domingo, 8 de diciembre de 2013

¿Qué tan seguros somos? El reto de presentar el reporte de la inseguridad de la información a la Junta Directiva.


Introducción
Un reto permanente para los ejecutivos de seguridad de la información es presentarse en la junta directiva de sus organizaciones, entender la dinámica política que existe en ese nivel y poder transmitir el mensaje correcto que apalanque sus iniciativas y promueva una mayor sensibilidad del tema en medio de las agitadas agendas de los miembros de la junta. (HEATH, C. y HEATH, D. 2011)
 
En este sentido, el responsable de la protección de la información, busca la manera de obtener la percepción de lo que están pensando en este nivel, sin que muchas veces lo logre con especial acierto, toda vez que es por medio de terceros que recibe dichos insumos. Así las cosas, los directivos de seguridad de la información, se encuentran en una encrucijada que les demanda por un lado, dar resultados visibles y tangibles, y por otro, hablar con suficiencia y claridad ante los ejecutivos de primer de la empresa, sin caer en los tecnicismos y jerga tentadora de la seguridad tecnológica y sus amenazas.
 
Para balancear este ejercicio necesario del reporte de la seguridad de la información en los primeros niveles de las empresas, se hace necesario entender que no existe el riesgo cero y por tanto, todos los esfuerzos que se adelanten desde el área de seguridad de la información buscarán mantener a la organización en un umbral de riesgo permitido, balanceando recursos e insumos a nivel de persona, procesos y tecnología.
 
En este contexto, un reciente documento de Forrester, nos propone un conjunto de cinco interrogantes que cualquier CISO – Chief Information Security Officer o Ejecutivo de la Seguridad de la Información, debería responder con claridad y suficiencia para crear un esquema consistente y motivador frente a la dinámica de las juntas directivas. Esto es, poder enviar un mensaje transparente que no subestime los esfuerzos actuales realizados, pero que tampoco desdibuje las iniciativas planteadas a futuro para anticiparse a los riesgos y amenazas emergentes identificados.


Las preguntas planteadas por el analista de Forrester son: (ROSE 2013)

1.      ¿Cuáles son las tendencias nuevas y emergentes?
2.      ¿Cuáles son nuestros planes y nuestro avance frente a ellas?
3.      ¿Cómo nos podemos comparar contra otras empresas del sector?
4.      ¿Cuál es la brecha que tenemos frente a la situación ideal?
5.      ¿Cuáles son las potenciales consecuencias de las brechas identificadas?
 
Cada una de estas preguntas indaga en la médula de la gestión del responsable de la seguridad de la información y le extiende una invitación para pensar de manera estratégica y fundada en los activos claves de negocio, donde la información se convierte en insumo y referente natural para que la organización asuma los riesgos calculados para crear el movimiento disruptivo requerido para llevarla al siguiente nivel de evolución, donde sólo tienen reservado lugar los que se han lanzado a crear una forma diferente de hacer las cosas.
 
Tendencias nuevas y emergentes
Si alguna industria es susceptible a los nuevos cambios tecnológicos y nuevas oportunidades de negocio, es claramente la seguridad de la información. Una industria que tiene su referente en el activo más representativo de las organizaciones del siglo XXI, en el insumo y materia prima para construir y crear los nuevos escenarios emergentes que están por escribirse.
 
Las tendencias nuevas y emergentes en seguridad de la información no se pueden quedar en aquellos eventos y realidades conocidas, sino que es deber del ejecutivo de seguridad de la información lanzarse a explorar posibilidades desconocidas y poner de manifiesto en su tablero de amenazas y riesgos emergentes, un paisaje multicolor de expresiones y experiencias que pueden o no estar documentadas, para motivar el pensamiento lateral y activar nuestra imaginación de manera disciplinada para ver el futuro en el momento presente.
 
Sin perjuicio de lo anterior, es claro que los reportes de los analistas especializados, las reflexiones de los miembros de la junta, las preocupaciones de los analistas del mercado y los cambios del entorno advertidos en ejercicios realizados por equipos internacionales, son elementos fundamentales para poder advertir lo que se visualiza en el mediano y largo plazo. Sin embargo, estas anotaciones particulares, basadas en ejercicios de pronóstico, deberán articularse con la exploración del futuro que no es posible tener sin el permiso de las posibilidades y no de las probabilidades.
 
Como quiera que el ejercicio de explorar el futuro, es un proceso de tratar de darle a un blanco en movimiento, se requiere que todos aquellos que participan en él, experimenten la sensación de estar “perdidos” y “desorientados”, pues sólo en esa condición de contradicción inherente, es posible advertir aquellos conceptos innovadores que son necesarios para sumergirse en la dinámica de la inseguridad de la información, que no es otra cosa que encontrarnos frente a frente con la inevitabilidad de la falla.
 
Las tendencias nuevas y emergentes, no son otra cosa que lanzarnos a explorar las asimetrías de las fallas en las personas, procesos y tecnología, para encontrar nuevas historias de eventos inesperados que podamos advertir, conocer, probar y ejecutar, para así explorar las consecuencias de haberlas materializado. Por tanto, se requiere que un equipo mantenga su vista sobre los incidentes de la industria particular de la empresa, las advertencias de seguridad de las tecnologías y los comportamientos inadecuados de las personas, para comenzar a escribir el escenario emergente donde aún no se conocen sus impactos.
 
Cuando el reto de declarar las tendencias de los riesgos y amenazas emergentes aparezca, recuerde que habrá mucho que leer, mucho que revisar y documentar, antes de establecer una visión en el horizonte. Este es un ejercicio que si bien no es exacto, si pone a prueba la experiencia de los analistas y el buen criterio del ejecutivo de seguridad, así como sus conocimientos de la industria para dar una vista lo más cercana posible que genere la confianza en el cuerpo directivo de primer de la empresa.
 
Planes y avances
Luego de tener un panorama mediamente claro sobre las amenazas y riesgos emergentes en seguridad de la información, la tendencia natural de los ejecutivos es preguntar sobre los riesgos conocidos y los planes de tratamiento se tienen establecidos, qué nivel de avance se tiene y si con estas acciones, tenemos un nivel riesgo residual aceptable.
 
La necesidad de certeza de los ejecutivos y el conocimiento del nivel de riesgo de exposición, es una constante en los cuerpos directivos. Si bien esta preocupación, generalmente asociada con el riesgo de reputación, mantiene alertas a estos ejecutivos, se requiere que dicho interés trascienda dichos elementos para que encuentren otros elementos de análisis que integren su panorama de riesgos empresariales frente a la dinámica político-corporativo que reviste a la junta directiva. (MONTAÑES DUATO 2003)
 
Los planes de acción son la vista táctica de la revisión del panorama de tendencias, es decir, la parte de la ejecución de la estrategia de seguridad de la información, que requiere la coordinación de las iniciativas en los tres componentes del modelo de protección de la información: personas, procesos y tecnología. Esto es, describir de manera lógica y articulada como la realidad de los negocios empresariales se ve afectada por la dinámica de la inseguridad de la información y sus impactos.
 
