Modelo de Análisis de Contexto y Stakeholders bajo Adversarialidad Dinámica
El contexto no es el escenario donde ocurre el riesgo: es el sistema que lo genera. Y ese sistema incluye a todos los actores, independientemente de su legitimidad declarada.” — Guido Rosales
El contexto no es el escenario donde ocurre el riesgo: es el sistema que lo genera
Modelo de Análisis de Contexto y Stakeholders bajo Adversarialidad Dinámica
Un enfoque basado en atributos de información y estados dinámicos de compromiso
El presente artículo propone un marco conceptual, denominado CAVRAM, que redefine el análisis de actores organizacionales desde una perspectiva sistémica y adversarial. Frente a los enfoques tradicionales que tratan a los stakeholders como entidades estables, el modelo CAVRAM incorpora la posibilidad de compromiso intencional y no intencional, estableciendo una tipología de cinco estados que van desde la integridad hasta la adversarialidad activa. La evaluación se articula sobre los atributos CIA+ como eje de análisis relacional e impacto. El concepto de desacople relación-impacto revela que el atributo que origina la dependencia no coincide necesariamente con el atributo más afectado en caso de compromiso. El modelo concluye con una matriz bidimensional que permite representar el entorno organizacional como un sistema dinámico donde la confianza debe ser continuamente validada.
- 01 Introducción: cuando el contexto deja de ser neutro
- 02 Fundamentos: sistemas complejos y adversarialidad dinámica
- 03 El stakeholder dinámico: redefinición conceptual
- 04 Tipología de estados del stakeholder
- 05 Grupos de stakeholders bajo enfoque adversarial
- 06 Atributos CIA+ como eje de análisis relacional
- 07 El desacople relación-impacto
- 08 La matriz bidimensional CAVRAM
- 09 Análisis epistemológico GAMO
- 10 Discusión
- 11 Conclusiones
- — Glosario de términos
- — Referencias
Introducción: cuando el contexto deja de ser neutro
El análisis de contexto y la identificación de stakeholders han sido abordados, en la mayoría de los marcos de gestión, desde una perspectiva esencialmente estática. Los actores son clasificados, sus intereses son catalogados y sus relaciones con la organización son representadas en mapas que se actualizan periódicamente. Esta aproximación es funcional en entornos relativamente predecibles.
Sin embargo, en entornos digitales caracterizados por alta interdependencia, complejidad sistémica y exposición permanente a amenazas, el supuesto de estabilidad de los actores resulta estructuralmente insuficiente. Los casos de compromiso en la cadena de suministro han evidenciado que actores legítimos pueden convertirse en vectores de riesgo sin intención consciente, alterando el equilibrio del sistema de formas no previstas por los modelos tradicionales.
El CAVRAM surge como respuesta a esta insuficiencia. No reemplaza los marcos existentes de análisis de stakeholders; los reencuadra desde una perspectiva adversarial dinámica, incorporando la posibilidad de transición entre estados de alineación y compromiso como propiedad inherente del sistema.
Fundamentos: sistemas complejos y adversarialidad dinámica
El CAVRAM se sustenta en la teoría de sistemas complejos adaptativos (Holland, 1995; Simon, 1969), donde los actores no son entidades estáticas sino agentes adaptativos capaces de aprender, ajustar su comportamiento y generar propiedades emergentes que no pueden predecirse desde el análisis de sus componentes individuales.
Bajo esta perspectiva, la adversarialidad no es una condición exclusiva de actores maliciosos externos. Es una propiedad emergente del sistema: puede surgir de la interacción entre actores legítimos, de la acumulación de vulnerabilidades no resueltas, de cambios en los incentivos de los actores o de la propagación de compromiso a través de las redes de dependencia.
Esta reinterpretación es conceptualmente significativa: el riesgo no solo proviene de quién ataca, sino de cómo el sistema genera las condiciones para que cualquier actor pueda convertirse en vector de daño. La adversarialidad dinámica implica que el estado de cualquier stakeholder debe ser evaluado en función de su posición actual en el sistema, no de su clasificación histórica.
El stakeholder dinámico: redefinición conceptual
En los modelos clásicos de análisis de stakeholders —desde Freeman (1984) hasta los marcos derivados de ISO 31000—, los actores son clasificados por su nivel de influencia e interés, y esa clasificación tiende a permanecer estable durante el ciclo de planificación.
El CAVRAM redefine al stakeholder como un actor dinámico cuya condición puede transitar entre estados de alineación y adversarialidad, afectando múltiples dimensiones del sistema en función de factores externos, internos y sistémicos.
Esta redefinición tiene tres implicaciones operativas directas: la evaluación del stakeholder no puede ser un evento periódico sino un proceso continuo; la confianza no puede ser un estado permanente sino una variable que requiere validación; y el análisis de riesgo debe incorporar no solo los actores actualmente adversariales sino los actores potencialmente transicionables.
