domingo, 15 de julio de 2012

Auditando la inseguridad de la información

Introducción
Muchas publicaciones especializadas nos hablan de tiempos de incertidumbre, de tiempos retadores y comportamientos inestables. Las condiciones de las economías globales no son las mejores y nuevos actores hacen presencia en los mercados actuales, anunciando nuevas amenazas o bien nuevas oportunidades para descubrir potencialidades latentes en las empresas y las personas. (ILTA 2012)

Por tanto, las organizaciones deben advertir este nuevo estado permanente de su entorno, lo que implica necesariamente tratar de darle a un blanco en movimiento y que de alguna forma, nos exige variar cada momento la forma de aproximarnos a la realidad. Lanzarse a equivocarse de manera planeada o lo que Schoemaker (2011) denomina “errores brillantes”, debe ser ahora la forma como debemos asumir el reto de crear un futuro dinámico, un futuro lleno de inestabilidades y caídas de paradigmas, que nos compromete a tener una vista de riesgos emergentes como competencia básica de los visionarios que viven en un contexto de un devenir aún no concebido.

Esta lectura de la realidad, que hace evidente la incertidumbre natural propia de los riesgos, nos recuerda que la inseguridad de la información como visión dual de la protección de la información, exige una vista sistemática y sistémica de las relaciones propias con el entorno, para entrar en la profundidad de sus efectos y la emergencia de sus resultados, aún cuando éstos no se hayan previsto.

En consecuencia, tratar de auditar la experiencia de la inseguridad de la información, es arriesgarnos a cometer “errores brillantes” y explorar las “memorias de un futuro” que aún está por escribirse, en el viaje que toda persona u organización está dispuesta a hacer para encontrarse con sus sueños y tomar el riesgo de ser diferente. (SOLOMON 2011)  

El ejercicio de auditoría interna
Siguiendo el estándar de prácticas del Instituto de Auditores Interno (IIA en inglés), los departamentos de auditoría interna requieren adelantar anualmente un ejercicio de administración de riesgos de sus evaluaciones de riesgos realizadas. Esto es, una evaluación de lo conveniente de los métodos y estimaciones realizadas en el entendimiento de los riesgos propios de las áreas en clave de los objetivos estratégicos de la empresa, con el fin de movilizar a la organización desde la conciencia de sus riesgos. (GOLDBERG, D. 2012)

En este sentido, las técnicas para comprender la exposición de la organización a las fuerzas desestabilizadoras del mercado, de la tecnología y de las tendencias innovadoras de los competidores, no es un ejercicio lineal, basado en un paradigma causa efecto, sino en un entendimiento de la incertidumbre propia de las condiciones anteriores y cómo ellas pueden ser simuladas frente a escenarios posibles en los cuales la organización, con una alta probabilidad, podrá ser impactada.

Para lograr esto, los auditores actuales deben renovar y repensar sus técnicas y referentes naturales para desarrollar una competencia especial que les permita someterse al rigor de la inevitabilidad de la falla, la asimetría de los mercados y la inestabilidad de los negocios modernos. En este contexto, los profesionales de la auditoría moderna deberán estar atentos a los movimientos de la tecnología en el entorno social para ver cómo madura la forma como se escribe a diario la historia de las organizaciones de manera instantánea, móvil y en la nube. (ILTA 2012b)

Entendiendo la inseguridad de la información
Entendiendo que la inseguridad de la información implica “(…) comprender las relaciones entre los objetos revisados y considerar las reacciones mismas entre estas que pueden sugerir efectos no predecibles en los modelos causales. (…) ” (CANO 2004), advertimos que lanzarnos a desarrollar un ejercicio de administración de riesgos sobre la inseguridad, es sumergirnos en una técnica eminentemente sistémica (relacional) que haga énfasis, más que en los objetos mismos de auditoría, como pueden ser las personas, la tecnología y los procesos, en la forma como ellos se relacionan para establecer un modelo de riesgos extendido y propio de dichas relaciones identificadas.