Las acciones previstas en los planes de tratamiento de los riesgos, generalmente orientadas por probabilidad e impacto, deben incorporar las reflexiones estratégicas de los negocios de la empresa, para imprimir la impronta de las consecuencias que exhiben la materialización de los riesgos y así, enviar un mensaje claro y efectivo a los miembros de la junta directiva, no como una advertencia sobre posible hechos que afecten las operaciones de la empresa, sino como un llamado proactivo para crear condiciones que hagan más resistente la empresa frente a las amenazas y riesgos en el tratamiento de la información.
 
Todo lo anteriormente comentado debe estar ajustado a cronogramas, entregables, productos en operación, resultados e indicadores que permitan reportar a la junta directiva que los recursos dispuestos para el aseguramiento de la organización en términos de seguridad y control se están ejecutando de acuerdo con lo previsto y con las condiciones de aseguramiento que aumenten la capacidad de la empresa para responder y actuar frente a condiciones inseguras.
 
Habida cuenta de lo anterior, cuando sea interrogado sobre los planes articulados y los resultados esperados de los mismos, recuerde las promesas del umbral de riesgo permitido y aprobado por la organización, para que sus esfuerzos den respuesta a las expectativas de la junta directiva, como insumo para construir un colectivo de percepción de riesgo conocido que requiere atención permanente para avanzar en medio de las expresiones inesperadas de la inseguridad de la información.
 
Compararse con otros
El ejercicio de compararse con otros es saludable en la medida que nos permite conocer prácticas y experiencias de cosas que no debemos hacer o aquellas que podemos hacer de manera diferente. Es importante aprender del éxito de los otros, así como sus lecciones aprendidas.
 
La complejidad de las actividades y retos de cada organización en seguridad de la información no es óbice para que retemos el estado actual de la práctica de la protección de la información en sus tres componentes: personas, procesos y tecnología. En este sentido, consultar lo que otros han hecho en situaciones semejantes en su propia industria, da un parámetro de referencia que nos permite medir que tanto tenemos y cuanto esfuerzo y madurez se requiere para llegar a un nivel equivalente.
 
Una forma de indagar en el ejercicio de la práctica de seguridad de la información con otra organización se manifiestas frente a las exigencias de cumplimiento normativo tanto nacional como internacional. Estos es, cómo se han comprometido para movilizar las prácticas de protección de la información desde el cambio de comportamiento de las personas frente a los datos hasta las inversiones requeridas frente a tecnologías modernas de aseguramiento que mantengan una vista actualizada de la realidad de la seguridad en la empresa.
 
En consecuencia, no es opcional para el ejecutivo de seguridad de la información efectuar estudios de referenciación permanentes frente a su práctica, para retar su gestión y gobierno de la seguridad de la información, para comprender que tanto se ha movido la brecha de la protección en función de las buenas prácticas internacionales y de las motivaciones de la inseguridad, que se esconde en sitios inesperados e inexplorados en la práctica empresarial.
 
Para lograr un ejercicio efectivo de comparación entre compañías se requiere bien un tercero de confianza que vincule a los participantes o acuerdos entre empresas que creen el ambiente de confianza requerido para compartir lo bueno, lo malo y lo feo de cada uno de ellos, con el fin de establecer un escenario de aprendizaje mutuo y asistencia grupal que permita el surgimiento de capacidades y habilidades complementarias en cada empresa, como fruto de la apertura para revelar aquello del cual no sabemos.
 
Por tanto, cuando se te exija abrirte a la comparación y referenciación con un tercero de la práctica de seguridad de la información, no olvides que la humildad y apertura para aprender son las dos condiciones necesarias y suficientes para encontrarnos con las realidades de nuestra práctica y explorar nuevas posibilidades frente a referentes de cumplimiento inexplorados y reconocimiento de los mismos no solo como reglas a cumplir sino como comportamientos para incorporar en el ejercicio de proteger la información.
 
La brecha actual y la situación ideal
Casi que la pregunta en este contexto es cuál es la madurez que tiene la función de seguridad de la información de la empresa. Un interrogante que a la fecha no tiene una respuesta concreta toda vez que modelos referentes y prácticas internacionales no reportan indicaciones concretas que permitan establecer una sugerencia particular para seguir.
 
Los modelos de madurez que se tienen a la fecha se basan en estados muy definidos y concretos que suponen una correlación de variables internas, lo cual no es del todo exacto, pues algunas variables que se dicen influir para lograr el nivel, no siempre motivan los cambios requeridos en el nivel concreto. Esto es, que los modelos de madurez requieren una revisión sistémica de sus variables y encontrar las relaciones más relevantes para construir una vista más ajustada a la realidad que se quiere validar.
 
Así las cosas, los modelos de madurez en seguridad de la información, son más comparaciones de prácticas referentes que pueden sugerir un estadio de evolución más que de madurez. Mientras el concepto de evolución está asociado a la forma como un objeto se transforma de una condición a otra, la madurez, nos habla sobre la forma como un ser supera etapas de desarrollo y crecimiento para ver el mundo en perspectiva, con criterio para actuar, más que con teorías para aplicar.
 
La brecha de la que hablamos en este aparte, se establece desde el referente de los negocios, como una forma aterrizada para conocer de aquellos eventos que han sido detectados en el ejercicio de la función de seguridad de la información. Es decir, las manifestaciones de la inseguridad de la información en los negocios, presentan la manera como la organización entiende la brecha de seguridad, no como responsabilidad del ejecutivo de seguridad de la información, sino como aspecto relevante en el desarrollo de sus prácticas de operación para materializar los resultados corporativos.
 
Cuando no tenemos clara la brecha frente al ideal que queremos en seguridad de la información en la empresa, desconocemos el apetito al riesgo que la empresa maneja y por tanto, damos oportunidad para que la inseguridad de la información tenga mayor margen de operación. Por tanto, se hace más dispendioso poder identificar las iniciativas más relevantes para el negocio y por tanto, priorizar los esfuerzos que alineen sus expectativas con el escenario de riesgos y amenazas emergentes de su sector de industria.
 
En consecuencia, cuando le pregunten cuál es su brecha frente al ideal de seguridad de la información que quiere la empresa, busque referentes en su industria y aterrice la experiencia de los mismos en la dinámica de su empresa, no solo recabando los eventos relevantes para su ejercicio de comparación, sino explorando el apetito al riesgo propio de sus ejecutivos de primer nivel, para recorrer los pasos de junta directiva frente a la dinámica empresarial y su impacto en el gobierno de la seguridad de la información.
 
Entender las potenciales consecuencias
De manera complementaria a la sección anterior, se busca comprender las consecuencias de los escenarios planteados frente a las brechas de seguridad de la información que se tienen. No podemos modelar los riesgos y sus posibles efectos, sin contar con el conocimiento y experimentación que permita simular los impactos que se pueden tener.
 
Tener un conjunto de escenarios y variables básicas de operación, permite a las personas involucradas establecer un juego básico de “qué pasaría si”, para motivar las reflexiones necesarias para indicar la forma de actuar frente a situaciones que se pueden presentar. Este tipo de ejercicios permiten a los ejecutivos de primer nivel, hablar en lenguaje de negocios frente a la materialización de la falla, generando el insumo requerido en el área de seguridad para ilustrar sus análisis de las tendencias.
 
