El contenido de este módulo formativo es un seguimiento no oficial para la disposición al riesgo cibernético de EntreComp.

En las unidades precedentes, nos referimos a muchos marcos para estar mejor equipados al valorar y evaluar las amenazas y los riesgos cibernéticos, procedente del entorno informático.

En la siguiente sección, proporcionaremos a los alumnos unos planes de trabajo conceptuales, para navegar por la seguridad cibernética, la preparación cibernética y la resiliencia cibernética desde una perspectiva de control de calidad y de gestión de riesgo.

	Ahora que las empresas y la organización se enfrentan a una exposición exponencial a las amenazas cibernéticas, la ciberseguridad se está convirtiendo en una de las principales preocupaciones no solo para los especialistas informáticos, sino también para los profesionales y los expertos que operan en el ámbito de la gestión de riesgo.
	Las organizaciones confían aún más en los medios/herramientas digitales para planear, gestionar y desarrollar sus actividades, cualquier alteración en su “cadena de valores digitales” se traduce en muchas consecuencias para las cuales muchos no están preparados.
	Hay una idea falsa compartida sobre la ciberseguridad, que es que: asegurar los sistemas informáticos de las amenazas cibernéticas implica procedimientos informáticos complejos y altamente sofisticados.
	Aunque es ciertamente verdad que los profesionales de ciberseguridad disponen de competencias y conocimiento de ingeniería avanzados, una mentalidad informática está allí, al alcance de todos…

Los puntos clave de un informe de 2021 por el IBM indica que la resiliencia cibernética es sobre unas acciones sencillas: • Inversión en Prevención (es decir, identificación y evaluación de riesgo) • Módulo de seguridad “Zero-Trust” (“¿Quién puede acceder a los datos?”) • Prueba de estrés (midiendo y evaluando las estrategias internas de resiliencia)   • [relevante incluso más en la época de teletrabajo] administración de identidad y acceso para gestionar  los empleados remotos   • Programas de cumplimento: fomentar la cultura cibernética sobre el nivel multifuncional   • Reducir la complejidad (“siendo simple pero sofisticado”)   • Reducción del déficit de cualificaciones

Como cuestión de hecho, las evidencias del informe mencionado indica que las causas principales que intervienen como mayor interruptores están asociados a factores humanos, más bien que a las deficiencias tecnológicas:

Evidencias garantizadas por los socios de las MIPYME cibernéticas identifican en la falta de sistemas fiables de gestión de riesgos (cibernético) una de las cusas más comunes de exposición cibernética.

De por sí, este resultado es indicativo del “no-reconocimiento” de la ciberseguridad como preocupación principal para la resiliencia y la competencia empresarial.

 La gestión de riesgos cibernéticos debería seguir el mismo paradigma y el enfoque operativo (es decir, supervisión y evaluación) de cualquier otra función básica, como indicador de una nueva situación de ventaja a disposición en la empresa, para adaptar (y reaccionar a) las nuevas amenazas en evolución, procedentes de los mercados y de las sociedades.

ISO 31000

La Organización Internacional para la Normalización reconoce en la gestión del riesgo un proceso que implica la aplicación sistemática de las políticas, de los procedimientos y de las prácticas a actividades de comunicación y consultoría, estableciendo el contexto y  evaluando, tratando, monitoreando, revisando, grabando y  notificando el riesgo.

Como todas las funciones empresariales permanecen vinculadas a la eficacia y a la eficiencia de los sistemas TI y de las redes que regulan el flujo de las tareas, la gestión del riesgos cibernético se convierte en una parte integral de toma de decisiones estratégicas y planificación a largo plazo.

La gestión de riesgo cibernético es un proceso cíclico e incluye un mecanismo en curso orientado al logro de los estándares incluso más altos.

    Chequeo> Evaluación> Ajuste

ISO 31000, una representación visual

Basado en el ISO 31000, los modelos internos de gestión de riesgo (cibernético) deberían reflejar los valores de la organización, los objetivos y los recursos y ser coherente con las políticas y las declaraciones sobre las obligaciones de la organización y la visión de los stakeholders.

En cuanto la organización se conforme con el alcance, el contexto y el criterio de su modelo de gestión, se recomienda proceder con la evaluación actual.

La evaluación se concluye en un proceso de tres pasos:

Fuente: Caliste, J.-P & Heitor, Jone (2020)

Los profesionales y los expertos en dominio de gestión empresarial seguramente habrán escuchado hablar de la Manufactura Lean (Lean Manufacturing), Gestión de Calidad Total (Total Quality Management - TQM), Justo a tiempo (Just In Time - JIT), etc.

Los que hemos mencionados están entre los marcos de auditoria más famosos para la gestión de calidad aplicada a nivel industrial.

Estos modelos tienen solo una cosa en común: su origen es de Japón y ellos se han convertido, en todo el mundo, en la mayor referencia para los procedimientos de auditoria y de control de calidad.

Lo que se conoce menos sobre TQM y JIT, es la “filosofía” de empresa de la cual emergen: Kaizen (改善), traducido literalmente como  改 = cambio,善 = bueno.

La cultura de Kaizen implica una creación constante y continua de unos estándares más altos de las normas de rendimiento.

Alrededor de los 80, se convirtió en el paradigma empresarial dominante de las industrias japoneses, con particular referencia a Toyota (es decir., Sistema de producción Toyota, Toyotism).

…pero aún menos conocido es que la cultura de Kaizen no es un producto totalmente creado en Japón.

El modelo Kaizen debe sus orígenes al programa multinacional de colaboración industrial entre Estados Unidos y Japón, empezado al final de la segunda Guerra mundial. De manera más específica, el íncipit para el modelo actual de  Kaizen ha sido inspirado por el trabajo de una figura luminaria en el panorama empresarial estadounidense de la época: W. Edwards Deming (1990-1993). E. Deming es el hombre detrás de uno de los primeros marcos de referencia para el control de calidad y la auditoria: el modelo DEMING

El modelo de DEMING

Fuente: Deming, W.E., 1950. Elementary Principles of the Statistical Control of Quality, JUSE.

A lo largo del tiempo, el modelo DEMING conoció un número muy grande de revisiones promocionadas por otros autores que cruzaron el camino de E. Deming, como Kaizen que, de hecho, es uno de ellos.

A día de hoy, el modelo DEMING original inspiró al ISO 9001 para los principios de gestión de calidad.

Fuera de todas las readaptaciones del modelo DEMING, nos gustaría proponer lo que se  presentó en una perspectiva “evolucionaria”.

The El modelo DEMING “avanzado”

El modelo DEMING – observaciones

La verdadera fuerza del modelo DEMING, que permitió superar la prueba del tiempo, es que:

Desde el ISO 31000, vimos que un modelo integral de gestión de riesgo tiene en cuenta un proceso de evaluación transversal y de seguimiento continuo.

El ciclo DEMING cubre ambas prioridades y permite a los usuarios:

Se podría recomendar dividir el proceso de evaluación (es decir, la fase de “chequeo”) en dos separadas, dependiendo del momento real de la evaluación.