jueves, 18 de diciembre de 2014

Apuntes sobre la cultura organizacional de seguridad de la información. Reflexiones conceptuales de un ejercicio de construcción colectiva y prácticas individuales

          Introducción

La acelerada evolución de las tecnologías de información y el tratamiento de la información son dos constantes que a la fecha marcan tendencias en la sociedad actual afectando tanto a los individuos como a las organizaciones. Esto supone una serie de exigencias para estas dos categorías, que en términos de competencias, como anota Fidler y Gobis (2012) demanda anticiparse a los cambios; revaluar, desarrollar y actualizar sus habilidades, así como adaptación y aprendizaje continuo durante toda la vida profesional y empresarial.

Lo anterior nos indica que conforme entramos en una espiral de automatización y uso intensivo de información, mayores capacidades de análisis e interpretación se deberán desarrollar, con el fin de potenciar el valor inherente de la información para efectos de concretar nuevas vistas y estrategias de negocio que potencien el modelo de generación de valor de la empresa.

Así las cosas, los individuos de esta sociedad de la información y conocimiento requieren gestionar la información y el conocimiento como competencia genérica, lo que implica una serie de comportamientos, niveles de apropiación y madurez que exige una preparación conceptual y práctica con el fin de hacer parte natural de la dinámica que impone el flujo de información y las necesidades emergentes de una humanidad conectada.

De acuerdo con Tobón (2013) la competencia de gestión de la información y el conocimiento la podríamos definir como: 

“Procesa la información relacionada con un determinado ámbito de la realidad con el fin de generar comprensión y conocimiento, teniendo como referencia los retos del contexto, las herramientas de planificación y gestión, y las tecnologías de la información y la comunicación”. (Tobón 2013, pág.116)

definición que nos anticipa una serie de características que se deben dar en los individuos para argumentar, proponer, interpretar y analizar con el fin de tomar acciones concretas e integrales ante situaciones y problemas en un contexto particular.

Si lo anterior es correcto, los agentes de la estructura social deberán construir en cada una de sus interacciones un cuerpo común de mensajes con sus categorías y clasificaciones, como fundamento de un lenguaje propio de la comunidad, para luego construir representaciones compartidas que se traducen en conocimiento y aprendizaje colectivo que los lleven finalmente a una visión común leída y comprendida por todos. (Amin y Cohendet 2004, p.26)

En este entendido, la información en la sociedad de la información y el conocimiento es un activo estratégico de la empresas del siglo XXI y su inadecuado tratamiento por parte de los individuos ocasiona brechas de seguridad de la información que generan serias implicaciones para las organizaciones expresadas generalmente en pérdidas económicas, sanciones legales y pérdida de reputación.

En este sentido, proteger la información demanda entender la importancia de este activo para la supervivencia de las empresas y una serie de prácticas que permitan a las personas incorporar en su diario hacer los comportamientos deseados y requeridos para su adecuada custodia.

En razón a lo anterior, caracterizar los elementos que construyen y desarrollan una cultura organizacional de seguridad de la información adaptable y sostenible en el tiempo demanda la comprensión de comportamientos específicos, que leídos desde una competencia genérica, permiten comprender mejor los retos prácticos y estructurales de la custodia de la información como activo clave de las organizaciones modernas.

Por tanto, en este documento se hace una introducción al concepto de cultura organizacional de seguridad de la información (COSI), revisando su evolución conceptual, la postura sistémica de su despliegue, una propuesta académica de lo que podría ser su madurez, así como una aproximación básica para fundar una competencia genérica de gestión segura de la información.

 
Evolución del concepto de cultura de seguridad de la información
La seguridad típicamente ha sido necesaria a nivel gubernamental para proteger intereses nacionales, asegurar la salvaguarda de los ciudadanos y preservar el orden. En el contexto organizacional, la protección se ha basado en el resguardo de los secretos industriales, así como de la información clave de sus operaciones y de sus clientes de eventos como pérdida, revelación o usos no autorizados (Hurlburst, Bojanova, Sobel y Crosby, 2014).

Si bien las organizaciones reconocen que la información es un elemento clave en el desarrollo de sus actividades, poca atención o prioridad le dan a su protección por parte de sus ejecutivos (VansonBourne – NTT Com Security 2014). Esta realidad revela la necesidad de resignificar el entendimiento colectivo de las empresas de la seguridad de la información, para sintonizar la protección de la información como una exigencia mínima que todas las personas de una organización deben tener en el tratamiento de la información.

En consecuencia, lograr un ambiente confiable para los activos de información empresariales, requiere la aplicación permanente y sostenible de prácticas de seguridad de la información, que se conviertan en parte de la cultura organizacional, es decir en parte de la teoría en uso de la compañía que influencie los comportamientos de los empleados respecto de la protección de la información (AlHogail y Mirza, 2014).

Como quiera que el concepto de cultura de seguridad de la información es relativamente nuevo, se ha tratado de aproximarse al mismo desde una diversidad de teorías y principios de otras áreas del conocimiento las cuales revelan aspectos novedosos del concepto, abriendo nuevas fuentes de entendimiento y comprensión de un fenómeno eminentemente social.

Ngo, Zhou y Warren (referenciado por AlHogail y Mirza, 2014) advierten que la cultura de seguridad de la información hace relación a cómo se hacen las cosas por parte de los empleados y la organización como un todo, para ser naturalmente consistente con los principios de la seguridad de la información.

De otra parte, Martin y Eloff (referenciado por AlHogail y Mirza, 2014) definen la cultura de seguridad de la información como las percepciones, actitudes y supuestos que son aceptados y promovidos por los empleados en una organización respecto de la seguridad de la información. Seguidamente, Schlienger y Teufel (referenciado por AlHogail y Mirza, 2014), indican que la cultura de seguridad de la información incluye todas la medidas socio culturales que soportan los métodos técnicos de la seguridad con el fin de hacer de la seguridad de la información un aspecto natural de las actividades de los empleados.

Ramachandran, Rao y Goles (2008) comentan que la cultura de seguridad de la información implica identificar las ideas que se tengan sobre la seguridad, creencias y valores de un grupo, los cuales le dan forma y guían los comportamientos respecto de la protección de la información. Malcolmson (referenciado por AlHogail y Mirza, 2014), argumenta que la cultura de seguridad de la información está indicada por los supuestos, valores, actitudes y creencias de los empleados, y los comportamientos que ellos ejecutan, los cuales potencialmente pueden impactar la seguridad de esa organización.

Dhillon (referenciado por AlHogail y Mirza, 2014) define la cultura de seguridad de la información como la totalidad de los atributos humanos como son los comportamientos, actitudes y valores que contribuyen a la protección de toda clase de información en una organización específica. AlSabbagh, AlAmeen, Watterstam y Kowalski (referenciado por AlHogail y Mirza, 2014), sugieren que la cultura de seguridad de la información es la manera que nuestras mentes están programadas para crear diferentes patrones de pensamiento, sentimientos y acciones para proporcionar un proceso de seguridad.

Alnatheer (2012) revisando las definiciones previas y de otros autores establece que la cultura de seguridad de la información la definen unos aspectos y otros la influencian. En este sentido, concluye que la cultura de seguridad de la información la definen tres elementos como son la apropiación, la concientización y el cumplimiento, los cuales están constituidos por comportamientos que motivan la protección de la información y la influencian otros como  el soporte de la alta gerencia, el cumplimiento y mantenimiento de políticas, el entrenamiento en seguridad de la información y las políticas respecto de las conductas éticas, que la hacen evolucionar.

Si bien las definiciones expuestas por los diversos autores, recaban sobre los elementos propios de la teoría de Schein (1992) de cultura organizacional, es importante advertir las conclusiones de Alnatheer que revelan aspectos concretos de los fundamentos mismos de la cultura de seguridad de la información, los cuales serán la base para establecer los pilares de una competencia genérica en gestión de la seguridad de la información, como punto clave en la articulación de comportamientos permanentes y sostenibles en el contexto organizacional.


Cultura organizacional de seguridad de la información: Vista sistémica de la cultura de seguridad de la información

Reid, Van Nieker y Renaud (2014) introducen el concepto de cultura de seguridad de la información, entendiendo éste desde la vista de sistemas anidados que revelan propiedades emergentes que le permiten automantenerse y autorepararse. Esta lectura corresponde a una interpretación desde la teoría de los sistemas vivos, los cuales son entes abiertos, complejos, adaptativos y autoorganizados que interactúan con su medio ambiente u otros sistemas.