En este sentido, las caracterizaciones de los escenarios de riesgo y amenaza dimensionar los resultados de su materialización con ideas cercanas a los retos del negocio o pérdidas en las operaciones del mismo, como pueden ser “barriles derramados”, “producto defectuosos”, “defectos de calidad”, los cuales transmiten un mensaje de acción requerida que sintoniza sus reflexiones con los de los miembros de la junta.
 
En consecuencia, la materialización de riesgos como el de pérdida y/o fuga de información, deberían poderse expresar en términos de eventos relevantes para la industria a la cual pertenece la organización, en números significativos que sean presentados en el primer nivel de la empresa o en situaciones propias de su sector que atiendan las normas de reporte particulares que la empresa tiene para advertir su posición en su mercado relevante.
 
No podemos sobredimensionar el ejercicio de consecuencias so pena de desdibujar la realidad que podemos observar y percibir de los análisis realizados. Para ello, las prácticas internacionales, sugieren mantener un inventario de eventos conocidos y detallados, que sirvan como referente base para construir escenarios creíbles y manejables, sin perjuicio que se incorporen situaciones inesperadas o que no hayan ocurrido, que balanceen las expectativas de los participantes y mantengan monitoreada la “falsa sensación de seguridad”. (CANO 2013)
 
En virtud de lo expuesto, el ejecutivo de seguridad de la información deberá estar bien documentado y alimentado de las expectativas de su sector de negocio, para reconstruir cada vez su modelo de riesgos y amenazas emergentes, para simular los impactos de las materialización de los mismos, para indagar sobre las consecuencias que puede tener para el negocio, no sólo en el presente sino en el futuro.
 
Recuerde que cuando se le pida conocer las consecuencias potenciales de las brechas que se tienen en la función de seguridad, no es bueno presentar una expectativa sobredimensionada de los impacto, ni crear una ansiedad por sobrecarga de futuro. Más bien aterrice las expectativas del primer ejecutivo en declaraciones de impacto que consideren sus intereses políticos y movilicen sus agendas para incorporar a la información como un activo que tiene voz y voto en las revisiones estratégicas de la empresa.
 
Reflexiones finales
Responder a las inquietudes de la junta directiva sobre el nivel de vulnerabilidad o exposición frente a la inseguridad de la información, requiere cambiar el discurso de miedo, incertidumbre y dudas, por el de hechos, observaciones, anécdotas y metáforas en el contexto de la industria o prácticas de empresas semejantes. (ROSE 2013)
 
En este sentido, la presentación que espera la junta de un oficial ejecutivo de seguridad de la información es poner un sitio común las condiciones y retos empresariales donde la información se advierte como soporte de los mismos, para sí encontrar desde las reflexiones de estos ejecutivos puntos de encuentro y recomendaciones que vayan directamente a alimentar la base del riesgo residual que ha aceptado la compañía.
 
No es posible que un ejecutivo de seguridad de la información llegue a las puertas de la junta directiva sin un propósito específico. No es solamente presentar el estado de una gestión realizada, sino imprimir un mensaje en el colectivo de gerentes ejecutivos, para motivar reflexiones que reten la estrategia de seguridad de la información empresarial, más allá del efecto natural de mitigar los riesgos y amenazas emergentes identificadas.
 
En este sentido, bien anota Álvarez-Marañón, que en el contexto de una presentación, “(…) A los asistentes no les importa cuánto sabes hasta que no saben cuánto te importan. (…)” por tanto, es necesario explorar con detalle y profundidad el perfil de los miembros de junta al menos tres dimensiones:
·         Actitudes
o   ¿Por qué están aquí?
o   ¿Cuál es su postura ante el tema?
o   ¿Cómo podrían resistirse?
·         Demografía
o   ¿Cuánto son? ¿Quiénes son?
o   ¿Qué saben sobre el tema?
o   ¿Cómo puedo llegarles mejor?
·         Necesidades
o   ¿Cuáles son sus inquietudes?
o   ¿Cómo puedo solucionar su problema?
 
En síntesis, todos los esfuerzos que se adelanten para descifrar la dinámica del cuerpo colegiado de ejecutivos de primer nivel, serán estériles si el responsables de la seguridad de la información no tiene claro el mensaje que quiere transmitir y es capaz de encontrar la frecuencia empresarial donde se enmarca la inteligencia colectiva directiva, es decir, ese espacio en blanco en el cual los cambios ocurren y se dan respuesta a las inquietudes y necesidades de la empresa.
 
Referencias
ROSE, A. (2013) The CISO Handbook. Presenting to the Board. Forrester Research.
ÁLVAREZ-MARAÑON, G. (2012) El arte de presentar. Cómo planificar, estructurar, diseñar y exponer presentaciones. Gestión 2000.
CANO, J. (2013) Inseguridad de la información. Una visión estratégica. Alfaomega.
MONTAÑES DUATO, P. (2003) Inteligencia política. El poder creador en las organizaciones. Prentice Hall.
HEATH, C. y HEATH, D. (2011) Ideas que pegan. Por qué unas ideas sobreviven y otras mueren. Editorial LID.

sábado, 16 de noviembre de 2013

Pronósticos de seguridad de la información para 2014

Introducción
El ejercicio de pronóstico supone reconocer condiciones cambiantes en el entorno, detectar patrones entre las tendencias y ver relaciones novedosas entre los componentes de su objeto de estudio. En ese sentido, “(…) el estudio exclusivo de la experiencia existente es insuficiente para prever el futuro. (…)” (VARELA ALFONSO 1999, pág.80) por tanto se hace necesario lanzarnos en “aguas profundas” para soltar nuestras amarras conocidas y explorar la novedad que exige apertura de mente y declaración de que “no sabemos”.
 
En este sentido, los cambios permanentes que experimenta la sociedad, el flujo constante de información y servicios digitales, una humanidad informatizada más proclive a compartir y la amenaza permanente de vigilancia y control, nos advierten que estamos en una época de transformaciones aceleradas y motivaciones diversas que modifican la forma como se hacen las cosas y la manera como se generan las relaciones entre las personas.
 
En consecuencia, la sociedad actual demanda una mayor capacidad para aprender, toda vez, que las oportunidades y bondades (así como amenazas) que se pueden advertir en medio de esta dinámica de cambio, sólo se pueden capitalizar (o entender) si posibilitamos que las personas se desarrollen y sean capaces de contribuir a la comunidad que hacen parte. (ACKOFF y GREENBERG 2008)
 
Así las cosas, lanzarnos a efectuar un pronóstico sobre la seguridad de la información para 2014, en el contexto del mundo actual es realmente un reto, semejante a tratar de acertar en un blanco en movimiento, donde múltiples variables pueden afectar el resultado final y donde la probabilidad de éxito es limitada.
 
