domingo, 23 de agosto de 2009

Cultura de Seguridad de la Información: Entendiendo una percepción

Revisando el editorial de la Revista de ACIS, "Entendiendo la inseguridad de la información" (http://www.acis.org.co/fileadmin/Revista_105/editorial.pdf) y las anotaciones del autor del libro "Managing the Human factor in Information Security", David Lacey, (http://www.amazon.com/Managing-Human-Factor-Information-Security/dp/0470721995/ref=sr_1_1?ie=UTF8&s=books&qid=1251001834&sr=1-1) comprender los comportamientos de las personas frente a los temas de seguridad es un tema de percepción, de valoración personal de acuerdo a múltiples variables que sólo cada persona conoce y sabe.

La psicología de la seguridad de la información pasa por un reconocimiento del riesgo, por una percepción del mismo, que mantiene o no alerta a la persona frente a situaciones que pueden vulnerar su espacio individual o comunitario cuando de manejo de información u otra situación se trate. Mientras unos somos más proclives a tomar riesgos, otros no lo somos tanto. La exposición a los riesgos depende de nuestras experiencias previas y situaciones que nos han llevado a tomar decisiones para avanzar o ser más prevenidos ante los eventos inesperados.

Cuando nos sentimos más confiados y confortables en nuestro entorno, se percibe una sensación de protección, que nos anima a tomar mayores riesgos y acciones, pues elementos en el contexto de nuestra decisión nos dicen que es posible actuar con tranquilidad y sin miedos. En este sentido, nuestra prevención y posición de alerta se disminuye y se abre la posibilidad para la materialización de un hecho no previsto.

Cuando advertimos un ambiente hostil, poco confiable y lleno de incertidumbre, nuestras acciones podrán ser conservadoras y prudentes, o lanzadas y temerarias, dependerá de nuestro apetito al riesgo y de nuestra historia frente a decisiones similares. Podríamos decir que en entornos agrestes y desconocidos, nuestra memoria de riesgos se activa y percibe los niveles de incertidumbre que podemos manejar y nos cuestiona cuando dichos límites se vulneran o sobrepasan.

En este contexto, una cultura de seguridad de la información se basa en que tan bien una organización es capaz de gobernar y administrar los incidentes que se presentan. Cómo se enfrenta la incertidumbre de la falla y a sus efectos inesperados. Una cultura de seguridad de la información que encuentra en la inevitabilidad de la falla la fuente de sus supuestos, es capaz de modificar las prácticas expuestas y en uso, en una realidad concreta que se materializa en comportamientos confiables de las personas.

Es decir, una cultura de seguridad que reconoce en los incidentes o materialización de los riesgos, una forma de actuar y conocer que tan inseguros son, es capaz de construir un lenguaje de seguridad, de percepción, no basado en una visión de invulnerabilidad tecnológica, sino en la confiabilidad de su reacción humana frente a la vulnerabilidad propia de los sistemas. Construir una cultura de seguridad alrededor de los incidentes, es destruir la falsa sensación de seguridad y diseñar un sistemas preventivo que cree en las buenas prácticas y en el ser humano contingente.

David Lacey define un incidente como la aplicación sistemática de malas prácticas de seguridad, una definición que nos dice que somos responsables por fortalecer nuestras acciones frente a la inseguridad, una búsqueda constante para descifrar los supuestos básicos de la seguridad de la información en un contexto real. Esto es, comprender nuestro entendimiento de los riesgos en el diario hacer, actuar conforme a ese entendimiento y hacer visible nuestra acción en los procesos de negocio.

Si no entramos a descubrir cómo psicológicamente entendemos la inseguridad y sus efectos de percepción en nosotros, no podemos tener una clara visión de nuestras acciones frente a situaciones de riesgo. Si no valoramos la información como lo que ella es, un activo de la organización, si no reconocemos en los procesos de negocio la importancia de la información, estamos advirtiendo una dinámica organizacional dispersa y animada por una informalidad en la administración de sus riesgos de información.

Por lo anterior, la sensación de seguridad, particularmente en temas de gestión de información, consiste en dimensionar las actividades de los procesos de negocio, los riesgos que se derivan del manejo de la información y la valoración y estimación que de ella efectúa la alta gerencia. Cuando las expectativas del nivel directivo establecen que la información es un bien crítico y sensible para la permanencia de la organización, cada uno de los colaboradores activa el programa de prevención y control de los riesgos de seguridad. Si el nivel directivo no muestra interés legítimo con sus actuaciones sobre la protección de los recursos de información, la organización sabrá que la pérdida de información, la inconsistencia de archivos y eliminación de éstos, son eventos que deben asumir el área de tecnología y no cada uno de ellos.

Así las cosas, una cultura de seguridad de la información no sólo requiere especialistas técnicos en tecnologías de seguridad de la información, sino especialistas organizacionales en administración del riesgo, que canalicen los planes de seguridad y control acordes con la percepción y apetito al riesgo de sus participantes. No sin antes acotar, que la seguridad supone la exposición a situaciones riesgosas, como una manera de conocer los impactos de las medidas y la efectividad de sus controles.

La cultura de seguridad de la información es un control suave que reconoce en el ser humano su inteligencia emocional y espiritual, así como sus aciertos y fallas. De igual forma, estima sus valoraciones e inclinaciones, sus impulsos y restricciones, todo ello para decirle a su entorno que lo conoce y que aprende él, no para controlarlo o desafiarlo, sino para advertirle que a pesar de que pronto nos volverá a sorprender, habrá una posición vigilante y animada para ir más allá de la confianza de nuestras predicciones.

Una cultura de seguridad de la información fuerte y consistente, no habla de una empresa sin incidentes de seguridad, ni fraudes, sino de una que destruye sus propias autorestricciones para conocer y atender nuevas formas de equivocarse.

3 comentarios: