domingo, 8 de diciembre de 2013

¿Qué tan seguros somos? El reto de presentar el reporte de la inseguridad de la información a la Junta Directiva.


Introducción
Un reto permanente para los ejecutivos de seguridad de la información es presentarse en la junta directiva de sus organizaciones, entender la dinámica política que existe en ese nivel y poder transmitir el mensaje correcto que apalanque sus iniciativas y promueva una mayor sensibilidad del tema en medio de las agitadas agendas de los miembros de la junta. (HEATH, C. y HEATH, D. 2011)
 
En este sentido, el responsable de la protección de la información, busca la manera de obtener la percepción de lo que están pensando en este nivel, sin que muchas veces lo logre con especial acierto, toda vez que es por medio de terceros que recibe dichos insumos. Así las cosas, los directivos de seguridad de la información, se encuentran en una encrucijada que les demanda por un lado, dar resultados visibles y tangibles, y por otro, hablar con suficiencia y claridad ante los ejecutivos de primer de la empresa, sin caer en los tecnicismos y jerga tentadora de la seguridad tecnológica y sus amenazas.
 
Para balancear este ejercicio necesario del reporte de la seguridad de la información en los primeros niveles de las empresas, se hace necesario entender que no existe el riesgo cero y por tanto, todos los esfuerzos que se adelanten desde el área de seguridad de la información buscarán mantener a la organización en un umbral de riesgo permitido, balanceando recursos e insumos a nivel de persona, procesos y tecnología.
 
En este contexto, un reciente documento de Forrester, nos propone un conjunto de cinco interrogantes que cualquier CISO – Chief Information Security Officer o Ejecutivo de la Seguridad de la Información, debería responder con claridad y suficiencia para crear un esquema consistente y motivador frente a la dinámica de las juntas directivas. Esto es, poder enviar un mensaje transparente que no subestime los esfuerzos actuales realizados, pero que tampoco desdibuje las iniciativas planteadas a futuro para anticiparse a los riesgos y amenazas emergentes identificados.


Las preguntas planteadas por el analista de Forrester son: (ROSE 2013)

1.      ¿Cuáles son las tendencias nuevas y emergentes?
2.      ¿Cuáles son nuestros planes y nuestro avance frente a ellas?
3.      ¿Cómo nos podemos comparar contra otras empresas del sector?
4.      ¿Cuál es la brecha que tenemos frente a la situación ideal?
5.      ¿Cuáles son las potenciales consecuencias de las brechas identificadas?
 
Cada una de estas preguntas indaga en la médula de la gestión del responsable de la seguridad de la información y le extiende una invitación para pensar de manera estratégica y fundada en los activos claves de negocio, donde la información se convierte en insumo y referente natural para que la organización asuma los riesgos calculados para crear el movimiento disruptivo requerido para llevarla al siguiente nivel de evolución, donde sólo tienen reservado lugar los que se han lanzado a crear una forma diferente de hacer las cosas.
 
Tendencias nuevas y emergentes
Si alguna industria es susceptible a los nuevos cambios tecnológicos y nuevas oportunidades de negocio, es claramente la seguridad de la información. Una industria que tiene su referente en el activo más representativo de las organizaciones del siglo XXI, en el insumo y materia prima para construir y crear los nuevos escenarios emergentes que están por escribirse.
 
Las tendencias nuevas y emergentes en seguridad de la información no se pueden quedar en aquellos eventos y realidades conocidas, sino que es deber del ejecutivo de seguridad de la información lanzarse a explorar posibilidades desconocidas y poner de manifiesto en su tablero de amenazas y riesgos emergentes, un paisaje multicolor de expresiones y experiencias que pueden o no estar documentadas, para motivar el pensamiento lateral y activar nuestra imaginación de manera disciplinada para ver el futuro en el momento presente.
 