Tipología de estados del stakeholder
El CAVRAM establece cinco estados que describen la condición de un stakeholder respecto a su alineación con los objetivos de la organización. Estos estados no son categorías fijas: representan posiciones en un continuum dinámico, y cualquier actor puede transitar entre ellos en cualquier dirección.
Grupos de stakeholders bajo enfoque adversarial
El CAVRAM identifica cinco grupos de stakeholders en función de su posición relacional con la organización y su capacidad de impacto adversarial. El modelo asume que todos los grupos pueden transitar hacia estados adversariales, eliminando la noción de zonas inherentemente seguras.
| Grupo | Actores incluidos | Atributo dominante | Implicación adversarial | Principio |
|---|---|---|---|---|
| Núcleo interno | Personal, directivos, equipos técnicos y operativos | Confidencialidad / Integridad | Acceso privilegiado y conocimiento estructural. Un compromiso interno puede afectar múltiples atributos simultáneamente. | El actor de mayor confianza operativa puede ser el vector de mayor impacto sistémico. |
| Extensión operativa | Proveedores tecnológicos, servicios tercerizados, APIs, plataformas en la nube | Disponibilidad / Integridad | Relación funcional que extiende el perímetro. El caso SolarWinds ilustra el vector de compromiso no consciente en este grupo. | El perímetro organizacional termina donde termina la relación, no donde termina el contrato. |
| Ecosistema relacional | Clientes, aliados estratégicos, integradores, socios de negocio | Autenticidad / No repudio | La confianza relacional puede ser explotada bidireccionalmente. Un aliado comprometido puede convertirse en vector de acceso. | La confianza relacional no es simétrica: el nivel de dependencia puede ser muy distinto en cada dirección. |
| Entorno regulatorio | Reguladores, competidores, organismos sectoriales, mercado | No repudio / Confidencialidad | La regulación crea dependencias de información. La exigencia de transparencia puede crear superficies de exposición. | La regulación que exige transparencia puede, en entornos adversariales, crear superficies de exposición. |
| Adversarios externos | Actores maliciosos organizados, crimen organizado digital, actores de amenaza persistente | Todos los atributos | No existe relación legítima. Su análisis orienta el diseño de controles para todos los demás grupos. | El adversario externo es el catalizador que activa los vectores latentes en los demás grupos. |
Atributos CIA+ como eje de análisis relacional
El CAVRAM amplía la tríada clásica CIA —confidencialidad, integridad y disponibilidad— incorporando dos atributos adicionales: autenticidad y no repudio. Esta ampliación responde a la necesidad de capturar dimensiones del riesgo que los modelos basados únicamente en la tríada no contemplan.
| Atributo | Definición operativa | Stakeholder dominante | Impacto en caso de compromiso |
|---|---|---|---|
| Confidencialidad | Garantía de que la información es accesible solo por actores autorizados | Núcleo interno / Ecosistema relacional | Exfiltración de datos, exposición de información sensible, pérdida de ventaja competitiva |
| Integridad | Garantía de que la información no ha sido alterada sin autorización | Extensión operativa / Núcleo interno | Corrupción de datos de decisión, manipulación de registros, alteración de actualizaciones de software |
| Disponibilidad | Garantía de que los sistemas e información son accesibles cuando se necesitan | Extensión operativa | Interrupción de servicios críticos, denegación de acceso a sistemas de continuidad operativa |
| Autenticidad | Garantía de que la identidad de los actores e información es verificable y genuina | Ecosistema relacional | Suplantación de identidad, inyección de actores falsos en la cadena de relaciones |
| No repudio | Garantía de que las acciones y transacciones pueden ser atribuidas de forma irrefutable | Entorno regulatorio | Negación de responsabilidad, disputas de transacciones, pérdida de trazabilidad legal |
El desacople relación-impacto: un riesgo sistémico no evidente
Uno de los aportes conceptuales más relevantes del CAVRAM es la identificación del desacople relación-impacto como fuente de riesgo sistémico estructural. Este fenómeno describe la condición por la cual el atributo de información que origina la dependencia con un stakeholder no coincide con el atributo más afectado en caso de compromiso.
El caso más frecuente y más peligroso: una relación basada en disponibilidad —proveedor de servicios en la nube, API crítica— puede derivar, en caso de compromiso, en impactos devastadores sobre la integridad y la confidencialidad. La organización diseñó sus controles para proteger la disponibilidad; el adversario atacó la integridad de los datos accesibles a través de ese canal.
Este desacople tiene una consecuencia metodológica directa: el análisis de riesgo basado únicamente en el atributo dominante de la relación subestima sistemáticamente el impacto potencial del compromiso. El CAVRAM resuelve esto mediante la evaluación bidimensional de cada intersección stakeholder-atributo.
La matriz bidimensional CAVRAM
El resultado operativo del modelo se materializa en una matriz bidimensional que cruza los grupos de stakeholders con los atributos CIA+. Para cada intersección se registran dos valores independientes, lo que permite revelar patrones que ningún análisis unidimensional puede capturar.