Este ejercicio exige al auditor descubrir la inseguridad de la información en cada uno de los niveles de análisis que tenga como alcance (estratégico, táctico y operacional) y crear un nuevo lenguaje de riesgos que vaya más allá de las clasificaciones estándar como pueden ser errores u omisiones, multas y/o sanciones, por otras como incremento de la falsa sensación de seguridad, conflictos emergentes por dilemas de autonomía, potenciales vulnerabilidades emergentes, que anticipen un escenario de riesgos posibles, más que un análisis de lo que ocurre actualmente.

Es claro que el auditor, deberá encontrar en cada uno de los elementos base mencionados, tendencias y riesgos propios de éstos, los cuales deberá usar como referente para analizar lo que ocurre, sin embargo sólo en un revisión diagnóstica, en el ejercicio de comprender el porqué ocurren las cosas, dichas tendencias deberán articular un mapa estratégico complejo y alineado con la realidad del entorno, para ver patrones no lineales que se esconden más allá de las orientaciones identificadas en los referentes naturales.

La realidad de un mundo interconectado y la gerencia
Así las cosas, auditar la inseguridad de la información en un mundo interconectado como el actual, requiere entender la complejidad del realidad que se encuentra en los ojos del observador y el número de condiciones y variables propias de las condiciones actuales del sistema bajo observación, que no es otra cosas que prepararnos para desaprender de la dinámica de los actores y renovar los lentes de la doctrina de seguridad y control, más allá de un ejercicio eminentemente restrictivo, por uno de empoderamiento personal, reconocimiento del valor y respeto por la diferencia.

La inseguridad de la información como concepto básico para entender la seguridad, no puede ser un enemigo a destruir u objetivo a conquistar, sino la herramienta base de la auditoría moderna de la seguridad de la información, donde el auditor encuentra la fuente de los riesgos actuales y futuros, para revisar y repensar sus recomendaciones.

Esto es, la generación de valor, esa forma diferente a través de la cual entendemos la realidad interior y transformamos la realidad exterior de las empresas para desequilibrar el mercado y alcanzar una posición estratégica privilegiada, debe ser la motivación de los ejercicios de valoración de riesgos extendidos (no tradicionales), para que leídos en la agenda de los ejecutivos de negocio, sea fuente de reflexiones político-estratégicas que lleven la empresa a nuevas formas de navegar en medio de la turbulencia de los mercados.

Auditando la inevitabilidad de la falla
El reto de los encargados de la seguridad de la información es equivalente al de los auditores corporativos: leer en medio de la incertidumbre del entorno empresarial los riesgos emergentes que impacten la generación de valor de la empresa bien en términos de protección de la información o el posicionamiento de la empresa respectivamente.

En este sentido, lanzarse a efectuar predicciones resulta irresponsable en la medida que no se cuente con el entrenamiento de una mente acostumbrada a ver “al margen de las hojas”, pues estará avocada a tratar de repetir lo que la realidad le indica.

Por tanto, el auditor como el encargado de seguridad de la información deben exponerse a un ejercicio de escenarios para pensar el futuro de manera diferente y tratar de hacer los mejores pronósticos basado en la detección y construcción de patrones no comunes, que le den una idea de cómo será el futuro y, basado en esa reflexión planear sus estrategias de aprendizaje, sabiendo que lo inesperado, asimétrico y volátil será la constante en su ejercicio permanente para hacer que las cosas pasen.  

Referencias
ILTA Magazine (2012) Reinvent yourself in challenging times. June. Disponible en: http://read.uberflip.com/i/67910 (Consultado: 14-07-2012)
ILTA Magazine (2012b) Risky Business. White papers. Disponible en: http://www.iltanet.org/MainMenuCategory/Publications/WhitePapersandSurveys/Risky-Business.html (Consultado: 14-07-2012) SOLOMON, C. (2011) The courage challenge workbook. OPR Publishers.
SCHOEMAKER, P. (2011) Brillant mistakes. Wharton Digital Press
GOLDBERG, D. (2012) The importance of the ARA – Audit Risk Assessment. ISACA Journal. Vol.4
CANO, J. (2004) Inseguridad Informática. Un concepto dual en seguridad informática. Revista de Ingeniería. Universidad de los Andes. No.19. Mayo. Pp 40-44. ISSN: 0121-4993. Disponible en: http://revistaing.uniandes.edu.co/pdf/Rev19-4.pdf (Consultado: 14-07-2012)