Sin perjuicio de lo anterior, es claro que los reportes de los analistas especializados, las reflexiones de los miembros de la junta, las preocupaciones de los analistas del mercado y los cambios del entorno advertidos en ejercicios realizados por equipos internacionales, son elementos fundamentales para poder advertir lo que se visualiza en el mediano y largo plazo. Sin embargo, estas anotaciones particulares, basadas en ejercicios de pronóstico, deberán articularse con la exploración del futuro que no es posible tener sin el permiso de las posibilidades y no de las probabilidades.
 
Como quiera que el ejercicio de explorar el futuro, es un proceso de tratar de darle a un blanco en movimiento, se requiere que todos aquellos que participan en él, experimenten la sensación de estar “perdidos” y “desorientados”, pues sólo en esa condición de contradicción inherente, es posible advertir aquellos conceptos innovadores que son necesarios para sumergirse en la dinámica de la inseguridad de la información, que no es otra cosa que encontrarnos frente a frente con la inevitabilidad de la falla.
 
Las tendencias nuevas y emergentes, no son otra cosa que lanzarnos a explorar las asimetrías de las fallas en las personas, procesos y tecnología, para encontrar nuevas historias de eventos inesperados que podamos advertir, conocer, probar y ejecutar, para así explorar las consecuencias de haberlas materializado. Por tanto, se requiere que un equipo mantenga su vista sobre los incidentes de la industria particular de la empresa, las advertencias de seguridad de las tecnologías y los comportamientos inadecuados de las personas, para comenzar a escribir el escenario emergente donde aún no se conocen sus impactos.
 
Cuando el reto de declarar las tendencias de los riesgos y amenazas emergentes aparezca, recuerde que habrá mucho que leer, mucho que revisar y documentar, antes de establecer una visión en el horizonte. Este es un ejercicio que si bien no es exacto, si pone a prueba la experiencia de los analistas y el buen criterio del ejecutivo de seguridad, así como sus conocimientos de la industria para dar una vista lo más cercana posible que genere la confianza en el cuerpo directivo de primer de la empresa.
 
Planes y avances
Luego de tener un panorama mediamente claro sobre las amenazas y riesgos emergentes en seguridad de la información, la tendencia natural de los ejecutivos es preguntar sobre los riesgos conocidos y los planes de tratamiento se tienen establecidos, qué nivel de avance se tiene y si con estas acciones, tenemos un nivel riesgo residual aceptable.
 
La necesidad de certeza de los ejecutivos y el conocimiento del nivel de riesgo de exposición, es una constante en los cuerpos directivos. Si bien esta preocupación, generalmente asociada con el riesgo de reputación, mantiene alertas a estos ejecutivos, se requiere que dicho interés trascienda dichos elementos para que encuentren otros elementos de análisis que integren su panorama de riesgos empresariales frente a la dinámica político-corporativo que reviste a la junta directiva. (MONTAÑES DUATO 2003)
 
Los planes de acción son la vista táctica de la revisión del panorama de tendencias, es decir, la parte de la ejecución de la estrategia de seguridad de la información, que requiere la coordinación de las iniciativas en los tres componentes del modelo de protección de la información: personas, procesos y tecnología. Esto es, describir de manera lógica y articulada como la realidad de los negocios empresariales se ve afectada por la dinámica de la inseguridad de la información y sus impactos.
 
Las acciones previstas en los planes de tratamiento de los riesgos, generalmente orientadas por probabilidad e impacto, deben incorporar las reflexiones estratégicas de los negocios de la empresa, para imprimir la impronta de las consecuencias que exhiben la materialización de los riesgos y así, enviar un mensaje claro y efectivo a los miembros de la junta directiva, no como una advertencia sobre posible hechos que afecten las operaciones de la empresa, sino como un llamado proactivo para crear condiciones que hagan más resistente la empresa frente a las amenazas y riesgos en el tratamiento de la información.
 