Sin embargo y sin pretender imponer un punto de vista y consciente de las limitaciones de este ejercicio, se desarrolla este documento que busca plantear una reflexión entorno de aquellos temas que en la práctica de seguridad y control pueden ser atractivos y motivadores para las empresas en el curso de los nuevos 365 días que pronto inician.
 
Para desarrollar este texto, se revisaron algunos informes de seguridad de la información global, tendencias y noticias que plantean escenarios de análisis novedosos, así como algunas reflexiones personales sobre aquello que nos puede sugerir la realidad emergente de la densidad digital (KÁGANER, ZAMORA y SIEBER 2013), esa que está construida de un flujo de información permanente entre las personas.
 
Habida cuenta de lo anterior, sea esta la ocasión para internarnos nuevamente en las aguas turbulentas de la dinámica actual, para que observando en silencio la realidad emergente, podamos evitar las provocaciones de los datos y aprender de la maestra que siempre se renueva y nunca se desespera frente a nosotros, sus estudiantes: la inseguridad de la información.
 
A continuación se plantean algunas meditaciones sobre tendencias actuales y emergentes sobre la seguridad de la información, donde se privilegia no sólo los datos que la soportan, sino las posibilidades que se pueden plantear, para retar el entendimiento actual de lo conocido y seducir la “inteligencia”, esa habilidad propia del ser humano para aprender y desaprender.
 
Tensiones emergentes entre el compartir y el proteger – La nueva realidad de la cultura de seguridad de la información
En un mundo donde las redes sociales, la computación en la nube, la computación móvil y la información son parte natural del entorno social con una alta densidad digital, la información entra en un modelo de contradicciones: compartirla con otras personas para mantener ese vínculo de relación, o protegerla, para evitar que poderes superiores o personas no autorizadas puedan tener acceso a ella y usarla de manera indebida.
 
Son frecuentes las noticias donde se materializan robos de identidad, suplantación de perfiles, manipulación de documentos y archivos, exposición de fotos comprometedoras, publicación de videos y toda clase de actividades, donde la realidad de las personas es superada por un tratamiento inadecuado de la información.
 
Sin bien la conciencia de que la información que circula en internet sobre una persona la define y detalla no es la más adecuada, tampoco lo es que tengamos prácticas sencillas para evitar ser parte de las estadísticas de la inseguridad de la información. Hacer una copia de respaldo, contar con un antivirus o un software antiespía y tener un cortafuegos personal, son elementos básicos que toda persona conectada a internet debe tener, sin embargo, existe un particular manto de confianza sobre las conexiones cotidianas, que sugiere una mayor exposición de las personas en la red.
 
En este sentido, durante el 2014 se estima una mayor presencia de las personas en internet, dada la alta penetración de la movilidad, de las aplicaciones en este medio y la promoción decidida de muchos gobiernos para contar con mejores índices de conectividad nacionales. Así las cosas, habrá contradicciones que motiven bien a las personas a compartir y otras a proteger, y allí estará el nuevo vector de ataque esperando para revelarse.
 
Grandes datos, grandes retos y patrones emergentes
El crecimiento exponencial de los datos, particularmente no estructurados (videos, tweets, mensajería instantánea, fotos, blogs, entre otros), en internet rebasa cualquier pronóstico que se hubiese podido tener hace algunos años. De acuerdo con el informe de CISCO (2013), la Era del Zettabyte, “el tráfico IP global anual pasará el umbral de los zetabyte a finales de 2015 y llegará a 1,4 zettabytes por año en 2017. En 2015, el tráfico IP mundial llegará a 1,0 zettabytes por año o 83,8 exabytes por mes, y el año 2017, el tráfico IP mundial llegará a 1,4 zettabytes por año o 120,6 exabytes por mes.”
 
Estas cifras nos hablan de grandes volúmenes de información y de nuevas capacidades de procesamiento y análisis que se deben desarrollar para lograr el mejor y mayor uso de la información acumulada. En este contexto, clasificar tipos de datos se vuelve prácticamente una ilusión, por lo cual los programas analíticos que se ejecuten sobre esta masa de información, podrán explorar tendencias y revelar nuevas oportunidades para superar el entendimiento que tenemos de lo que ocurre en el mundo.
 
Por otra parte, la información personal que se encuentre en este mar de información podrá estar expuesta y sujeta a interpretaciones de los analistas, por lo cual se requiere instalar nuevas prácticas, no de seguridad, sino de privacidad, que permitan a las organizaciones explotar las posibilidades de análisis en los datos, protegiendo las condiciones particulares e individuales de las personas.
 
Da acuerdo con SOARES (2012, pág.84) las empresas deben tomar al menos tres acciones básicas para proteger la información de las personas:
·         Imposibilidad de vincular
Las empresas deben tomar las precauciones razonables para desvincular los datos de las personas. Esto incluye eliminar o modificar los campos, adicionar “datos basura” o utilizar información agregada o sintetizada.
 
·         Imposibilidad de distinguir
Las empresas deben tomar las acciones necesarias para evitar que se pueda identificar una persona en particular y asegurar, que cualquier intento de volver a enlazar los datos con los individuos, no sea viable o pueda ser totalmente limitado.
 
·         Mantener los datos desvinculados
Las empresas contractualmente deben prohibir tanto a proveedores de servicios como a terceras partes, tratar de intentar vincular nuevamente los datos con las personas, toda vez que esta prácticas atentan contra el derecho de auto determinación informática de los individuos.
 
Así las cosas, los grandes datos serán protagonistas de primera línea en los retos de la seguridad de la información con dos vistas, una positiva, que procura mayor capacidad de anticipación de riesgos y amenazas emergentes (a través de técnicas forenses y estrategias de análisis) que permiten aprender más rápido a las empresas para reconocer los patrones de mal uso y técnicas novedosas de los atacantes y otra menos positiva, que permite caracterizar, individualizar y analizar modelos de comportamiento, gustos o incluso personalidades que pueden atentar contra la dignidad de la persona humana.
 
Ataques virtuales, consecuencias reales.
Cada vez más los ataques que se reportan buscan accionar consecuencias en el mundo real. Los atacantes saben que en medio de la malla de conectividad, existe un punto donde los bits y los bytes, se vuelven átomos reales y realidades concretas.
 
En este sentido, con el creciente mundo del internet de las cosas, las incorporación de las condiciones de la vida real en el mundo virtual, el consumo incremental de ancho de banda y las tendencias de sociales relacionadas con el “siempre conectado”, abren la posibilidad para que mente criminales elaboren acciones que terminen recreando conductas del mundo offline en el mundo online.
 
Lo anterior lo denomina MIRÓ LINARES (2012, pág.68) como ciberataques réplica, es decir “(…) el ataque no se realiza a un terminal informático, ni tampoco es el contenido el objeto de la ilicitud, sino que la Red es el nuevo medio a través del cual se comete una infracción que utilizaba anteriormente otros medios para llevarse a cabo. (…)”
 
Este nuevo tipo de ataques, crea en el espacio virtual una nueva serie de condiciones emergentes y diferentes para intimidar, comprometer y escapar, que superan al mundo real, provocando en las personas mayor sensación de incapacidad e indefensión, que puede disminuir la confianza y su seguridad cuando navega en la red y pone de manifiesto, una marcada incapacidad del Estado para comprender y perseguir este tipo de conductas abiertamente contrarias a la ley.
 