Esta definición introduce la noción de anidamiento, que leído en términos cibernéticos (Hoverstadt, 2008), significa establecer un patrón orgánico que se repite al interior de la estructura estudiada, en donde el nivel superior depende de los comportamientos propios de los niveles inferiores. Esto supone comprender que cada interacción entre los participantes de un grupo particular y contexto específico, logra construir una vista propia de actuación que marca una forma y proceso que la distingue, sin perjuicio que comparta la generalidad presente en el nivel estudiado.

Así las cosas, cada individuo en un área particular cuenta con una cultura de seguridad de la información, que siguiendo a Alnatheer (2012) se encuentra definida por tres elementos como son apropiación, concientización y cumplimiento. Revisados estos considerandos en las reflexiones de este investigador, podemos detallar los comportamientos que caracterizan cada uno ellos, para entender en contexto lo que significa en concreto esa cultura inherente a cada persona.

Ahora bien, al estudiar un equipo o grupo particular, las interacciones de cada persona alrededor de la protección de la información van demarcando el comportamiento propio de esa comunidad, para lo cual la lectura de los tres componentes ahora en la vista colectiva, nos permite ir descubriendo la secuencia de comportamientos que caracterizan dicha colectividad.

Cuando empezamos la revisión desde el nivel general y vamos a niveles particulares, el ejercicio que se realiza es de análisis, lo cual permite conocer y descubrir la estructura en la cual nos movemos para advertir los componentes de la cultura organizacional de seguridad de la información (COSI). Mientras al regresarnos del nivel inferior al superior, adelantamos diagnóstico del nivel superior, basado en las reflexiones y revisiones efectuadas en el nivel inferior. De esta forma confirmamos la vista sistémica de la estrategia para conocer la COSI.
 



Vista anidada de la construcción y diagnóstico de una cultura organizacional de seguridad de la información

 
Así las cosas, en este ejercicio sistémico cibernético, la complejidad inherente de la cultura organizacional de seguridad de la información, se va asumiendo de manera paulatina por la revelación y análisis de los patrones identificados, basados en los tres elementos claves enunciados, los cuales le dan forma y respuesta a la pregunta: ¿cómo se construye y diagnostica una cultura organizacional de seguridad de la información?

 
Fundamentos de la madurez de la cultura organizacional de seguridad de la información
De acuerdo con los investigadores y académicos de Carnegie Mellon, los modelos de madurez son una forma de establecer la evolución de una práctica o concepto respecto de un referente planteado. Particularmente el modelo planteado por este claustro académico mencionado busca mejorar los procesos de desarrollo y de mantenimiento, tanto para los productos como para los servicios, que inicialmente fueron orientados hacia los temas de la ingeniería de software. (Beth, Konrad y Shrum, 2009)

El fundamento de esta propuesta está en los conceptos de mejora continua de procesos, donde “la calidad de un sistema o de un producto está muy influenciada por la calidad del proceso empleado para desarrollarlo y para mantenerlo”, afirmación que recaba en las reflexiones propias de los teóricos de la calidad como W. Edwards Deming (Deming, 1986), Phillip Crosby (Crosby, 1979) y Joseph Juran (Juran, 1988).

Si bien este concepto ha sido determinante y generoso en logros para las organizaciones, su asidero conceptual dista de ser sistémico, como quiera que su génesis responde al análisis y control estadístico de objetos particulares, al análisis de las partes como tal y sus características, lo cual focaliza los esfuerzos y concreta la métrica requerida para la toma de decisiones. En este entendido, la madurez se relaciona con la calidad dado que describe un camino evolutivo que permite pasar de procesos sin orden y ad hoc (no generalizables ni aplicable a otros procesos) a procesos disciplinados, de mejor calidad y eficientes, con vocación de estandarización o generalización. (Beth, Konrad y Shrum, 2009)

De otra parte, estudios recientes retan estas consideraciones vigentes sobre la madurez, fundamentando que este concepto no representa necesariamente un estado al que se llega de acuerdo con unas características (algunas veces caprichosas) definidas por un tercero, sino como una propiedad emergente del sistema que analiza las interacciones y relaciones entre los diferentes componentes, definiendo una tendencia en los comportamientos y prácticas que indican cómo se comporta en un momento específico una organización respecto de un tema. (Pernet, 2013)

Si lo anterior es correcto y considerando los resultados recientes de las investigaciones sobre este tema, se tiene que la madurez, al ser una propiedad que no es propia a los componentes del objeto evaluado, sino a sus interacciones, establece que la lectura de la tendencia puede variar de manera positiva o menos positiva, según los componentes se desempeñen y convivan en un contexto particular, generalmente conocido por la organización. En contraste, los modelos de madurez basados en los lineamientos de Carnegie Mellon, definen un estado que alcanzar, que supone que, una vez se llega allí no es viable retroceder.

