (Empresa B) que no ha utilizado la planificación de escenarios para prepararse para un ciberataque, las consecuencias pueden ser potencialmente devastadoras. Si los altos cargos de la empresa B no saben qué hacer, es posible que no confíen en la orientación de un CISO y traten de intervenir y ayudar, creando en última instancia caos y desconfianza. Cuando se trata de hacer una declaración a las partes interesadas y a la prensa, la gente puede hablar demasiado pronto, diciendo potencialmente lo incorrecto y haciendo que la empresa parezca fuera de control o bajo un mal liderazgo.

Caso práctico: Shell

Fuera del laboratorio, la planificación de escenarios tiene un impacto significativo a la hora de ayudar a las empresas a prepararse para lo peor. Un excelente ejemplo de ello es Shell. A finales de la década de 1960, Shell fue pionera en la planificación de escenarios, que ahora se utiliza en la organización desde hace más de 50 años.26 La empresa no utiliza esta estrategia para predecir el futuro; más bien, la razón por la que sobresalen es porque crean conexiones entre los procesos organizativos y permiten a los altos directivos pensar en situaciones antes inconcebibles.26

Dada su preparación, Shell estaba preparada para la crisis del petróleo de 1973, y de nuevo más tarde, en 1981, durante el estallido de la guerra entre Irán e Irak.27 A diferencia de otras compañías petroleras que habían almacenado reservas de petróleo, Shell vendió sus excesos antes de que el precio del petróleo cayera en picado.27

Comprender nuestros prejuicios para proteger a las organizaciones

Al realizar estos simulacros, todos los miembros de la organización son más conscientes de los riesgos de ciberseguridad, lo que puede ayudar a los empleados a valorar con precisión sus decisiones sobre privacidad y, en consecuencia, a esforzarse más por proteger su información.7 Esta estrategia aborda directamente el descuento hiperbólico y el sesgo de favorito-largo, al permitir a los participantes visualizar claramente los riesgos futuros y todo lo que conllevan sus soluciones de preparación.

Para obtener más información sobre la preparación para la ciberseguridad y la planificación de escenarios, consulte Strengthen Your Strategy with Cybersecurity de The Decision Lab y Boston Consulting Group. El informe detalla dos escenarios hipotéticos que su organización puede poner a prueba con el fin de preparar a los empleados para el peor de los casos.

Para obtener más información de Michael sobre ciberseguridad, consulte el seminario web Fortalezca su estrategia con ciberseguridad, así como su episodio sobre planificación de escenarios en The Decision Corner.

The Decision Lab es una consultoría de comportamiento que utiliza la ciencia para promover el bien social. En la era digital, la ciberdelincuencia es una amenaza para todos nosotros, y la causa principal de la mayoría de las infracciones es el error humano. Trabajamos con algunas de las mentes más innovadoras en ciberseguridad para ayudar a las organizaciones a navegar por este riesgo mediante la comprensión y la eliminación de las fuentes de sesgo. Si quiere que nos ocupemos de esto juntos, póngase en contacto con nosotros.

