Desbloqueando la ciberresiliencia

La función del liderazgo en la formación de la cultura organizacional

En la década de 1980, la empresa General Motors enfrentaba una fuerte competencia por parte de los fabricantes de automóviles japoneses, que, en comparación, podían producir coches más eficientes en términos de combustible, con menos defectos y en un período de tiempo más corto. Para hacer frente a esta situación, GM se asoció con Toyota para abrir una planta de fabricación conjunta que incorporara técnicas de gestión al estilo japonés con mano de obra estadounidense. Aunque la gerencia intentó abordar varios desafíos que contribuían a la ineficiencia en la producción —hubo uno en particular que consideraron como una victoria rápida— lograr que los trabajadores llegaran a tiempo.

En GM, antes de la colaboración, había un extenso problema de ausentismo. En cambio, en Toyota, cada trabajador en la línea de producción desempeñaba una función crítica y se cronometraba cada segundo. Si un trabajador llegaba tarde, eso interrumpiría toda la línea de producción. Así que, en esta empresa conjunta, introdujeron lo que pensaron que era un cambio sencillo —cada trabajador debía marcar el reloj y comenzar a tiempo; de lo contrario, se deduciría de su sueldo.

Sin embargo, el cambio resultó ser todo menos sencillo. Se esperaba que los trabajadores, acostumbrados a horarios de inicio flexibles y a la falta de aplicación de medidas o consecuencias, cambiaran su comportamiento de la noche a la mañana. Lo que el liderazgo no entendió fue que las razones del absentismo crónico eran variadas y multifacéticas, que iban desde una profunda desconfianza en la gestión hasta la presión de los compañeros para no cumplir. Para GM, lo que comenzó como un cambio de política de repente se convirtió en un ejercicio para cambiar la cultura de la organización.

Hay muchas lecciones que las organizaciones pueden tomar de la experiencia de la asociación entre GM y Toyota. Las organizaciones que buscan mejorar o cambiar aspectos de su empresa no solo deben evaluar a las personas, procesos y tecnología, sino también examinar de cerca sus valores fundamentales y la cultura que impulsa el comportamiento de los empleados. El propósito de este artículo es examinar la función que desempeña el liderazgo en la creación y, en última instancia, en la transformación de las culturas, y qué lecciones se pueden aplicar a los esfuerzos de cambio de tu organización para ser más resistentes ante las ciberamenazas.

La función del liderazgo en impulsar el comportamiento organizacional

En mi carrera, he estudiado la influencia del liderazgo en las dinámicas organizacionales que van desde gigantes tradicionales de petróleo y gas hasta empresas emergentes de tecnología en rápido crecimiento. Esta información suele ser beneficiosa para entender el impacto del liderazgo en los resultados de la empresa o en la participación de los empleados.

Sin embargo, el liderazgo dentro de una empresa tiene una influencia de gran alcance y profunda en la forma en que los seres humanos en esa organización se comportan, desde hacer lo correcto hasta la adoración de la codicia, desde priorizar la sostenibilidad hasta la producción en masa y el consumismo.

El liderazgo puede definirse como el conjunto de valores, comportamientos y dinámicas necesarios para ejecutar la estrategia de la empresa. Aunque muchos asumen que el liderazgo se refiere simplemente a individuos en el nivel ejecutivo de la gestión, definido de manera más amplia, también incluye los valores fundamentales de la empresa. Las empresas a menudo expresan lo que significa el liderazgo para ellas en un conjunto de competencias o atributos que esperan que los líderes emulen.

Los valores de la empresa a menudo son moldeados por la industria y los mercados en los que operan. Las empresas minoristas valoran la centralización en el cliente. Las empresas de tecnología valoran la velocidad y la innovación. Cuando una empresa tiene claros sus valores, el liderazgo se convierte en el vehículo que moldea la cultura interna de la empresa a través de la influencia de sus líderes. Los líderes comunican la visión, modelan comportamientos, refuerzan los valores de la empresa y toman decisiones que moldean su futuro. Como señala Schein*, "los líderes no solo influyen en la cultura; son sus arquitectos primarios".

