Tradicionalmente, los Planes de Acción de Ciberseguridad se han implementado de modo lineal, secuencial, siguiendo un “manual” estandarizado, que lista en ítems los grandes objetivos o dominios, y en sub- ítems, la granularidad de sus acciones. Tras haber sufrido múltiples proyectos diseñados de tal forma, les presentamos una nueva manera (“estrategia”) para abordar el desarrollo e implementación de estas iniciativas de ciberseguridad (principalmente industrial) en proyectos de largo aliento, con una gran cantidad de iniciativas y tópicos, de distinta naturaleza y a distinto nivel organizacional. Se trata de la adopción de principios de desarrollo ágil (o “agile”) como estrategia de abordaje de las iniciativas necesarias de implementar y con lo que sí hemos podido trabajar muy alineados a los cambios intempestivos y repriorizaciones sobre la marcha.

En primer lugar, debemos comprender que para alcanzar una elevada eficiencia, habiendo alcanzado la efectividad propuesta, en un entorno que está rompiendo paradigmas de aislamiento, en donde las regulaciones se están recién discutiendo, pero que igualmente se ven enfrentados a amenazas emergentes o remasterizadas, las estrategias de protección de la ciberseguridad deben ser holísticas, adaptables y ágiles.

Ya hemos abordado lo de “holísticas” y “adaptables” en las propuestas previas de ciber-resiliencia, por lo que veamos ahora cómo agregar “agilidad” al desarrollo o implementación del Plan de Acción.

Antes de que respinguen la nariz, les aclaramos que nuestra propuesta se basa en llevar a cabo tareas de largo aliento, que involucran un sinnúmero (porque efectivamente no se conoce su número) de iniciativas de ciberseguridad industrial, aplicando preceptos y herramientas del mundo del “desarrollo ágil”, pero mapeado a los proyectos o iniciativas de ciberseguridad. En ese sentido, aplicaremos lo que nuestros clientes han reconocido como un elemento diferenciador, que realmente les permite el “traje a medida” y a su velocidad.

• El cúmulo de proyectos o iniciativas de ciberseguridad (“backlog” del proyecto) no es una incompatibilidad de fondo con la mirada ágil, sino que básicamente se requiere que dicho portafolio de proyectos evolucione a un enfoque adaptativo, de modo que facilite las repriorizaciones.

• La nueva mirada no busca mapear todas las iniciativas a una carta Gantt extensa con gran detalle de días o semanas de implementación, sino que el foco se orienta al cumplimiento de hitos o tareas específicas, generando “artefactos” de entrega temprana, pero siempre funcionales u operativos. De esta forma, se tiene al principio una larga lista de pendientes, desde donde se van desarrollando una a una los distintos componentes del Sistema de Gestión de Ciberseguridad o Ciber-Resiliencia, solo que con una priorización “distinta”, atendiendo las urgencias y riesgos del momento.

• Las tareas más próximas estarán definidas con gran nivel de detalle, como por ejemplo, aquellas que realizaremos en los primeros dos o tres meses, el primer ciclo o “sprint”.

• En un principio, el segundo ciclo de dos o tres meses, podría estar más difuso y se tiene un lineamiento general para el largo plazo. En la medida que avanza el desarrollo del primer ciclo, se planifica en detalle el siguiente período y se “desliza” esta ventana de dos o tres meses, para seguir reduciendo el backlog del proyecto.

• Cada iniciativa puede estar pendiente (“to do”), en marcha (“doing”) o ya realizada (“done”), pudiendo retornar al inicio, para un replanteamiento.

• Los métodos ágiles parten de la base de que la empresa deberá responder rápidamente a los cambios del entorno, cada vez más turbulentos. Para ello, se dejan abiertas las tareas más alejadas de la línea temporal, aunque con una clara orientación a un objetivo definido y se planifica en detalle el ciclo en ciernes.

• La clave para aplicar la metodología Agile apunta a contar con el apoyo de una o dos personas muy implicadas en el cambio, convencer a los profesionales de que el método funciona, y comenzar a desarrollar las iniciativas según la urgencia reciente identificada.

Beneficios de un enfoque ágil

La lista de beneficios canónicos de metodologías de desarrollo ágil es muy extensa, pero apuntando concretamente a su aplicación fuera del ámbito del software, en iniciativas de ciberseguridad industrial, podríamos señalar:

• Tener la flexibilidad y capacidad de responder prontamente a requerimientos de protección del entorno industrial con cambiantes regulaciones de mercado.

• Todo el equipo de trabajo (como en su homólogo, célula), se involucra con intensidad para enfrentar los nuevos retos y tienen capacidad de adaptación frente a los desafíos.

• Mejorar la comunicación para fomentar las relaciones humanas, demostrado factor de apoyo a la convergencia TI/TO, en aspectos de ciberseguridad.

• Desarrollo priorizado y acelerado de componentes (“artefactos”) del sistema de Ciberseguridad Industrial.

La mirada ágil es una filosofía de trabajo que trae consigo muchos beneficios; solo se debe traspasar la barrera de lograr integrar las múltiples y cambiantes necesidades organizacionales, una rígida cultura existente y las siempre presentes y más críticas amenazas. “No temer a la mirada holística, adaptable y ágil de la ciberseguridad” es la consigna. ¡Nos vemos en el siguiente sprint!