En palabras de MIRO LINARES (idem, pág.119) los ciberataques resultan “(…) de una simbiosis en gran parte de los comportamientos ilícitos realizados en el ciberespacio (…)”, esto es una mutación y adaptación genética de la delincuencia en el contexto de lo digital, que utilizando las tecnologías de información, son capaces de modelar y acompañar a la inseguridad de la información, para crear entornos inestables pero atractivos para concretar las víctimas y provocar no solamente un beneficio económico, sino afectar otros bienes como la intimidad, la seguridad de los sistemas de información y redes, y hasta la vida misma.
 
Podemos concluir que ahora tenemos una vista espacio-temporal diferente, donde las distancias se acortan, dada la alta interconectividad y flujo de información permanente que existe entre las personas. Por tanto, la densidad digital plantea una vista emergente para analizar y estudiar, donde no es solamente la persona, sus actividades o la tecnología son las que hacen parte de la acción delictiva, sino una estructura superior que combina las tres y genera efectos concretos en cada uno de ellos.
 
2014 será una año de mayor madurez en los ataques, es decir, un espacio de tiempo donde se harán evidentes nuevos vectores de ataque en esta capa de análisis (la densidad digital), que necesariamente afectará la manera como vivimos en el entorno digital.
 
Espionaje, inteligencia y control. Prácticas conocidas, motivaciones inesperadas.
El espionaje y los grupos de inteligencia no son elementos nuevos para los habitantes del siglo XXI. La historia nos ha mostrado que dichas prácticas se han venido realizando a nivel de gobiernos y naciones para mantenerse adelante de los hechos y no reaccionar ante algún evento que pudo ser prevenido o detenido en su misma elaboración.
 
Así las cosas, internet como base de datos de conocimiento abierto, establece un referente básico para las labores de inteligencia y espionaje, toda vez que las condiciones esenciales de éstas, se sustentan en la capacidad de influir en el entorno y conocer todo aquello que está oculto o  reservado.
 
Las noticias divulgadas durante 2014, mostrarán nuevas capacidades, manuales y procedimientos que los gobiernos, así como entidades privadas, son capaces de desarrollar para mantener un mapa actualizado de amenazas y acciones que puedan afectar su posición privilegiada en un entorno estratégico o táctico de negocios o defensa. Esto es, un despertar de la conciencia cómoda de los ciudadanos, que no sólo esperan de sus gobernantes estabilidad y protección, sino respuesta ante situaciones inesperadas que comprometan su bienestar particular y general.
 
Triangular información disponible en internet y recolectada por sensores hábilmente ubicados, muchos de ellos sin conocimiento de los afectados, es parte de la “normalidad” del mundo actual. Un simple dispositivo de comunicaciones, un ipod, un ipad o cualquier elemento con capacidad de transmitir, será susceptible de modificaciones técnicas para constituir un vector de monitorización, para conocer aquello que se requiere en situaciones particulares.
 
Durante el año entrante los cuerpos de inteligencia y control de las naciones, deberán tener más cuidado y sigilo, pues la ecuación de bienestar y respuesta a intrusiones que despejarán los ciudadanos deberá responder a una confianza inteligente, es decir, “(…) la capacidad de confiar con sabiduría en un mundo que parece pedirnos que no confiemos en nadie, y nos conduce a un círculo virtuoso ascendente de prosperidad, energía y alegría. (…)” (COVEY, LINK y MERRILL 2013, pág.114)
 
Disrupción digital, inseguridad disruptiva
De acuerdo con MCQUIVEY (2013, pág.8) crear una disrupción significa “encontrar una mejor manera de satisfacer una necesidad fundamental que un cliente tiene, no solamente reemplazando un proceso o resultado existente con algo similar pero ligeramente mejor”, esto es creando las condiciones que permitan desarrollar y materializar un nuevo mercado, una capacidad para sorprender de manera reiterada a sus clientes.
 
La disrupción digital supone la existencia de plataformas digitales que facilitan el despliegue de nuevos productos rápidamente, creando y manteniendo relaciones digitales con sus clientes. Esto hace que las barreras de entrada y espacios exclusivos queden al margen y se potencialice la explotación de dicha plataforma donde los clientes se relacionan con la menor intermediación posible, con bajo costo y gran flujo de información.
 
En este orden de ideas, se encuentran disponibles plataformas gratuitas para desarrollar vulnerabilidades o fallas de seguridad y control, las cuales pueden ser utilizadas para cambiar radicalmente la forma como se generan vectores de ataque y reinstalar los ataques conocidos con variantes novedosas, es decir, posibilidades adyacentes que muchos quisieran ver.
 
Las mentes de los atacantes, en el contexto de la disrupción digital, cuentan con un razonamiento motivado por la posibilidades y no por las probabilidades, lo que genera una capacidad para desequilibrar y proponer escenarios de falla que distan de lo que un analista de seguridad puede anticipar. Esto es, son capaces de pensar “fuera de la caja” aprovechando los recursos disponibles de manera disruptiva, es decir, “creando una renovada sensación de inestabilidad e indefensión”.
 
La disrupción digital como tendencia marcada en esta nueva realidad empresarial, acelera la generación de nuevos perfiles de atacantes y de víctimas de sus acciones. Mientras los primeros persisten en el camino de la innovación (creando posibilidades y jugando con su imaginación), los segundos se repliegan y aumenta su capacidad de resistencia, para enfrentar las nuevas amenazas.
 
Así las cosas, en el 2014 las organizaciones deberán alinear sus expectativas de protección y control de la información con la realidad de una empresa basada en lo digital, aceptar y esperar la inevitabilidad de la falla, con una postura proactiva, pues sólo ahí pueden reconocer nuevas oportunidades para mantener la confiabilidad de las operaciones, que no es seguridad de las mismas.
 
Durante el año entrante habrá cambios en las experiencias de los usuarios en internet, más allá de la realidad aumentada, del uso del movimiento de los ojos como forma de interacción con los dispositivos electrónicos, entre otras innovaciones, de los ataques a los sistemas de control y dispositivos inalámbricos embebidos en vehículos y seres humanos para darle paso, a una realidad superior que surge de un entendimiento colectivo de las personas basado en sus relaciones digitales.
 
Reflexiones finales
Se plantean cinco pronósticos de seguridad de la información para 2014 que buscan sugerir y provocar reflexiones en los ejecutivos de seguridad de la información. Estos pronósticos recaban en la dinámica de las relaciones actuales de la tecnología, las personas y los retos empresariales, con el fin de advertir posibles efectos y condiciones de riesgo que pueden impactar y afectar la ventaja competitiva de las empresas, los derechos de las personas y la gobernabilidad de una nación.
 
