lunes, 1 de noviembre de 2010

Facilitando la madurez de la función de seguridad: Algunos arquetipos propuestos

Según un informe reciente de Forrester Research denominado “Use Organizational and Professional Archetypes to accelerate security organization maturity”, son las expectativas del negocio sobre la organización de la seguridad la que define el proceso de madurez de la función de seguridad de la información de una organización. Esto es, identificar el foco o interés particular de la alta gerencia sobre la protección de los activos de información y detallar las preocupaciones que estos altos ejecutivos tienen frente a sus grupos de interés.

En este sentido, el artículo establece cuatro arquetipos (modelos de referencia base) que permiten comprender focos de acción que los responsables de la seguridad de la información pueden tener, según los casos estudiados por la firma consultora. Los cuatro arquetipos de profesionales de la seguridad identificados son: security practitioner, security architect, security strategist y business partner. Los dos primeros hacen referencia a una vista eminentemente operacional y de cumplimiento, el siguiente se mueve por una vista de riesgos y el último como un facilitador del negocio.

Cuando se revisa el security practitioner, tenemos el especialista técnico de la seguridad, el cual se encuentra concentrado en las amenazas de seguridad y operación de controles tecnológicos, quien constantemente tiene como foco la realización de los análisis de vulnerabilidades, monitoreo de la infraestructura tecnológica de seguridad y el mantenimiento de su nivel de parches. Cuando encontramos este arquetipo en las organizaciones podemos advertir que la alta gerencia ve la función de seguridad como un componente técnico propio de la infraestructura y como guardián de la información en el nivel operacional de la misma.

De otra parte, cuando las regulaciones internacionales comienzan a ejercer presión sobre los objetivos de negocio, la reputación y el mantenimiento de un estatus en un entorno global, aparece el arquetipo del security architect, quien si dejar de mantener una vista operacional, traduce los requerimientos de seguridad en controles técnicos operativos, los cuales se incorporan de manera inmediata y algunas veces, sin mayores condiciones o estrategia de gestión del cambio, en la operación de la empresa. Esta distinción de la seguridad, que pasa de una vista de amenazas de seguridad a una de cumplimiento regulatorio, permite al responsable de la seguridad pensar un poco más allá del hacer y actuar en seguridad, para lanzarlo a comprender el verificar, como una función más de aseguramiento que de operación.

Muchas organizaciones se mantienen en estos dos arquetipos sin mayores cambios, dado que cumplen con las expectativas de la gerencia frente a sus preocupaciones con los activos de información. Sin embargo, cuando la función de seguridad de la información, sabe que hace parte del sistema de administración de riesgos de la empresa y que sus acciones están encaminadas a comprender y tratar los riesgos propios de la tecnología, hace su aparición el arquetipo denominado security strategist. Este modelo o desarrollo de la función de seguridad, es un momento en el que el responsable de la seguridad de la información comprende que su misión real, más allá de un hacer y un actuar en la infraestructura, es el planear y verificar que le permita conocer con mayor detalle las funciones de negocio y cómo a través de los flujos de información es capaz de ver su aporte a la ecuación de utilidad de la firma.

La distinción de riesgos sobre los activos de información es una forma concreta y real de advertir en el lenguaje de los ejecutivos de la firma, los niveles de exposición de la información y los impactos que se pueden tener por un inadecuado tratamiento de los mismos. El security strategist, sabe y comprende mejor su responsabilidad como asesor táctico del negocio, como función clave dentro de la manera como la empresa apalanca función generadora de valor en mediano y largo plazo.

Es frecuente escuchar en las juntas directivas y comités de alto nivel que la seguridad no habla el lenguaje de los negocios y que los negocios hablan un lenguaje de seguridad, cifrado en las expectativas de valor y generación de confianza con sus grupos de interés. Cuando la función de seguridad puede quebrar el criptosistema que recubre las peticiones de los presidentes de las empresas o mejor aún, el responsable de seguridad es capaz de proponer elementos de negocio basados en una estrategia de protección de la información que maduren y desarrollen las perspectivas de la gerencia, visibles en el pérdidas y ganancias tangible o intangible de empresa estamos hablando del arquetipo del Business Partner.

Este arquetipo comprende el riesgo empresarial y sus impactos en cada proceso de negocio, lo que le posibilita un lenguaje de riesgo articulado en las impresiones de la gerencia, que sabiendo los desbalances de los mercados y las afectaciones de sus portafolios de inversiones, son capaces de incorporar en estas reflexiones los impactos de las estrategias de seguridad, medibles y visibles en términos de percepciones de aseguramiento de operaciones y manejo de información. Un business partner, exige un proceso de madurez organizacional y propia de la función de seguridad que ha sabido crecer con las corrientes y expectativas del negocio, aprovechando cada momento para apalancar la generación de valor con las acciones e impactos de las medidas de seguridad en los flujos de información de la empresa.

El informe concluye diciendo que en la medida que se evoluciona desde una seguridad basada en la tecnología, a una basada en la administración de riesgos de flujos de información hacia una propuesta colaborativa de apalancamiento del negocio, en términos tangibles o intangibles, deberán agotarse diferentes instancias y reflexiones al interior de la empresa. En este camino el Chief Information Security Officer – CISO, deberá desarrollar una gran capacidad de persistencia basada en resultados y logros que lo catapulten al siguiente nivel. Este implica que cada logro, debe asegurar la sostenibilidad del mismo, con el fin de que sea posible continuar abriendo camino en la evolución de la distinción de seguridad de la información.

Por otro lado, sabiendo que deberá llegar a ser parte de la agenda de los ejecutivos de la empresa en el contexto mismos de los planes de negocio, deberá mantener y asegurar el ambiente de control y eficiencia táctica y operacional que soporte un funcionamiento confiable de la infraestructura, como parte natural del gobierno de la seguridad de la información que debe ejercer frente las necesidades diarias de la corporación, donde los arquetipos security practitioner y security architect podrán ser útiles.

Finalmente y no menos importante, este informe si bien muestra la curva de madurez que debe seguir la función de seguridad de la información en una organización, nos debe recordar que todo este ejercicio deberá estar mediado por el factor impredecible y retador de la seguridad como lo son los individuos. Esto es, desarrollar de manera paralela en este proceso la construcción de una cultura de seguridad enraizada en los mismos objetivos de negocio y cómo la información es un activo estratégico y táctico de la empresa, que hace la diferencia al efectuar los balances y los análisis económicos, al sopesar las estrategias de continuidad de operaciones y al mirar las nuevas oportunidades para generar valor en la empresa y sus grupos de interés.

Referencias
KARK, K. (2010) Use organizational and professional archetypes to accelerate security organization maturity. Forrester Research