Entonces, ¿qué significa eso en el contexto de la cultura organizacional? Schein definió de manera útil la cultura organizacional como "un patrón de pensamiento que un grupo ha aprendido mientras resolvía problemas, que luego se enseña a los nuevos miembros del grupo como la forma correcta de percibir, pensar y sentir acerca de esos problemas". Estos patrones de pensamiento luego conducen a ciertos comportamientos que se refuerzan cuando se observa a otros en el grupo mostrando esos comportamientos.

El modelo siguiente ilustra cómo lo que es visible para los demás (los comportamientos) tiene raíces y significados mucho más profundos para una empresa que simplemente el comportamiento en sí mismo.

La forma en que percibes y piensas, en última instancia, determina cómo te comportarás y reaccionarás. Así es como la cultura influye en los comportamientos, que luego se convierten en algo natural y, por lo tanto, difícil de cambiar.

Cambiar la cultura de la empresa

Entonces, ¿qué nos puede enseñar General Motors sobre la aplicación del cambio cultural?

Uno. Reconocer que el cambio de comportamiento no ocurre al solo prohibir conductas. Si profundizas en el comportamiento del absentismo en el caso de GM, queda claro que las raíces de ese comportamiento eran profundas y necesitaban ser comprendidas y abordadas primero. No hacerlo puede significar que las personas eventualmente vuelvan a sus viejas costumbres.

Dos. Reconciliar donde existen valores en conflicto. Es útil observar hasta qué punto la cultura de la empresa podría entrar en conflicto con los nuevos comportamientos que la empresa quiere inculcar. Imagina que la cultura de la empresa se basa en la rapidez, la agilidad y el dicho "pedir perdón, no permiso". ¿Se podría interpretar que implementar aún más reglas, procedimientos y burocracia entra en conflicto con esa cultura?

Tres. Enfrentar el cambio desde todos los ángulos. Eso significa que la empresa debe cambiar tanto lo que las personas hacen como también cómo piensan. Si seguimos el modelo del iceberg, eso implicaría iniciativas dirigidas tanto a la parte visible como a la no visible:

• En la parte visible, las empresas deben tener claros los comportamientos que desean que los empleados adopten y comunicar esas expectativas de manera clara y frecuente.

• En la parte no visible, las empresas deben definir e incorporar sus valores fundamentales en la mentalidad de los empleados y, por lo tanto, en lo que implica ser un líder en la empresa.

Muchas empresas hacen lo primero, pero pocas lo segundo.

Inculcar la ciberseguridad en la cultura

La idea de transformar la ciberseguridad de un departamento a una cultura se ha vuelto común.

Según el Índice de información sobre amenazas de Seguridad de IBM, el error humano representa el 95 % de los problemas relativos a la ciberseguridad. Dado que las personas son tan complejas e impredecibles, abordar el factor humano es mucho más difícil que implementar procesos y tecnologías.

Como resultado, incorporar la ciberresiliencia en la cultura de la empresa requiere un cambio tanto en la mentalidad como en el comportamiento. Aquí hay 8 ideas que ayudarán a los líderes organizacionales a reforzar la ciberseguridad como una cultura basada en los principios clave de las iniciativas exitosas de cambio cultural:

1. Tus líderes están ayudando o perjudicando tus esfuerzos para crear una cultura de ciberseguridad. Si no lo están tomando en serio, están socavando el mensaje o están mostrando comportamientos que no son seguros, tu trabajo se volverá mucho más difícil. Lograr que los líderes influyentes aprovechen cada oportunidad que tengan para hablar sobre ciberseguridad tendrá un efecto exponencial en la efectividad de las políticas. Encuentra a tus representantes y trabaja estrechamente con ellos para que puedan ser promotores visibles.

2. Existe un dicho que dice que lo que se mide se hace. Considera qué métricas relacionadas con la ciberseguridad pueden compartirse abiertamente con la organización y compártelas frecuentemente con ejemplos y casos específicos.