Los pronósticos no buscan ser realidades verificables o medibles, sino apuestas de situaciones posibles basadas en datos actuales e inferencias de comportamientos esperados. Así las cosas, los comentarios que se plantean en este documento, son ensayos académicos de posibles escenarios, que se pueden descubrir sobre la base de “(…) valoraciones de expertos, extrapolación (continuación condicional en el futuro de las perspectivas y tendencias) y un modelo del estado futuro de un proceso o fenómeno. (…)”(VARELA ALFONSO 1999, pág.80)
 
En consecuencia, la suma de las tensiones inherentes entre el compartir y proteger, los grandes datos y sus retos, los ataques virtuales y sus consecuencias reales, el espionaje y la inteligencia, así como la disrupción digital, establecen un caldo de cultivo nutritivo y particularmente generoso para la inseguridad de la información, toda vez que cada uno de los pronósticos en sí mismo, representa una red compleja de conversaciones para la acción que favorece la innovación y procesos de colaboración sobre una realidad abierta e incluyente.
 
Por tanto, durante el año 2014 comenzará a rasgarse el velo de la era digital con toda su magia y extensión, para renovar la experiencia de los usuarios y clientes, más allá de unas condiciones económicas y de acceso favorables, para darle paso a un curso de lecciones permanentes sobre la inevitabilidad de la falla, como fuente disruptiva de pensamiento estratégico en seguridad de la información, que se no se concentra en enseñar, sino en aprender y desaprender.
 
Referencias
VARELA ALFONSO, O. (1999) Orientaciones pedagógicas contemporáneas. Cooperativa Editorial Magisterio.
ACKOFF, R. y GREENBERG, D. (2008) Turning learning right side up: putting education back on track. Pearson Education.
KÁGANER, E., ZAMORA, J. y SIEBER, S. (2013) Cinco habilidades del líder digital. IESE Insight. No.18. Tercer trimestre.
SOARES, S. (2012) Big data governance. An emerging imperative. MC Press Online.
CISCO (2013) The Zettabyte era. Trends and analysis. Disponible en: http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/VNI_Hyperconnectivity_WP.html (Consultado: 16-11-2013)
MIRÓ LINARES, F. (2012) El cibercrimen. Fenomenología y criminología de la delincuencia en el ciberespacio. Marcial Pons. Ediciones Jurídicas y Sociales S.A
COVEY, S. M. R., LINK, G. y MERRILL, R. (2013) Confianza inteligente. Editorial Paidos
MCQUIVEY, J. (2013) Digital disruption. Unleashing the next wave of innovation. Forrester Research.

lunes, 11 de noviembre de 2013

Cultura de seguridad de la información. Una revisión desde los conceptos de diseño y cultura organizacional

Introducción
El contexto de los modelos organizacionales ha evolucionado y se ha venido adaptando a las condiciones de un mundo más interconectado, de información instantánea y flujos de información permanentes y actualizados. En este sentido, los individuos tienen acceso a la información y uso de la misma de manera privilegiada, toda vez, que es a través de ésta como construyen y generan una nueva realidad para la organización y para su propia vida.

Si bien las teoría anteriores de modelos organizacionales basadas en distribución de tareas, segmentación de responsabilidades y competencias específicas para el desarrollo de las actividades asignadas, mantiene su vigencia en el escenario actual, también es clave entender que estos modelos están cediendo terreno a otros donde la organización es menos jerárquica, con más trabajo entre áreas y mayor flexibilidad frente a las tareas y resultados.


Como quiera que la forma de comprender el trabajo y la cultura de una organización, subyace en la forma en que desarrolla sus actividades, los investigadores del MIT han planteado una reflexión donde se advierte a las empresas y organizaciones que existen a la fecha dos modelos de organización que se contraponen y cuestionan la manera de organizar el trabajo para alcanzar los objetivos.

Un primer modelo, denominado “enfoque antiguo”, heredero de los años 1950 y 1960, asociado con la jerarquía formal de posiciones y cargos, reglas y estándares de operación, entre otros elementos que detallaremos más tarde y otro, que llamaremos “enfoque moderno”, que se ha venido consolidando entre 1990 y 2000, que privilegia estructuras planas, reglas flexibles y equipos especializados, entre otras características.


Estas dos realidades organizacionales, definen en cada una de ellas la forma como se trata la información. En este sentido, comprender el enfoque organizacional prevalente en una empresa, nos permite reflexionar sobre cómo la información se hace parte de la dinámica de la misma y por ende, el tipo de tratamiento que será efectuado, considerando la estructura organizacional configurada. 


Así las cosas, si se requiere estudiar una estrategia para desarrollar o consolidar una cultura de seguridad de la información, recurrir a la estructura organizacional es una buen inicio para comprender, en el ejercicio diario del hacer empresarial, cómo la información se hace parte de la manera como opera la misma y cómo cada uno de sus integrantes revela la forma particular  de su tratamiento.

En consecuencia, vincular los conceptos propios de la cultura organizacional y la estrategias de diseño organizacional, establecen referentes básicos que permite comprender en detalle, qué es aquello que hace la diferencia en el tratamiento de la información, cuáles son los supuestos básicos que se tienen y los elementos visibles que materializan el entendimiento corporativo y motivan las acciones individuales requeridas para asegurar una adecuada protección de la información ajustada a la realidad de la dinámica empresarial.


Habida cuenta de lo anterior, este documento presenta una reflexión basada en una revisión conceptual de las estructuras organizacionales y los fundamentos de la cultura empresarial, como base para establecer recomendaciones prácticas para motivar y movilizar una cultura de protección de la información ajustada a la forma en la cual se desarrolla el trabajo en una empresa.



Modelos organizacionales: Modelo antiguo y moderno
De acuerdo con BYRNE (2000) existe cambio fundamental en la manera como se organizan y operan las organizaciones del siglo XX y las del siglo XXI. Dicho cambio se ve reflejado en las siguientes características que se presentan a continuación: (BYRNE 2000, referenciado por ANCONA, KOCHAN, SCULLY, VAN MAANEN y WESTNEY (2009) Managing for the future. Organizational behavior & processes. Cengage Learning. Pág.M1-40)


Característica
Organizaciones del siglo XX
Organizaciones del siglo XXI
Organización
Pirámide
Red
Foco
Interno
Externo
Estilo
Estructurado
Flexible
Fuente de fortaleza
Estabilidad
Cambio
Estructura
Autosuficiencia
Interdependencia
Recursos
Activos físicos
Información
Operaciones
Integración vertical
Integración virtual
Productos
Producción en masa/Commodities
Personalización masiva/Exclusividad
Alcance
Local/Doméstico
Global/Internacional
Financiamiento
Trimestral
Tiempo real
Inventarios
Mes
Horas
Estrategia
Top-Down
Bottom-up
Liderazgo
Dogmático
Inspiracional
Trabajadores
Empleados
Empleados y agentes libres
Expectativas del trabajo
Seguridad
Crecimiento personal
Motivaciones
Competir
Construir
Oportunidades de mejora
Incremental
Revolucionaria
Calidad
La mejor asequible
Ningún compromiso


Tabla No.1 Características de las organizaciones del siglo XX y del siglo XXI


Como podemos ver, las empresas actuales cada vez más se parecen a lo que en su momento BYRNE estableció como las características de las organizaciones del siglo XXI. A la fecha la realidad de las redes sociales y condiciones de movilidad de los individuos, muestran el cambio en las motivaciones y en el alcance de las empresas, las cuales cada vez más piensan en productos personalizados o novedosos que generen un cambio disruptivo para concretar una nueva tendencia que lleve a la organización al siguiente nivel de estado competitivo.


Todo este cambio, se debe claramente a que la lucha que se tiene en los mercados propios de cada organización, no están fundados en activos físicos o commodities como se venía haciendo, sino que se desarrollan alrededor de accesos y uso de la información, un activo intangible que actualmente es parte fundamental de la forma como la organización entiende y altera su entorno de negocio.

En este sentido, la forma como se venía haciendo el tratamiento de la información en el contexto de una organización del siglo XX, cambia radicalmente frente a la forma como se requiere hacerlo ahora en el siglo XXI. Por tanto, entender la manera estructural de las organizaciones antes del año 2000, es una fuente fundamental de comprensión, para revelar las condiciones y problemáticas propias frente a la protección de la información.

A continuación se presentan las condiciones y características del modelo antiguo y moderno de las organizaciones basado en los estudios de los académicos del MIT, con el fin de contextualizar las prácticas de protección y control de la información, como base para luego, plantear los retos de la cultura de seguridad de la información, desde esta perspectiva y quebrar el entendimiento actual sobre la transformación cultural desde la gestión del cambio.



Característica
Modelo antiguo (1950-1960)
Modelo moderno (1990-2000)
Cargos
Individuos especializados
Equipos especializados
Jerarquía
Piramidal
Plana
Reglas
Formales y estándares
Pocas y flexibles
Responsabilidades
Concretas y limitadas
Matriciales y Cooperativas
Entrenamiento
Estandarizado y concreto
Abierto y variado
Foco
Comando y control
Innovación y respuesta al cambio


Tabla No.2 Modelos de estructura de organizaciones (Adaptado de: ANCONA, KOCHAN, SCULLY, VAN MAANEN y WESTNEY 2009)


Las organizaciones propias del modelo antiguo, buscan que las conductas y procesos que se desarrollan alrededor de su objeto de negocio sean predecibles, controlables y verificables. Esto es, que al seguir fielmente los procedimientos, la estructura de mando y con el entrenamiento adecuado, los resultados son aquellos que se esperan frente a la planeación estratégica.


Esta forma de organizar el trabajo en las organizaciones, supone claramente que la empresa se encuentra en un entorno bastante estático, donde las condiciones de operación no cambian y que el contar con recursos físicos y capital de trabajo importante, genera barreras de entrada, que limitan el ingreso de terceros en el mercado que puedan amenazar la posición dominante de la empresa en su entorno.

De otra parte, las empresas que se ajustan al modelo moderno, comprenden que la empresa está en un entorno dinámico, donde en cualquier momento puede ocurrir un cambio y por tanto, deben estar explorando el entorno para prepararse y anticiparse a los nuevas propuestas que cambien el estado del mercado y poder aprovechar dicho momento para crear la ventaja competitiva requerida, con un enfoque flexible y creando nuevas habilidades y conocimientos claves, para aprender rápidamente e incorporar en el ejercicio de estrategia corporativa esa vista disruptiva (McQUIVEY 2013) que es generadora de nuevos ingresos y reflexiones empresariales que hablan de futuro de la empresa en tiempo real.

Tratamiento de la información en los modelos organizacionales
Como hemos visto la información representa un elemento fundamental tanto en el modelo antiguo como en el moderno. Sin embargo, su tratamiento cambia radicalmente respecto de la dinámica organizacional que se requiere en cada uno de los modelos.

Cuando la organización responde a las exigencias de comando y control, la información es un activo que requiere un contexto propio para cada uno de los individuos y por lo tanto, habrá que utilizarlo y cuidarlo en el desarrollo de sus actividades individuales, con el fin de cumplir con sus obligaciones. En este sentido, se privilegia que dicha información sea la que se necesite, se genere con el nivel de confiabilidad requerido y se entregue con la formalidad que exige y demanda el procedimiento previsto para tal fin. No hacerlo, implica necesariamente una amonestación o sanción frente a las reglas establecidas.

De otra parte, cuando la organización demanda innovación y respuesta al cambio, la información es un activo y un recurso al mismo tiempo, que requiere un contexto para que equipos de trabajo lo usen con un fin específico frente a la dinámica del mercado donde compite la organización. El tratamiento de la información y generación de la misma debe ser ágil, no necesariamente con alta confiabilidad y su entrega se hace según se requiera y utilice para crear formas alternas para repensar las condiciones del mercado. Un uso no autorizado genera contradicciones internas que afectan la dinámica de los equipos y posibles impactos en sus estrategias de negocio.

Habida cuenta de lo anterior, mientras el tratamiento de la información en el modelo antiguo privilegia un control central y manejo estándar de este activo intangible que aseguren el adecuado funcionamiento empresarial, en el modelo moderno se activa una control distribuido, basado en reglas de uso que permita desarrollar nuevas fuentes de conocimiento que permitan repensar la organización e impactar el mercado donde opera.

Como quiera que comprender el tratamiento de la información en una empresa del siglo XX responde a una motivación de competencia y estabilidad, su protección supone la generación de comportamientos predecibles y prácticas estándares que permitan conocer el estado de la misma y las restricciones aplicables frente a las condiciones y amenazas que puedan afectar la posición competitiva de la organización o mejor aún afectar la estabilidad de su permanencia en el entorno.

De otra parte, cuando hablamos de una organización con una estructura del siglo XXI la necesidad de cambio y construcción permanente, demanda que la información fluya dentro de la organización en los puntos clave que se requiera, para que aquellos a quienes está autorizado su uso, creen y desarrollen los conceptos y propuesta más acordes con las condiciones del entorno. La información es un recurso e insumo clave para anticipar y ver las inestabilidades del entorno y por tanto, si bien todos pueden conocer de esta, no está habilitado su uso de manera general y abierta, sino bajo una condiciones y contexto donde la empresa lo requiere para repensarse y generar sus estrategias más adecuadas.

En consecuencia, podríamos resumir el tratamiento de la información según el esquema organizacional de la siguiente forma:


Modelo antiguo – Siglo XX
Modelo moderno – Siglo XXI
Activo
Activo e insumo
Control de acceso (susceptible a la revelación)
Control de uso (susceptible al contexto)
Uso restringido
Acceso compartido
Orientado al individuo
Orientado a los equipos
Control y responsabilidad centralizada
Control y responsabilidad distribuida


Tabla No.3 Tratamiento de la información en los modelos antiguo y moderno



Cultura organizacional frente al tratamiento de la información
Si bien existen múltiples definiciones de cultura organizacional para efectos de este documento tomaremos los estudios e investigaciones realizadas por SCHEIN (1985) donde se establece que una cultura se conforma de un patrón de supuestos básicos, inventados, descubiertos o desarrollados por un grupo particular, que aprende a lidiar con sus problemas a través de adaptaciones externas e integraciones internas, que funcionan lo suficientemente bien para ser consideradas válidas y por tanto, son enseñadas a los nuevos miembros como la forma correcta de percibir, pensar y sentir en relación con esos problemas.


En este sentido, el académico establece tres niveles en los cuales se manifiesta la cultura por sí misma: los artefactos observables, los valores expuestos y los supuestos básicos subyacentes.

Los artefactos observables, “(…)  incluye todo lo que puede ser apreciado por los cinco sentidos del observador, desde las instalaciones y productos, pasando por la forma de vestirse, hasta los logotipos o el organigrama. (…)”. Los valores expuestos, representan las estrategias y preferencias declaradas de una organización. (…) Reflejan cómo quiere ser (y ser vista) una organización, y no necesariamente cómo se comporta realmente. (…)”. Los supuestos básicos subyacentes, “(…) se trata de aspectos que el observador externo no necesariamente percibe, porque están profundamente anclados en la organización y se dan por supuestos. (…) Se viven como reglas no escritas. (…)” (MOSCOSO, LAGO y RODRIGUEZ 2013)

En consecuencia, si queremos desarrollar un cultura de seguridad de la información debemos explorar los detalles propios de estos tres niveles, frente al tratamiento de la información, como base para identificar y revelar los fundamentos que rigen una cultura de protección de información, bien en el modelo de las empresas del siglo XX y del siglo XXI.


Objeto de análisis - Información
Cultura de seguridad de la información – Siglo XX
Cultura de seguridad de la información – Siglo XXI
Artefactos observables
Reglas formales
Reglas flexibles
Valores expuestos
Control de acceso
Control de uso
Supuestos subyacentes
Proteger
Compartir
Consecuencias de violaciones
Impactos y sanciones individuales
Impactos y sanciones empresariales


Tabla No.4 Caracterización base de la cultura de seguridad de la información en el siglo XX y siglo XXI

Revisando lo que se detalla en la Tabla No.4 encontramos que las rutinas asociadas con la protección de la información que se tienen en las empresas actuales, se relacionan con una cultura de seguridad de la información focalizada en el siglo XX, donde las reglas y supuestos se focalizan en las acciones del individuo; donde la protección es la base general del modelo de seguridad y control, lo cual necesariamente orienta a los ejecutivos de seguridad de la información a focalizarse en los comportamientos y prácticas, que disminuyan la probabilidad de accesos no autorizados que puedan comprometer o motivar flujos de información desde o hacia personas no identificadas.


La cultura de seguridad de la información en el contexto de las empresas del siglo XX privilegia el desarrollo de competencias relacionadas con el saber hacer (en el ámbito de la aplicación), por lo tanto procura insistir en la aplicación de cursos de entrenamiento orientado a la protección de la información, por lo cual enfatiza en la validación de las acciones concretas de salvaguarda de la información, que hagan repetible y confiables los procedimientos establecidos y por tanto, las sanciones para aquellos, que aún conociendo los mismos, no se ajusten a las competencias declaradas por la empresa frente al tratamiento de la información.

Ahora bien, una cultura de seguridad de la información fundada en las consideraciones de una organización del siglo XXI, requiere del conocimiento del contexto, de las condiciones vigentes de la empresa, para definir no solamente las estrategias de acceso, sino los lineamientos de su uso, con el fin de establecer el escenario donde se desplegará y los impactos que un posible inadecuado uso puede materializar. Esto supone, no solo comportamientos individuales y prácticas, sino comprensión del negocio en sí mismo y la forma como el tratamiento de la misma puede afectar los intereses de la compañía.

En este sentido, la cultura de seguridad de la información en el contexto de las empresas del siglo XXI no solo procura las competencias relacionadas con el saber hacer, sino con el saber construir (ámbito cognitivo) y saber ser (ámbito de las emociones), las cuales claramente trascienden la sola operación: “Dígame ¿qué tengo que hacer?”, para revelar e interiorizar la relevancia de la información frente a la vista estratégica y táctica de una organización global y sensible a los cambios en el entorno: “¿cómo afecta mi comportamiento y tratamiento de la información a la empresa?”

Reflexiones finales
Los esfuerzos que actualmente se desarrollan en las organizaciones frente al reto de promover y fortalecer una cultura de seguridad de la información, deben consultar los aspectos propios de la estructura de las organizaciones y los elementos de la cultura organizacional mencionados previamente, para establecer un marco base de estrategias que permitan una alineación general de dichos esfuerzos con la dinámica de la empresa.

Desconocer esta realidad operacional de la empresa, este orden manifiesto en sus estructuras, es entrar en conflicto o acciones que vayan en contraposición de la forma como la cultura moldea el comportamiento de las personas en la compañía. En consecuencia, iniciativas estándares relacionadas con talleres entrenamiento e interiorización deberán ajustarse al contexto de la empresa, su modelo de negocio y necesidades actuales, manifiestas en sus exigencias de mercado y transición hacia una organización más flexible, matricial y cooperativa.

Por lo tanto, la tensión inherente entre el proteger y compartir demanda a los ejecutivos de la seguridad de la información hacer evidente esta situación, para construir y desarrollar modelos de seguridad y control que balanceen las motivaciones y necesidades de los actores involucrados, buscando que sus acciones privilegien una experiencia de confianza entre los participantes y movilicen las estrategias requeridas por el negocio de manera oportuna y ágil.


La cultura de seguridad de la información no puede ser entonces un patrón autosuficiente de supuestos que se comparten, inventan y se descubren por una sola vez, sino que debe ser interdependiente para movilizar y aterrizar en cada momento de la empresa, iniciativas a nivel de personas, procesos, tecnología y flujos de información (entre sus elementos) que permitan superar el hacer de la protección de la información, integrándolo a la cognición y emocionalidad de las personas frente a los impactos derivados de su uso.

En consecuencia, explicar la cultura de seguridad de la información no es una tarea fácil, ni un ejercicio de corto plazo, sino la comprensión de una tendencia empresarial integrada en los patrones de comportamiento, supuestos subyacentes y artefactos visibles, que cambia conforme la organización se repiensa en el escenario de su contexto de negocio. Esto es, comprender con claridad cómo la cultura de seguridad de la información se integra al modelo de generación de valor de la empresa, cómo entiende el contexto del acceso y uso de la información y se anticipa a las amenazas y riesgos emergentes que le plantea la inseguridad de la información.



Referencias
ANCONA, KOCHAN, SCULLY, VAN MAANEN y WESTNEY (2009) Managing for the future. Organizational behavior & processes. Cengage Learning.
MOSCOSO, P., LAGO, A. y RODRIGUEZ, C. (2013) El factor humano y organizativo  en la dirección de operaciones. Nota técnica. IESE Business School. Universidad de Navarra
SCHEIN, E. (1985) Organizational culture and leadership. Jossey Bass, San Francisco.
BYRNEY, J. (2000) The 21st century corporation. Management by web. Business Week. August 28. pp. 84-96.
McQUIVEY, J. (2013) Digital disruption. Unleashing the next wave of innovation. Forrester Research. Amazon publishing.