La matriz no es una herramienta de mitigación. Es una herramienta de representación del terreno adversarial: permite comprender la topografía del riesgo relacional antes de diseñar las respuestas. La construcción de la matriz requiere evaluación continua: los valores no son estáticos porque los estados de los stakeholders cambian.
Análisis epistemológico GAMO
El marco GAMO permite examinar el CAVRAM desde cuatro dimensiones epistemológicas, evidenciando que el modelo no es solo una herramienta técnica de clasificación, sino una propuesta que redefine el conocimiento, los valores, el método y la ontología del análisis de contexto organizacional.
| Dimensión | Análisis GAMO aplicado al CAVRAM | Implicación para el diseño del modelo | Principio resultante |
|---|---|---|---|
| Gnoseológica | El análisis de contexto tradicional produce conocimiento estático sobre actores que son, en realidad, dinámicos. Lo que una organización sabe sobre sus stakeholders es siempre incompleto y potencialmente desactualizado: el estado del actor puede haber cambiado desde la última evaluación. | El conocimiento sobre los stakeholders debe construirse como proceso continuo, no como inventario periódico | Conocer a un stakeholder en un momento no es conocerlo: es fotografiarlo |
| Axiológica | La confianza como valor organizacional es una condición necesaria para operar, pero cuando se aplica de forma estática se convierte en vulnerabilidad. El modelo propone que la confianza debe ser un valor dinámico: validado continuamente, no asumido estructuralmente. | La confianza debe ser un proceso, no un estado. Otorgarla sin validación continua es asumir riesgo implícito | La confianza que no se valida se convierte en superficie de ataque |
| Metodológica | Los modelos de gestión de stakeholders basados en auditorías periódicas y clasificaciones estáticas no son coherentes con la naturaleza dinámica del riesgo adversarial. El CAVRAM propone una metodología basada en atributos, estados y evaluación bidimensional continua. | El método de análisis de stakeholders debe ser tan adaptativo como el entorno que busca representar | Una metodología estática aplicada a un sistema dinámico produce respuestas incorrectas con precisión aparente |
| Ontológica | El stakeholder no es una entidad fija con características permanentes: es un actor dinámico cuya condición puede transitar entre estados. Esta redefinición tiene consecuencias directas sobre cómo se diseñan los sistemas de monitoreo y los modelos de confianza organizacional. | El entorno organizacional no es un espacio neutral con actores conocidos: es un sistema dinámico donde cualquier actor puede transitar hacia condiciones adversariales | La adversarialidad no requiere intención: emerge de la interacción entre actores y el sistema |
Discusión: implicaciones para el diseño organizacional
El CAVRAM tiene implicaciones directas sobre cómo las organizaciones diseñan sus sistemas de gobernanza de riesgo, sus modelos de confianza y sus mecanismos de monitoreo del entorno. La primera implicación es que el análisis de contexto debe migrar de un proceso periódico a una función continua, integrada en los ciclos operativos de la organización.
La segunda implicación afecta al diseño de controles: si el impacto adversarial potencial de un stakeholder puede diferir significativamente del atributo que origina la relación, los controles diseñados únicamente en función del atributo dominante son estructuralmente insuficientes.
En el contexto boliviano, donde las organizaciones del sector financiero operan bajo el RGSI con recursos limitados, el CAVRAM ofrece un marco de priorización: la matriz permite identificar cuáles son los nodos de mayor concentración de riesgo sistémico y orientar los recursos de evaluación continua hacia ellos.
Este artículo se conecta con la línea de investigación doctoral en desarrollo: el Modelo de Innovación Continua Adversarial requiere una representación precisa del entorno adversarial como condición previa para la innovación en respuesta. El CAVRAM proporciona esa representación.
Conclusiones
Términos clave del artículo
Referencias
Freeman, R. E. (1984). Strategic Management: A Stakeholder Approach. Pitman.
Holland, J. H. (1995). Hidden Order: How Adaptation Builds Complexity. Addison-Wesley.
ISO 31000. (2018). Risk Management — Guidelines. International Organization for Standardization.
MITRE. (2023). ATT&CK Framework: Adversarial Tactics, Techniques and Common Knowledge (v14). MITRE Corporation.
NIST. (2018). Framework for Improving Critical Infrastructure Cybersecurity (v1.1). National Institute of Standards and Technology.
NIST. (2012). Guide for Conducting Risk Assessments (SP 800-30 r1). National Institute of Standards and Technology.
Perrow, C. (1984). Normal Accidents: Living with High-Risk Technologies. Basic Books.
Simon, H. A. (1969). The Sciences of the Artificial. MIT Press.
Teece, D. J., Pisano, G., & Shuen, A. (1997). Dynamic capabilities and strategic management. Strategic Management Journal, 18(7), 509–533.
Weick, K. E. (1995). Sensemaking in Organizations. Sage Publications.
Autor / Redactor / Director
