¿Cómo tomar decisiones durante un incidente de seguridad? – El Ciclo OODA

Unos de los escenarios más complejos para los CSO/CISO’s es tomar decisiones durante un incidente de seguridad o acaso ¿quién no ha tenido un incidente? Todo el mundo quiere aportar, todo el mundo quiere hacer, todo el mundo quiere decidir. No importa si tenemos un plan de continuidad de negocios probado, analizado y certificado. Las eventualidad de seguridad nunca salen con se tiene planificadas.

Entonces, suponiendo que las cosas no se vuelven desesperantes, ¿cómo hacemos para tomar las decisiones inesperadas? Porque aunque la gente se comportara como debe, aún tenemos que volver a producción cuanto antes o peor aun debemos tomar la decisión que menos impacte a la organización, incluso decisiones que pueden salvar vidas (nadie dijo que era fácil trabajar en seguridad).

Hace poco estaba leyendo una documentación sobre toma de decisiones y me encontré con El Ciclo OODA, luego me puse investigar al respecto y me pareció bastante interesante para aplicarlo al sector de seguridad, específicamente, en continuidad de negocios.

El ciclo OODA fue propuesto por John Boyd, durante los años 50. Boyd, mientras que fue piloto de combate de la Fuerza aérea de los Estados Unidos, logro desarrollar un método (bastante sencillo) para identificar los detalles de la situación en la que se encontraban durante el combate (Consciencia situacional, escribiré de esto en el futuro J). El modelo tiene sus adeptos y también tiene los que se oponen a él, yo se lo presento y ustedes deciden.

El término “OODA” de este ciclo se debe a la primera letra de cada fase, en ingles, Observe, Orient,Decide, Act:

• Observación: Lo primero que debemos hacer es tener conciencia de lo que está sucediendo a nuestro alrededor en una crisis. Esa información provendrá de diversas fuentes, muchos de los cuales estarán fuera de tu organización. Tu imagen de la situación debe reflejar la realidad de lo que está pasando. Si aún no lo tiene claros, debes buscar mayor información al respecto.
• Orientación: Una vez estés al tanto de la situación entonces las implicaciones deben ser determinadas. Es evidente que necesitas saber que ha ocurrido y debes estar claro de lo que actualmente está pasando, pero el verdadero truco está en anticiparse en lo que podría cambiar y cómo eso podría afectarte a ti y a otros. Una forma de hacer esto es estar claro con tus objetivos estratégicos para la crisis.
• Toma de decisiones: Las decisiones deben ser tomadas a tiempo para que las acciones que se producen puedan ser eficaces. Para tomar decisiones necesitas información precisa y oportuna, las opciones para elegir y orientación sobre el tiempo disponible para hacerlo. También necesitas a la gente adecuada.
• Tomando acciones: Las decisiones son en realidad la expresión de los deseos en cuanto a lo que debería suceder. Tomar una decisión no es lo mismo que realizar las acciones en el lugar de los hechos. Las decisiones deben traducirse en acciones, asignar los equipos y monitorear el desempeño. El feedback sobre el progreso influye en nuestra Observación, de allí se inicia el ciclo una vez más.

La naturaleza de la crisis va a determinar la rapidez que necesita para poder ejecutar el ciclo OODA. ¡No es al revés!

Si deseas leer más sobre Continuidad de Negocios ingresa en la sección que tengo al respecto.

Entonces, ¿eres adepto o contrario al Ciclo OODA? ¿Habías escuchado antes del ciclo OODA? ¿Qué te parece el ciclo OODA? ¿Cómo lo aplicarías? Déjame tu respuesta en los comentarios.

Carlos Solís Salazar

Profesional en Seguridad de la Información

Artículos Relacionados:

• 
  Los 6 tips de IBM para preparar el Plan de Contigencias de una empresa
• 
  ¿Qué es un Sistema de Gestión de Continuidad de Negocio?
• 
  Para muchas empresas, todo desastre es un gran desastre
• 
  Creación un Plan de acción contra ataques DDoS
• 
  ISO 22301 vs. BS 25999-2 – Infografía
• 
  Continuidad del Negocio: Muchas organizaciones siguen sin estar preparadas

Google+