References

  1. La OMS denuncia que se han quintuplicado los ciberataques y pide vigilancia. (2020, 23 de abril). https://www.who.int/news/item/23-04-2020-who-reports-fivefold-increase-in-cyber-attacks-urges-vigilance
  2. Resistir desde casa: El impacto de COVID-19 en la seguridad de las empresas. (2020). Malwarebytes. https://www.malwarebytes.com/resources/files/2020/08/malwarebytes_enduringfromhome_report_final.pdf
  3. Lukehart, A. (2022, 4 de enero). 2022 Cyber Attack Statistics, Data, and Trends. https://parachute.cloud/2022-cyber-attack-statistics-data-and-trends/
  4. Turton, W., & Mehrotra, K. (2021, 4 de junio). Hackers Breached Colonial Pipeline Using Compromised Password. Bloomberg. https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password
  5. Gibson, K., & Cerullo, M. (2021, 13 de mayo). La escasez de gas empeora a medida que aumentan los precios del combustible tras el ataque de ransomware a Colonial Pipeline. CBS News. https://www.cbsnews.com/news/gas-prices-shortages-worsen-colonial-pipeline-ransomware-attack/
  6. Ranger, S. (2020, 26 de junio). "Las cuatro horas más estresantes de mi carrera": qué se siente al ser víctima de un ataque informático. ZDNet. https://www.zdnet.com/article/it-is-stressful-it-is-frightening-what-its-like-to-be-a-victim-of-hacking-and-ransomware/
  7. Wiederhold, B. (2014). El papel de la psicología en la mejora de la ciberseguridad. Cyberpsychology, Behavior and Social Networking, 17, 131-132. https://doi.org/10.1089/cyber.2014.1502
  8. Informe sobre el coste de una violación de datos en 2020. (2020). Seguridad IBM.
  9. Cheng, J. Y.-J., & Groysberg, B. (2017, 22 de febrero). Por qué los consejos de administración no se enfrentan a las ciberamenazas. Harvard Business Review. https://hbr.org/2017/02/why-boards-arent-dealing-with-cyberthreats
  10. Evans, D. (2012, 21 de junio). Su juicio del riesgo está comprometido. Harvard Business Review. https://hbr.org/2012/06/recognize-the-limits-of-judgme
  11. Patterson, D. (2021, 19 de mayo). La ciberdelincuencia prospera durante la pandemia, impulsada por el aumento del phishing y el ransomware. CBS News. https://www.cbsnews.com/news/ransomware-phishing-cybercrime-pandemic/
  12. Pearlson, K., Thorson, B., Madnick, S., & Coden, M. (2021, 9 de marzo). Los ciberataques son inevitables. ¿Está preparada su empresa? Harvard Business Review. https://hbr.org/2021/03/cyberattacks-are-inevitable-is-your-company-prepared
  13. Garvin, D., & Levesque, L. (2005, 17 de noviembre). A Note on Scenario Planning. Harvard Business Publishing. https://hbsp.harvard.edu/product/306003-PDF-ENG
  14. Iny, A., Khanna, S., Coden, M., & Struck, B. (2021). Refuerce su estrategia con escenarios cibernéticos. Boston Consulting Group & The Decision Lab. https://app.hubspot.com/documents/3834397/view/233481126?accessId=f10950
  15. Refuerce su estrategia con escenarios cibernéticos. (2021). [Transcripción de la videoconferencia]. https://app.hubspot.com/documents/3834397/view/268002968?accessId=622f3d
  16. Sheffer, C. E., Mackillop, J., Fernandez, A., Christensen, D., Bickel, W. K., Johnson, M. W., Panissidi, L., Pittman, J., Franck, C. T., Williams, J., & Mathew, M. (2016). Examen inicial de las tareas de cebado para disminuir el descuento por demora. Behavioural Processes, 128, 144-152. https://doi.org/10.1016/j.beproc.2016.05.002
  17. Selsky, J. W., y McCann, J. E. (2008). Managing Disruptive Change and Turbulence through Continuous Change Thinking and Scenarios. En Business Planning for Turbulent Times (1ª edición, p. 20). Routledge. https://www.taylorfrancis.com/chapters/edit/10.4324/9781849770644-21/managing-disruptive-change-turbulence-continuous-change-thinking-scenarios-john-selsky-joseph-mccann
  18. Porter, M. (2011). Ventaja Competitiva de las Naciones: Creating and Sustaining Superior Performance. Simon and Schuster.
  19. Oliver, J. J., & Parrett, E. (2018). Gestión de la incertidumbre futura: Reevaluando el papel de la planificación de escenarios. Business Horizons, 61(2), 339-352. https://doi.org/10.1016/j.bushor.2017.11.013
  20. Hershfield, H., Goldstein, D., Sharpe, W., Fox, J., Yeykelis, L., Carstensen, L., & Bailenson, J. (2011). Increasing Saving Behavior Through Age-Progressed Renderings of the Future Self. JMR, Journal of Marketing Research, 48, S23-S37. https://doi.org/10.1509/jmkr.48.SPL.S23
  21. Jarzabkowski, P., y Kaplan, S. (2015). Herramientas de estrategia en uso: Un marco para entender las "tecnologías de la racionalidad" en la práctica. Strategic Management Journal, 36(4), 537-558. https://doi.org/10.1002/smj.2270
  22. Schoemaker, P. J. H. (1995, 15 de enero). Planificación de escenarios: A Tool for Strategic Thinking. MIT Sloan Management Review. https://sloanreview.mit.edu/article/scenario-planning-a-tool-for-strategic-thinking/
  23. Barber, M. (2009). Questioning Scenarios. Journal of Futures Studies, 13(3). https://jfsdigital.org/wp-content/uploads/2014/01/113-A04.pdf
  24. Hiltunen, E. (s.f.). Escenarios: Process and Outcome. Journal of Futures Studies, 13(3). Obtenido el 26 de abril de 2022, del sitio Web: https://jfsdigital.org/articles-and-essays/2009-2/vol-13-no-3-february/scenario-symposium/scenarios-process-and-outcome/.
  25. Wright, G., O'Brien, F., Meadows, M., Tapinos, E., & Pyper, N. (2020). Planificación de escenarios y prospectiva: Advancing theory and improving practice. Technological Forecasting and Social Change, 159, 120220. https://doi.org/10.1016/j.techfore.2020.120220
  26. Wilkinson, A., y Kupers, R. (2013, 1 de mayo). Vivir en el futuro. Harvard Business Review. https://hbr.org/2013/05/living-in-the-futures
  27. Wack, P. (1985, 1 de septiembre). Escenarios: Uncharted Waters Ahead. Harvard Business Review. https://hbr.org/1985/09/scenarios-uncharted-waters-ahead

About the Authors

Lindsey Turk's portrait

Lindsey Turk

Lindsey Turk es asociada de contenidos de verano en The Decision Lab. Tiene un Máster de Estudios Profesionales en Economía Aplicada y Gestión por la Universidad de Cornell y es licenciada en Psicología por la Universidad de Boston. En los últimos años, ha adquirido experiencia en atención al cliente, consultoría, investigación y comunicación en diversos sectores. Antes de The Decision Lab, Lindsey trabajó como consultora para el Departamento de Estado de EE.UU., colaborando con su iniciativa internacional contra el VIH, PEPFAR. A través de Cornell, también trabajó con una empresa de alimentos saludables en Kenia para mejorar el acceso a alimentos limpios y cita esta oportunidad como lo que cimentó su interés en el uso de la ciencia del comportamiento para el bien.

Dan Pilat's portrait

Dan Pilat

Dan is a Co-Founder and Managing Director at The Decision Lab. He has a background in organizational decision making, with a BComm in Decision & Information Systems from McGill University. He has worked on enterprise-level behavioral architecture at TD Securities and BMO Capital Markets, where he advised management on the implementation of systems processing billions of dollars per week. Driven by an appetite for the latest in technology, Dan created a course on business intelligence and lectured at McGill University, and has applied behavioral science to topics such as augmented and virtual reality.

Read Next

Notes illustration

Eager to learn about how behavioral science can help your organization?

Contact us