lunes, 7 de enero de 2013

La inseguridad de la información: fuente de creación de valor en la protección de la información



De acuerdo con los planteamientos de HAMEL, aquello que no crea o genera valor, es un centro de costo. Es decir, todo aquello que no tiene la capacidad de sorprender (positivamente) a sus clientes o apalancar las capacidades distintivas de una organización, tiende a ser algo de poco valor para la empresa, dicho de otra forma, no participa de manera activa en el modelo de generación de valor de una organización.

En este sentido, entender cómo las organizaciones definen su forma de posicionarse en un sector de negocio, es un factor clave para cualquier ejecutivo de una empresa, toda vez, que es una forma de sumergirse en su pensamiento estratégico, en la forma como articula sus esfuerzos para “desafiar las creencias que todos dan por sentado” y posicionar a la organización en un sitio de privilegio para marcar una diferencia que transforma el sector donde opera y cautiva a sus grupos de interés.

Habida cuenta de lo anterior, desarrollar un concepto de seguridad de la información, “valioso” para una organización, es un ejercicio de madurez, de transformación tanto del ejecutivo de la seguridad, como del reconocimiento corporativo de la información como un activo tan importante como los productos y/o servicios que ofrece la empresa. Esto es, lo valioso de la función de seguridad de la información, deberá surtir una evolución que inicia en el aseguramiento de las condiciones básicas de seguridad y control, generalmente asociadas con la clasificación de la información y el control de acceso hasta la incorporación de la función en el modelo de generación de valor de la empresa.

Una seguridad de la información valiosa estará articulada inicialmente en el progreso de la organización en el fortalecimiento de su cultura de protección, en donde las creencias de las personas naturalmente validan las medidas de aseguramiento de la información en sus diversas actuaciones, es decir, encuentran en cada actividad formas de valorar la información y tomar las decisiones que sean del caso.

Una vez el valor de la información, adquiere una connotación inherente a las actuaciones de la organización y se refuerza cada día en las actuaciones de cada uno de sus participantes, la empresa entiende que los riesgos propios del tratamiento de la información en sus procesos de negocio, hace parte fundamental del aseguramiento del valor de la empresa. Esto es, revelar dentro de la esencia misma de los productos y servicios, así como dentro de las expectativas del gobierno corporativo, que el entendimiento de la inseguridad de la información es una forma para encontrar las discontinuidades que pueden afectar la forma como la organización agrega valor a sus clientes.

Sin perjuicio de lo anterior, las medidas de seguridad y control implementadas, generalmente procedimentales y tecnológicas, muestran claramente un paso clave de aquella empresa que entiende la responsabilidad propia de proteger un activo con la participación de los custodios de la misma: cada empleado. Estas medidas, permiten declarar de manera formal la necesidad de aseguramiento que se requiere frente a los activos protegidos y es la manera como se le comunica al usuario final que hace parte de la cadena de “protectores” de la información, que con sus actuaciones hacen más complicado que personas no autorizadas tengan acceso a la misma.

Si en el proceso evolutivo, la cultura se encuentra afianzada, las medidas de control básicas aseguradas y debidamente aplicadas (incluso auditadas por terceros independientes), la función de seguridad de la información se mueve con agilidad a transformarse en una función de cumplimiento, es decir, en una función que es reconocida por la organización que cuenta con la autoridad, los recursos, las competencias y la posición organizacional para indicarle a los procesos de negocio que debe cumplir con parámetros básicos de protección para operar dentro de los estándares reconocidos tanto nacional como internacionalmente.

La función de cumplimiento es un paso obligado de la función de seguridad de la información, pues confirma en su proceso de madurez, una consolidación de prácticas básicas que se deben incorporar en el discurso corporativo, como quiera que se incorpora dentro de las estrategias pragmáticas de la empresa, para competir de manera adecuada en su entorno y proteger la reputación y el buen nombre de la empresa, valores fundamentales que son leídos claramente por el cuerpo ejecutivo de la corporación.

Mantenerse en este momento de evolución, significa conocer cada vez mejor la organización y sus riesgos de negocio. Es buscar y encontrar nuevos patrones entre las condiciones del mercado que pueden afectar el buen tratamiento de la información o afectar aquellos valores sensibles de la empresa, representados en el posicionamiento de la empresa o de sus más altos ejecutivos.

Con el paso del tiempo, tanto las estrategias de la función de seguridad de la información, como las de su equipo complementario en seguridad de TI, deberán cambiar nuevamente y reinventarse frente al entorno que ella ha aprendido a reconocer. Es decir, debe reconocer en el ambiente dinámico de la empresa, las habilidades y capacidades que debe incorporar, desarrollar y ajustar para comenzar a ser parte de las conversaciones más allá de los riesgos relacionados con el cumplimiento empresarial.

Si bien asegurar una cultura de seguridad de la información, una adecuada clasificación de información, incorporar medidas de seguridad y control al interior de los procesos para mitigar los riesgos propios del tratamiento de la información, son actividades valiosas y de reconocida utilidad, se hace necesario que estas generen más que resultados tácticos y operacionales concretos, para que el valor de las mismas trascienda estos niveles y comience a ser parte de la agenda de los ejecutivos de primer nivel de la organización.

Para que esto ocurra, los participantes de la función de seguridad de la información valiosa deben, como anota HAMEL, identificar las inconveniencias, resistencias y molestias de los clientes, para capturar necesidades estratégicas no articuladas, que permitan detallar las expectativas de los ejecutivos de la empresa, utilizando los atractivos y habilidades que poseen para sorprender positivamente a la organización, trabajando fuertemente desde el entendimiento del reto hasta asegurar los detalles de la implementación.

Lograr un estado como el anterior, exige del ejecutivo de seguridad de la información un ejercicio de liderazgo centrado en la maestría de la inseguridad de la información, esto es, un voto de confianza de la alta gerencia que acepta la inevitabilidad de la falla, que promueve equivocarse de manera diferente cada vez, que desaprende del entorno que lo rodea y que demuestra actitud sincera y abierta para movilizarse e identificar los umbrales aceptables de riesgos residuales.

Liderar una función de seguridad de la información valiosa, que ha superado (es decir, tiene asegurada de manera sistemática y permanente) el ejercicio de controles básicos de operación de la seguridad es, parafraseando a SHARMA, una declaración para compartir ideas sobre la inevitabilidad de la falla, escuchar agresivamente la inseguridad, decir la verdad sobre el nivel de exposición al riesgo y descubrir en cada falla, la sabiduría del error, como fuente de motivación que nos abre la puerta para afinar facultades y talentos necesarios para leer el modelo de generación de valor de empresa en clave de la inseguridad.

Referencias
HAMEL, G. (2012) Lo que importa ahora. Ed. Norma
SHARMA, R. (2011) Las 8 claves del liderazgo del monje que vendió su ferrari. Liberduplex. Debolsillo.