Autor: Beatriz Gutiérrez , Phd/APP
Year 5 - Week 7
ISSN 2603 - 9931
La figura del “Abogado del Diablo” aparece en bajo la jurisdicción de la Iglesia Católica en el siglo XIII, como parte de la reforma llevada a cabo por el papa Gregorio IX para reglamentar el proceso de canonización de personas consideradas popularmente como santos. El Abogado del Diablo debía actuar como investigador independiente y objetar punto por punto las evidencias presentadas, detallando en un informe cuáles eran las pruebas desfavorables o no lo suficientemente determinantes. El Abogado del Diablo era un miembro de la curia de reconocido prestigio, pero que coyunturalmente salía de la estructura eclesiástica para llevar a cabo este tipo de investigaciones, detectando los fraudes, las inexactitudes y las falsedades -intencionadas o inintencionadas- del proceso. Esta figura se mantuvo activa hasta tiempos de Juan XXIII, y las estadísticas dicen que en el siglo XX se han producido más canonizaciones que desde la institución de este oficio en el siglo XIII a esta parte. Sin embargo, más interesante que esta figura eclesiástica, nos resulta que el Abogado del Diablo marcó un precedente en lo que hoy se conoce como “red teaming”.
El concepto de “red teaming” comienza a utilizarse en Estados Unidos durante la Guerra Fría -aludiendo el color rojo al enemigo soviético-, para estandarizarse en la década del 2000. Se puede definir el red teaming como un proceso estructurado que busca comprender mejor los intereses, intenciones y capacidades de otra institución, o competidor, a través de simulaciones, identificación de vulnerabilidades y análisis alternativos. La aplicación de esta metodología, todavía escasamente desarrollada y explotada, abarca un amplio abanico de instituciones que podrían beneficiarse de su uso, desde la gestión de riesgos económicos a seguridad física y lógica de cualquier entidad[1].
Cualquier organización se mueve a través de la combinación de estrategias a largo plazo, planes a corto plazo, acciones o procesos diarios, que se basan en multitud de casos en una información incompleta y en un entorno volátil que cambia rápidamente: ello implica que procesos estandarizados y estrategias aplicadas pueden producir resultados por debajo de lo esperado e incluso conducir a catástrofes potenciales, afectados por dos corrientes de presión relacionadas con la propia rutina de trabajo: por una parte, el sesgo cognitivo de la confirmación, del “siempre se ha hecho así”, en otras palabras, en un entorno sistémico, las mismas causas producen los mismos efectos, de modo que el proceso funciona, pero el problema viene de que en dicho entorno sistémico, y por tanto, incierto, si se cambian las causas el fallo puede sobrevenir bien por incapacidad de detectar el cambio o bien por incapacidad de adaptación a corto plazo. Por otra parte, la cultura institucional hace que las acciones repetidas sean las que se realizan mejor, de modo que la línea de pensamiento y la línea de acción se superponen en una zona de confort que no necesariamente es la más eficiente ni la más flexible a la hora de afrontar nuevos retos y situaciones[2]. Del mismo modo que las auditorías externas identifican estos resultados, el análisis alternativo que ofrecen los ejercicios de red teaming puede ofrecer una evaluación realista de aspectos clave en el funcionamiento de la organización, a través de dicho análisis alternativo de la información disponible y de las interacciones procesales que se dan en la entidad y, mediante el planteamiento de escenarios o el análisis de situaciones, busca identificar fallos y proponer estrategias alternativas para enfrentarlos.
Metodológicamente, destacan tres técnicas de red teaming: simulaciones, detección de vulnerabilidades y análisis alternativo, aplicadas a través de diversas configuraciones que van del “contrarían insider” que busca el sabotaje a los equipos que buscan penetrar unas determinadas instalaciones -físicas o digitales-, o a los consultores que tratan de generar disensiones en la estrategia empresarial de una entidad y con ellas favorecen la emergencia de nuevas ideas.
- Simulaciones. Se trata de que la organización modele cómo actuaría en un escenario pre-diseñado para testar sus protocolos o de forma previa a su toma de decisiones. El escenario simulado permite integrar las lecciones aprendidas en el mecanismo de respuesta que se pretende estandarizar. Cualquier simulación, desde el más básico ejercicio table-top al más complejo simulacro multiagencia, se basa en un desarrollo realista de un escenario sobre el que los intervinientes de la organización u organizaciones participantes ensayan su respuesta e integran lecciones aprendidas. Los participantes conocen la celebración del simulacro, pero sus especificidades. La logística que estas acciones conllevan hace necesario este preaviso.
- Detección de vulnerabilidades. De especial utilidad cuando lo que se busca es protección frente un adversario potencial, los red teams asumen el papel de adversario para testar la efectividad de los sistemas defensivos de la institución-objetivo e identificar debilidades en los mismos. Estas acciones deberían ser llevadas a cabo por entidades independientes y de forma sorpresiva -no anunciada- sobre el sistema, basándose en casuística y en las posibles capacidades y motivaciones de los adversarios más probables; el ejercicio debe ser tan realista como sea posible, incluyendo, como se ha mencionado, que debe llevarse a cabo sin previo aviso a los miembros de la organización. La minería de datos y la utilización de inteligencia de fuentes abiertas (OSINT) ha abierto en los últimos años un amplio abanico de posibilidades de cara a la detección de vulnerabilidades, diseño de trayectorias adversarias, etcétera, con distintas motivaciones y capacidades.
- Análisis alternativo. Mientras que las simulaciones están orientadas a los protocolos de respuesta y la detección de vulnerabilidades a la resistencia del sistema, el análisis alternativo se orienta a generar respuestas a nivel de toma de decisiones, testando cómo la organización analiza determinados aspectos, genera previsiones, y está capacitada para la toma de decisiones críticas. Trata de mitigar los principales sesgos cognitivos, tales como creer que el competidor piensa como nosotros, confiar en la primera información al respecto sin considerar los cambios que se producen a lo largo del tiempo, sin que dé lugar a la adaptación del juicio inicial, o adoptar las conclusiones que corroboran nuestras teorías pre-establecidas, sin abrir espacio para otras. El análisis alternativo bien utiliza técnicas estructuradas de análisis o utiliza equipos de decisión que no están implicados en un determinado tema y por tanto carecen de ideas preconcebidas, para que presenten asunciones contrarias a las iniciales.
Sin embargo, en los ejercicios de red teaming, independientemente de la metodología empleada, también existen problemas. Los responsables de las organizaciones no siempre están dispuestos a poner a prueba la organización por miedo a los posibles resultados o, una vez que estos resultados ya se han alcanzado, aceptarlos por el riesgo reputacional que conllevan o el riesgo sobre sus propias posiciones dentro de la organización. La presión grupal en la toma de decisiones previene la emergencia de nuevas ideas y, especialmente, ideas que discrepan con la opinión general y de los responsables[3]. Por tanto, uno de los principales problemas a resolver es el de la propia cultura organizativa. Podemos concluir que, para que los ejercicios red teaming alcancen el éxito en sus objetivos, pasan por una seria reflexión acerca del concepto de seguridad corporativa en la organización, y en asumir el riesgo reputacional también como una oportunidad de mejora tanto en los sistemas y procedimientos como en la propia imagen corporativa.
[1] Zenko, Micah, (2015), Red Team: How to succeed by thinking like the enemy. Basic Book Ed., Nueva Yotk, edición digital, Posición 150.
[2] Ibidem, Posición 269
[3] Janis, I. (1972), Victims of groupthink: a psychological study of Foreign Policy Decisions and Fiascoes. Houghton Mifflin Eds., Boston.