Todo lo anteriormente comentado debe estar ajustado a cronogramas, entregables, productos en operación, resultados e indicadores que permitan reportar a la junta directiva que los recursos dispuestos para el aseguramiento de la organización en términos de seguridad y control se están ejecutando de acuerdo con lo previsto y con las condiciones de aseguramiento que aumenten la capacidad de la empresa para responder y actuar frente a condiciones inseguras.
 
Habida cuenta de lo anterior, cuando sea interrogado sobre los planes articulados y los resultados esperados de los mismos, recuerde las promesas del umbral de riesgo permitido y aprobado por la organización, para que sus esfuerzos den respuesta a las expectativas de la junta directiva, como insumo para construir un colectivo de percepción de riesgo conocido que requiere atención permanente para avanzar en medio de las expresiones inesperadas de la inseguridad de la información.
 
Compararse con otros
El ejercicio de compararse con otros es saludable en la medida que nos permite conocer prácticas y experiencias de cosas que no debemos hacer o aquellas que podemos hacer de manera diferente. Es importante aprender del éxito de los otros, así como sus lecciones aprendidas.
 
La complejidad de las actividades y retos de cada organización en seguridad de la información no es óbice para que retemos el estado actual de la práctica de la protección de la información en sus tres componentes: personas, procesos y tecnología. En este sentido, consultar lo que otros han hecho en situaciones semejantes en su propia industria, da un parámetro de referencia que nos permite medir que tanto tenemos y cuanto esfuerzo y madurez se requiere para llegar a un nivel equivalente.
 
Una forma de indagar en el ejercicio de la práctica de seguridad de la información con otra organización se manifiestas frente a las exigencias de cumplimiento normativo tanto nacional como internacional. Estos es, cómo se han comprometido para movilizar las prácticas de protección de la información desde el cambio de comportamiento de las personas frente a los datos hasta las inversiones requeridas frente a tecnologías modernas de aseguramiento que mantengan una vista actualizada de la realidad de la seguridad en la empresa.
 
En consecuencia, no es opcional para el ejecutivo de seguridad de la información efectuar estudios de referenciación permanentes frente a su práctica, para retar su gestión y gobierno de la seguridad de la información, para comprender que tanto se ha movido la brecha de la protección en función de las buenas prácticas internacionales y de las motivaciones de la inseguridad, que se esconde en sitios inesperados e inexplorados en la práctica empresarial.
 
Para lograr un ejercicio efectivo de comparación entre compañías se requiere bien un tercero de confianza que vincule a los participantes o acuerdos entre empresas que creen el ambiente de confianza requerido para compartir lo bueno, lo malo y lo feo de cada uno de ellos, con el fin de establecer un escenario de aprendizaje mutuo y asistencia grupal que permita el surgimiento de capacidades y habilidades complementarias en cada empresa, como fruto de la apertura para revelar aquello del cual no sabemos.
 
Por tanto, cuando se te exija abrirte a la comparación y referenciación con un tercero de la práctica de seguridad de la información, no olvides que la humildad y apertura para aprender son las dos condiciones necesarias y suficientes para encontrarnos con las realidades de nuestra práctica y explorar nuevas posibilidades frente a referentes de cumplimiento inexplorados y reconocimiento de los mismos no solo como reglas a cumplir sino como comportamientos para incorporar en el ejercicio de proteger la información.
 
La brecha actual y la situación ideal
Casi que la pregunta en este contexto es cuál es la madurez que tiene la función de seguridad de la información de la empresa. Un interrogante que a la fecha no tiene una respuesta concreta toda vez que modelos referentes y prácticas internacionales no reportan indicaciones concretas que permitan establecer una sugerencia particular para seguir.
 
Los modelos de madurez que se tienen a la fecha se basan en estados muy definidos y concretos que suponen una correlación de variables internas, lo cual no es del todo exacto, pues algunas variables que se dicen influir para lograr el nivel, no siempre motivan los cambios requeridos en el nivel concreto. Esto es, que los modelos de madurez requieren una revisión sistémica de sus variables y encontrar las relaciones más relevantes para construir una vista más ajustada a la realidad que se quiere validar.
 