3. Para cambiar un antiguo patrón de pensamiento, uno tiene que guiarse a través de un nuevo patrón de pensamiento. Al evaluar la capacitación, busca opciones que permitan a los participantes enfrentar escenarios complejos, y fomenta la discusión y los dilemas, en lugar de limitarte a hacer clic en el aprendizaje en línea. Dicen que retienes solo el 10 % de lo que te dicen, pero el 90 % de lo que practicas.

4. Anima a los líderes a compartir historias y ejemplos de incidentes cibernéticos y los comportamientos humanos que desempeñaron una función en ellos, tanto de forma positiva como negativa. Los líderes deberían estar a la vanguardia de cada incidente, comunicando resultados y ejemplificando los comportamientos que desean ver en los demás. Considera las reuniones del personal o las asambleas como excelentes foros para compartir estas historias.

5. Cambia el enfoque de comportamientos negativos a comportamientos positivos. Los estudios psicológicos han demostrado que los comportamientos positivos o aquellos enmarcados de manera positiva, se alinean más con un autoconcepto positivo y, por lo tanto, es mucho más probable que se sigan (por ejemplo, el enfoque negativo: "No hagas esto..." frente al enfoque positivo: "Haz esto...")

6. Reconoce activamente y recompensa a las personas que informan posibles amenazas o vulnerabilidades, en particular si no trabajan en la función de seguridad, resaltando que la ciberseguridad es responsabilidad de todos.

7. La incorporación es generalmente un momento clave para crear afiliación y un sentido de pertenencia, así como un buen momento para introducir la cultura de la empresa. A los nuevos empleados se les pueden presentar las políticas y directrices de ciberseguridad desde el primer día, para que así comprendan de inmediato su importancia y los comportamientos esperados.

8. Considera cómo se puede evaluar el conocimiento y la práctica de la ciberseguridad durante el proceso de contratación. Los líderes que ingresan a la organización ya poseyendo un alto grado de conciencia del riesgo también reforzarán los comportamientos correctos con sus equipos.

Durante mi tiempo en Cloudflare, he visto de primera mano cómo estos principios en la práctica pueden afectar a una organización. Por ejemplo, la capacitación. He escuchado historias de terror sobre colegas que programan tiempo para estar con los ejecutivos mientras realizan su formación anual en materia de seguridad. En Cloudflare, sin embargo, nuestros ejecutivos suelen ser los primeros en completar la formación. Liderar con el ejemplo, de esta forma sencilla, ayuda a que las políticas sean más efectivas.

Repensar la cultura organizacional

El cambio necesita tiempo para arraigarse. Después de que la asociación entre GM y Toyota enfrentó sus primeros obstáculos, muchos de los cambios culturales que implementaron finalmente comenzaron a surtir efecto de manera positiva.

La persistencia de GM frente a esos desafíos iniciales debería ser una lección positiva para los CISO que podrían sentirse desanimados o frustrados. Si cambiar los comportamientos fuera una tarea fácil, su trabajo (y francamente, el mío) sería mucho más sencillo. Cuando se trata del lado humano de la ciberseguridad, tenemos que ir más allá del nivel superficial y analizar lo que se encuentra en el núcleo de la empresa.

En Cloudflare, hemos adoptado la ciberseguridad como un valor fundamental, y tanto a los líderes como a los empleados se les capacita y anima a participar en una cultura de seguridad. Tener los procesos y la tecnología ya disponibles permite a los líderes enfocarse en el aspecto de las personas y aprovechar las oportunidades que esta ciberresiliencia ha creado.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

*Schein, E.H. (2010). Cultura organizacional y liderazgo

Autor

Xiaolu Coenen — @xiaolucoenen
jefa de Desarrollo de Liderazgo Global, Cloudflare.

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Cómo se puede abordar el aspecto de las personas en la gestión del cambio organizacional

• La función del liderazgo en cambiar la mentalidad y el comportamiento para lograr el cambio

• 8 ideas que refuerzan la cultura de la ciberresiliencia

Recursos relacionados:

• Recupera el control de entornos de red complejos

• Transforma la ciberseguridad en la sala de juntas

• Adoptar el cambio: pasos prácticos que los líderes pueden tomar