Así las cosas, los modelos de madurez en seguridad de la información, son más comparaciones de prácticas referentes que pueden sugerir un estadio de evolución más que de madurez. Mientras el concepto de evolución está asociado a la forma como un objeto se transforma de una condición a otra, la madurez, nos habla sobre la forma como un ser supera etapas de desarrollo y crecimiento para ver el mundo en perspectiva, con criterio para actuar, más que con teorías para aplicar.
 
La brecha de la que hablamos en este aparte, se establece desde el referente de los negocios, como una forma aterrizada para conocer de aquellos eventos que han sido detectados en el ejercicio de la función de seguridad de la información. Es decir, las manifestaciones de la inseguridad de la información en los negocios, presentan la manera como la organización entiende la brecha de seguridad, no como responsabilidad del ejecutivo de seguridad de la información, sino como aspecto relevante en el desarrollo de sus prácticas de operación para materializar los resultados corporativos.
 
Cuando no tenemos clara la brecha frente al ideal que queremos en seguridad de la información en la empresa, desconocemos el apetito al riesgo que la empresa maneja y por tanto, damos oportunidad para que la inseguridad de la información tenga mayor margen de operación. Por tanto, se hace más dispendioso poder identificar las iniciativas más relevantes para el negocio y por tanto, priorizar los esfuerzos que alineen sus expectativas con el escenario de riesgos y amenazas emergentes de su sector de industria.
 
En consecuencia, cuando le pregunten cuál es su brecha frente al ideal de seguridad de la información que quiere la empresa, busque referentes en su industria y aterrice la experiencia de los mismos en la dinámica de su empresa, no solo recabando los eventos relevantes para su ejercicio de comparación, sino explorando el apetito al riesgo propio de sus ejecutivos de primer nivel, para recorrer los pasos de junta directiva frente a la dinámica empresarial y su impacto en el gobierno de la seguridad de la información.
 
Entender las potenciales consecuencias
De manera complementaria a la sección anterior, se busca comprender las consecuencias de los escenarios planteados frente a las brechas de seguridad de la información que se tienen. No podemos modelar los riesgos y sus posibles efectos, sin contar con el conocimiento y experimentación que permita simular los impactos que se pueden tener.
 
Tener un conjunto de escenarios y variables básicas de operación, permite a las personas involucradas establecer un juego básico de “qué pasaría si”, para motivar las reflexiones necesarias para indicar la forma de actuar frente a situaciones que se pueden presentar. Este tipo de ejercicios permiten a los ejecutivos de primer nivel, hablar en lenguaje de negocios frente a la materialización de la falla, generando el insumo requerido en el área de seguridad para ilustrar sus análisis de las tendencias.
 
En este sentido, las caracterizaciones de los escenarios de riesgo y amenaza dimensionar los resultados de su materialización con ideas cercanas a los retos del negocio o pérdidas en las operaciones del mismo, como pueden ser “barriles derramados”, “producto defectuosos”, “defectos de calidad”, los cuales transmiten un mensaje de acción requerida que sintoniza sus reflexiones con los de los miembros de la junta.
 
En consecuencia, la materialización de riesgos como el de pérdida y/o fuga de información, deberían poderse expresar en términos de eventos relevantes para la industria a la cual pertenece la organización, en números significativos que sean presentados en el primer nivel de la empresa o en situaciones propias de su sector que atiendan las normas de reporte particulares que la empresa tiene para advertir su posición en su mercado relevante.
 
No podemos sobredimensionar el ejercicio de consecuencias so pena de desdibujar la realidad que podemos observar y percibir de los análisis realizados. Para ello, las prácticas internacionales, sugieren mantener un inventario de eventos conocidos y detallados, que sirvan como referente base para construir escenarios creíbles y manejables, sin perjuicio que se incorporen situaciones inesperadas o que no hayan ocurrido, que balanceen las expectativas de los participantes y mantengan monitoreada la “falsa sensación de seguridad”. (CANO 2013)
 
En virtud de lo expuesto, el ejecutivo de seguridad de la información deberá estar bien documentado y alimentado de las expectativas de su sector de negocio, para reconstruir cada vez su modelo de riesgos y amenazas emergentes, para simular los impactos de las materialización de los mismos, para indagar sobre las consecuencias que puede tener para el negocio, no sólo en el presente sino en el futuro.
 
Recuerde que cuando se le pida conocer las consecuencias potenciales de las brechas que se tienen en la función de seguridad, no es bueno presentar una expectativa sobredimensionada de los impacto, ni crear una ansiedad por sobrecarga de futuro. Más bien aterrice las expectativas del primer ejecutivo en declaraciones de impacto que consideren sus intereses políticos y movilicen sus agendas para incorporar a la información como un activo que tiene voz y voto en las revisiones estratégicas de la empresa.
 
Reflexiones finales
Responder a las inquietudes de la junta directiva sobre el nivel de vulnerabilidad o exposición frente a la inseguridad de la información, requiere cambiar el discurso de miedo, incertidumbre y dudas, por el de hechos, observaciones, anécdotas y metáforas en el contexto de la industria o prácticas de empresas semejantes. (ROSE 2013)
 
En este sentido, la presentación que espera la junta de un oficial ejecutivo de seguridad de la información es poner un sitio común las condiciones y retos empresariales donde la información se advierte como soporte de los mismos, para sí encontrar desde las reflexiones de estos ejecutivos puntos de encuentro y recomendaciones que vayan directamente a alimentar la base del riesgo residual que ha aceptado la compañía.
 
No es posible que un ejecutivo de seguridad de la información llegue a las puertas de la junta directiva sin un propósito específico. No es solamente presentar el estado de una gestión realizada, sino imprimir un mensaje en el colectivo de gerentes ejecutivos, para motivar reflexiones que reten la estrategia de seguridad de la información empresarial, más allá del efecto natural de mitigar los riesgos y amenazas emergentes identificadas.
 
En este sentido, bien anota Álvarez-Marañón, que en el contexto de una presentación, “(…) A los asistentes no les importa cuánto sabes hasta que no saben cuánto te importan. (…)” por tanto, es necesario explorar con detalle y profundidad el perfil de los miembros de junta al menos tres dimensiones:
·         Actitudes
o   ¿Por qué están aquí?
o   ¿Cuál es su postura ante el tema?
o   ¿Cómo podrían resistirse?
·         Demografía
o   ¿Cuánto son? ¿Quiénes son?
o   ¿Qué saben sobre el tema?
o   ¿Cómo puedo llegarles mejor?
·         Necesidades
o   ¿Cuáles son sus inquietudes?
o   ¿Cómo puedo solucionar su problema?
 
En síntesis, todos los esfuerzos que se adelanten para descifrar la dinámica del cuerpo colegiado de ejecutivos de primer nivel, serán estériles si el responsables de la seguridad de la información no tiene claro el mensaje que quiere transmitir y es capaz de encontrar la frecuencia empresarial donde se enmarca la inteligencia colectiva directiva, es decir, ese espacio en blanco en el cual los cambios ocurren y se dan respuesta a las inquietudes y necesidades de la empresa.
 
Referencias
ROSE, A. (2013) The CISO Handbook. Presenting to the Board. Forrester Research.
ÁLVAREZ-MARAÑON, G. (2012) El arte de presentar. Cómo planificar, estructurar, diseñar y exponer presentaciones. Gestión 2000.
CANO, J. (2013) Inseguridad de la información. Una visión estratégica. Alfaomega.
MONTAÑES DUATO, P. (2003) Inteligencia política. El poder creador en las organizaciones. Prentice Hall.
HEATH, C. y HEATH, D. (2011) Ideas que pegan. Por qué unas ideas sobreviven y otras mueren. Editorial LID.