Así las cosas y considerando la vista sistémica de la cultura organizacional de la seguridad de la información, se introduce el concepto de madurez como el diagnóstico propio de cada nivel basado en las interacciones del nivel inferior, leídos inicialmente en los tres componentes de Alnatheer (2012) (apropiación, concientización y cumplimiento) para estudiar de manera transitoria y en un periodo de tiempo, cómo estos elementos se comportan y definen una forma particular de entender y practicar la protección de la información.
 

Una propuesta académica para explorar la madurez de una cultura organizacional de seguridad de la información
Teniendo esto claro y con fundamento en la observación de las organizaciones actuales, sus diseños organizacionales y formas de proteger la información, se plantea una propuesta base de un modelo de madurez de cultura organizacional de seguridad de la información que demanda revisar no solamente los aspectos o comportamientos que definen la cultura de seguridad de la información, sino aquellos que la influencian y puede facilitar o inhibir su madurez.

 
Reactiva
Inestable
Proactiva
Sostenible
Fundamento de la cultura
Castigo
Incentivos
Bien común
Bien trascendente
Fundamento del acceso
Restricción
Restricción
Compartir
Uso responsable
Entendimiento de la información
Recurso
Recurso valioso
Activo
Activo estratégico
Instrumento base de la cultura
Marco normativo
Controles de INFOSEC
Amenazas y riesgos
Modelo de generación de valor
Nivel de compromiso de la Gerencia
Bajo
Medio
Alto
Muy Alto
             Modelo básico de Madurez de la Cultura Organizacional de Seguridad de la Información

En esta revisión académica se plantean cuatro tendencias de madurez de la cultura organizacional de seguridad de la información (COSI), leídas desde cinco elementos que pueden afectar la evolución de la COSI. Cada uno de ellos, revisa aspectos claves que movilizan o no los entendimientos colectivos de los participantes, respecto de la protección de la información, para advertir la forma como las prácticas de seguridad y control se pueden potencializar.

Lo anterior podríamos definirlo como la capa envolvente del proceso de construcción de cultura organizacional de seguridad de la información, previamente indicado de manera sistémica, donde se manifiestan y confirman unos comportamientos frente a tres elementos claves (apropiación, concientización y cumplimiento), y que son afectados o inflenciados por cinco fuerzas cuyas tensiones dan forma y definen una tendencia particular para la COSI. (Thomson, 2007)

En la cultura reactiva, el miedo, la incertidumbre y las dudas establecen los móviles que crean la sensación de inestabilidad y vulnerabilidad que hace que las acciones de control se tomen en las organizaciones. La sanción es la norma base sobre la cual el marco normativo se desarrolla y cumple, lo que permite modelar el comportamiento de las personas. Los sancionados se convierten en casos ejemplarizantes para persuadir a otros de buenos comportamientos sobre un recurso que se tiene como lo es la información.

Las empresas que superar el nivel reactivo y llegan al inestable, logran entender que la información es un recurso valioso que hace la diferencia para la organización. Se entienden en cierta medida los impactos de su inadecuado tratamiento y los comportamientos requeridos para su protección, los cuales son incentivados con recompensas o reconocimientos por cumplimiento de los controles definidos. La gerencia reconoce la importancia de los controles para asegurar la operación, pero no como elementos claves para su estrategia.

La tendencia nombrada como proactiva le da a la información el calificativo de activo, es decir, un elemento que se debe cuidar y asegurar, como quiera que representa un bien y valor común que se reconoce por todos en la empresa. En este punto, no es la restricción lo que hace la diferencia en la custodia de la información, sino la forma como se comparte, toda vez que se entienden los impactos de su tratamiento inadecuado, basado en una vista de riesgos y amenazas. La gerencia entiende con claridad la relevancia de valor de información y la necesidad de su protección.

Llegar al nivel sostenible implica que la información es un activo estratégico, que hace parte de la agenda propia del direccionamiento empresarial, donde se hace un uso responsable del mismo de acuerdo al contexto donde opera. Se supera la lectura del bien común dentro de la organización y se evidencia que las acciones de las personas en el tratamiento de la información benefician a otras (trascienden en el otro) y muestran con el ejemplo la continuidad de las prácticas enfocadas desde el modelo de generación de valor de la empresa. La gerencia no concibe el direccionamiento estratégico sin el acompañamiento de la lectura la seguridad de la información.
 

El concepto de competencias en la cultura de seguridad de la información
Si bien la propuesta anterior delinea elementos que sugieren lecturas de la evolución de la COSI, éstos deben estar conectados con los comportamientos propios de los colectivos que la componen, definiendo una competencia genérica en gestión de segura de la información, que en términos de Tobón (2013, pág.113) son competencias fundamentales para actuar en cualquier ocupación, puesto de trabajo y/o profesión y que tienen como base la actuación ética así como los derechos humanos.

Para ello, el concepto de competencias (particularmente genérica) se introduce como un forma conceptual y práctica de valorar los tres componentes base de la cultura de seguridad de la información: apropiación, concientización y cumplimiento (Alnatheer, 2012), para traducirlos en comportamientos y contextos específicos que permitan ver cómo se da forma a una cultura organizacional de seguridad de la información, construida desde la práctica de las competencias, como concepto integral y no sólo como cumplimiento de procedimientos a seguir.

De acuerdo con literatura revisada a la fecha se enumeran cinco enfoques clave para comprender las competencias: el enfoque ocupacional, el funcional, el constructivista, el integrado u holístico y el socioformativo, los cuales se compendian brevemente a continuación.

El enfoque ocupacional, tiene como principal interés el desempeño efectivo, en el cual se define cómo alcanzar resultados específicos con acciones específicas, en un contexto dado de políticas, procedimientos y condiciones de la organización (Mertens, 1996). En este sentido, las competencias son aquellas características que diferencian un desempeño superior de un desempeño promedio pobre (Mertens 1996, pág.70).

En el enfoque funcional, las competencias se entienden referidas a desempeños o resultados concretos y predefinidos que la persona debe demostrar en un proceso productivo determinado. Este enfoque tiene su base en la escuela de pensamiento funcionalista en sociología, aplicada como filosofía básica del sistema de competencia laboral en Inglaterra (Martens, 1996., referenciado por Pavié Nova 2011)

En el enfoque constructivista las competencias incluyen la totalidad de los recursos mentales que los individuos emplean para realizar las tareas importantes, para adquirir conocimientos y para conseguir un buen desempeño (Mulder, Weigel y Collins, 2008). 

En el enfoque integrado u holístico, desarrollado en Australia, la competencia se entiende como resultado de una compleja relación de atributos (conocimientos, actitudes, valores y habilidades) necesarios para el desempeño en situaciones específicas. En palabras de Navío (2004, pág.46, referenciado por Pavié Nova 2011) “el enfoque integrado intenta vincular las características individuales generales, con el contexto en que éstas se ponen en juego”.

Finalmente y no menos importante, el enfoque socioformativo, en el cual se “promueve abordar la formación humana integral como un sistema, y en esa medida busca identificar los ejes esenciales o nodos de la formación, los cuales orientan su estructuración y dinámica” (Tobón 2013, pág.25). Este enfoque le da importancia decisiva al hecho de que la formación es un proceso sistémico de corresponsabilidad entre la persona y el entorno social, cultural, económico y ambiental. En razón a lo anterior, se conceptualiza una competencia en este enfoque como:

Actuaciones integrales para identificar, interpretar, argumentar y resolver problemas del contexto, desarrollando y aplicando de manera articulada diferentes saberes (saber ser, saber convivir, saber hacer y saber conocer), con idoneidad, mejoramiento continuo y ética” (Tobón 2013, pág. 93). 

Entendiendo que una organización o comunidad es una reconstrucción permanente de conversaciones para la acción, donde se construyen y comparten significados, donde existe una determinación estructural que define tal colectivo, se requiere un enfoque de competencias que se alinee con esta propuesta, en la cual la epistemología subyacente se encuentra en el pensamiento de sistemas y los sistemas biológicos (Ballester y Colom, 2012).

Así las cosas, el enfoque socioformativo comparte dichas orientaciones, que si bien es similar a los otros enfoques en aspectos como: estudio del contexto, diseño curriculares más integrados, estrategias didácticas que consideran los diferentes saberes de las competencias y cuya valoración se basa en criterios y evidencias, difiere en que se enfoca al desarrollo de habilidades de pensamiento complejo, talleres reflexivos, emprendimiento creativo, orientación hacia los problemas del contexto y su estudio prospectivo. (Tobón 2013, pág.129)

Por tanto, en un mundo interconectado y altamente inestable, la formación de competencias implica reunir conocimientos para tener diferentes puntos de vista frente las situaciones problemáticas, dando cuenta de sus puntos en común, considerando la tendencia de la mente humana hacia el error y la ilusión. Esto supone desarrollar una educación para la incertidumbre, donde con el paso del tiempo se creen “quiebres” conceptuales (Reyes y Zarama, 1998), que generen inseguridad en el saber hacer, saber conocer, saber convivir y saber ser, para repensar nuevamente la forma como nos enfrentamos a los retos que el mundo nos impone.

La seguridad de la información no es ajena a ésta escenario y requiere asistir al entendimiento de esta realidad, sujeta al contexto donde se manifiestan dichos comportamientos, para encontrar formas que permitan entender las conductas contrarias a la protección de la información y fortalecer aquellas que se ajustan a los lineamientos e indicaciones de las organizaciones, vistas no solamente como una forma de cumplir un procedimiento, sino como un ejercicio de reflexión integral y sistémico, que permita madurar en un colectivo una cultura organizacional de seguridad de la información que sea sostenible en el tiempo.

Por tanto, diseñar y desarrollar una competencia genérica de gestión de segura de la información, conformada por tres competencias claves relacionadas con la cultura de seguridad de la información del individuo como es la apropiación, la concientización y el cumplimiento, a través de la cual mirar la evolución de los comportamientos y actuaciones de los individuos,  permite entender la problemática de la protección de la información en el contexto donde opera y, plantear acciones tanto en el presente como en el futuro frente los retos e incertidumbre que imponen las amenazas del entorno.


Reflexiones finales
La cultura de seguridad de la información y la cultura organizacional de seguridad de la información son dos vistas complementarias del reto que supone proteger la información en las organizaciones del nuevo milenio. Mientras la primera habla del entendimiento y vivencia de la persona respecto del tratamiento que ésta le da a la información (comportamientos que manifiestan apropiación, conciencia y cumplimiento (Alnatheer, 2012), la segunda nos convoca a explorar el proceso mediante el cual la interacción de “culturas de seguridad de la información” (individuales) establece un patrón estructural que define la forma como trata la información en un colectivo particular. Esto es, cómo se establecen y crean significados propios de cada comunidad para el tratamiento de la información que definen la forma como se apropian, se hacen conscientes y cumplen las prácticas de seguridad y control de la información.

En este escenario, no solo de complejidad organizacional y de cambios permanentes, proteger uno los activos intangibles más importantes de las organizaciones hoy, demanda no solamente conocer y entender la relevancia de este activo, sino contar con una vista integral que permita un adecuado tratamiento tanto dentro como fuera de las empresas (Cano, 2014). Por tanto, recabar en el entendimiento de las tendencias de la madurez de la cultura organizacional de seguridad de la información, nos permite comprender mejor los comportamientos de las personas frente al tratamiento de la información y advertir el nivel de dominio que se tiene de la competencia genérica de gestión segura de la información.

Así las cosas, introducir el concepto de competencia genérica en este análisis, propone una vista novedosa de la lectura de la COSI como quiera que su definición pone de manifiesto la necesidad de adquirir una maestría en el tratamiento de la información (White, 1979) como fundamento de la manera de cómo evoluciona la cultura de seguridad de la información tanto de forma individual como colectiva.

Por tanto, si queremos comprender mejor la exigencia que implica revelar la forma como se construye y diagnostica una cultura organizacional de seguridad de la información debemos estar abiertos a experimentar nuevas experiencias de aprendizaje que permitan incomodar y cuestionar los paradigmas vigentes y advertir un nivel de incompetencia, con el fin de movilizar nuestras reflexiones para crear vistas alternativas que tomen riesgos calculados sobre la realidad y lleven la comprensión actual de la problemática a un nuevo nivel o nueva dirección. (Delong y Delong, 2011)

Si entendemos que todas las cosas están conectadas (Hoque y Baer, 2014), que las interacciones de las personas definen y construyen significados que transforman y afectan su entorno, podemos comenzar a comprender la cultura organizacional de seguridad de la información como una propiedad emergente de una empresa, que se reconstruye desde los comportamientos de las personas, las estructuras que las contienen y definen; como una característica propia de las organizaciones que la distingue de otras, y que, cuando la inseguridad de la información aparece, es capaz de reconfigurar y repensar sus prácticas de seguridad y control existentes.


Referencias
AlHogail, A. y Mirza, A. (2014) Information security culture: a definition and a literatura review. World Congress on Computer Applications and Information Systems (WCCAIS), 17-19 January. pp.1-7. Doi: 10.1109/WCCAIS.2014.6916579
Alnatheer, M. (2012) Understanding and measuring information security culture in developing countries: Case of Saudi Arabia. Unpublished Doctoral Thesis. Queensland University of Technology. Disponible en: http://eprints.qut.edu.au/64070/1/Mohammed_Al_Natheer_Thesis.pdf
Amin, A. y Cohendet, P. (2004) Architectures of knowledge. Firms, capabilities, and communities. Oxford University Press.
Ballester, L. y Colom, A. (2012) Epistemología de las ciencias sociales y la educación. Ed. Tirant.
Beth, M., Konrad, M. y Shrum, S. (2009) CMMI. Guía para la integración de procesos y la mejora de productos. Ed. Pearson. Segunda Edición.
Cano, J. (2014) La función de seguridad de la información. Presiones actuales y emergentes desde la inseguridad de la información. ISACA Journal. Vol.6. Recuperado de: http://www.isaca.org/Journal/Past-Issues/2014/Volume-6/Pages/default.aspx (Requiere suscripción)
Crosby, P. (1979) Quality Is Free. The Art of Making Quality Certain. New York: McGraw-Hill.
Delong, T. y Delong, S. (2011) The paradox of excellence. Harvard Business Review. June.
Deming, W. (1986) Out of the Crisis. Cambridge, MA. MIT Center for Advanced Engineering.
Fidler, D. y Gorbis, M. (2012) Las diez competencias que necesitarán sus empleados. IESE Insight. Primer Trimestre.
Hoque, F. y Baer, D. (2014) Everythings connects. How to transform and lead in the age of creativity, innovation, and sustainability. McGraw Hill.
Hoverstadt, P. (2008) The fractal organization. Creating sustainable organizations with viable system model. John Wiley & Sons. Chichester, West Susex. UK.
Hurlburst, G., Bojanova, I., Sobel, A. y Crosby, K. (2014) Security or privacy? A matter of perspective. IEEE Computer. Noviembre. pp.94-98.
Juran, J. (1988) Juran on Planning for Quality. New York: Macmillan.
Mertens, L. (1996). Competencia laboral: sistemas, surgimientos y modelos. CINTERFOR/OIT. Montevideo, Uruguay. Recuperado de: http://cinterfor.org.uy
Mulder, M., Wiegel, T. y Collings, K. (2008). El concepto de competencia en el desarrollo de la educación y formación profesional en algunos Estados miembros de la UE: un análisis crítico. Profesorado. Revista de currículum y formación del profesorado. Vol. 12, No.3. Recuperado de: http://www.ugr.es/~recfpro/Rev123.html.
Pavié Nova, A. (2012) Las competencias profesionales del profesorado de lengua castellana y comunicaciones en Chile: aportaciones a la formación inicial. Tesis doctoral. Universidad de Valladolid. Facultad de Educación y Trabajo Social.
Pernet, E. (2013) Un modelo sistémico para el diagnóstico del estado de madurez del Gobierno, Riesgo y Cumplimiento en las organizaciones. Tesis doctoral. Newport University. School of Business.
Reid, R., Van Niekerk, J. y Renaud, K. (2014) Information security culture: A general living systems theory perspective. Information Security for South Africa (ISSA), 13-14 August. pp 1-8. Doi: 10.1109/ISSA.2014.6950493
Reyes, A. y Zarama, R. (1998) The process of embodying: a re-construction of the process of learning. Cybernetics & Human Knowing. Vol.5, No.3. pp 19-33.
Schein, E. (1992). Organizational culture and leadership. San Francisco, CA: Jossey-Bass.
Thomson K. L. (2007) MISSTEV: Model for Information Security Shared Tacit Espoused Values. Doctoral Thesis. Nelson Mandela Metropolitan University. Faculty of Engineering. South Africa.
Tobón, S. (2013) Formación integral y competencias. Pensamiento complejo, currículo, didáctica y evaluación. Ecoe Ediciones.
VansonBourne – NTT Com Security (2014) Risk: Value report. Do the senior executives understand their role in data security? Recuperado de:  http://www.nttcomsecurity.com/en/uploads/files/UK_White%20Paper_Risk%20Value_Public%20Approved_%20V3.pdf
White, R. (1979) Achievement, mastery, proficiency, competence. Studies in Science Education. Vol.6. pp 1-22

lunes, 3 de noviembre de 2014

Transformando la función de la seguridad de la información. Anticipando el futuro, entendiendo el presente.


Introducción
De acuerdo con el Instituto para el futuro (Fidler y Gobis, 2012) son seis las fuerzas motrices que dominarán el futuro: el nuevo ecosistema mediático, un mundo informatizado, las organizaciones superestructuradas, el mayor protagonismo de las máquinas y los sistemas inteligentes, la mayor longevidad y un mundo globalmente conectado. De igual forma, Gartner (Howard, Plummer, Genovese, Mann, Willis y Smith, 2012) indica que el mundo conocido estará gobernado por cuatro fuerzas convergentes: la computación en la nube, las redes sociales, la computación móvil y los grandes datos y la analítica.
 
Estas tendencias y consideraciones ponen de manifiesto fuerzas disruptivas que cambian la manera cómo hacemos las cosas y la forma cómo conocemos y descubrimos la realidad. En este contexto, los académicos Fidler y Gobis (2012) establecen diez capacidades que serán cruciales para el éxito en el trabajo. Dichas capacidades son: pensamiento computacional, dotes de diseño, gestión del volumen cognitivo, nueva alfabetización mediática, transdisciplinariedad, interpretación, inteligencia social, pensamiento innovador y adaptabilidad, competencia transcultural y colaboración virtual.
 
Estas capacidades, implican necesariamente enfrentarse a un mundo cada vez más complejo, entendiendo esta palabra, no como dificultad o algo complicado, sino como la necesidad humana para desarrollar estrategias y mecanismos para aumentar su variedad frente a nuevas formas como se advierte la realidad. Es decir, crear una interrupción del flujo esperado de acciones en nuestra relación con otros o con el mundo, para crear un estado de inseguridad que permita entrar en un nuevo ciclo de aprendizaje (REYES y ZARAMA, 1998).
 
Si lo anterior es correcto, el cimiento de la función y gobierno de seguridad de la información es crear estados de inseguridad permanentes, que permitan cuestionar los fundamentos de su operación y posición estratégica, entendiendo que ella está sometida al imperio de una ley esencial en su práctica: la inevitabilidad de la falla. Si bien, no podemos inducir a una práctica paranoica de la gerencia de la seguridad (gestión por miedo, dudas e incertidumbre), es importante comprender que la inseguridad de la información acampa en medio del conjunto de relaciones que se dan entre los componentes de un sistema, las cuales pueden generar, algunas veces vulnerabilidades inesperadas o nada intuitivas (Bonabeau, 2007).
 
Así las cosas, tratar de pronosticar el comportamiento o las tendencias más significativas de la inseguridad de la información, es un ejercicio retador, donde se corre el riesgo de no ajustarse con lo que la realidad revela. Sin embargo y teniendo claro que esta es una actividad que implica tratar de acertar en un blanco en movimiento, se presentan y analizan tres temas vitales (la relevancia de las juntas directivas, las capacidades relevantes de la función de seguridad de la información y la nueva generación de estrategas en seguridad de la información) identificados en informes especializados de la industria, noticias y reportes de investigación, con el fin de anticipar reflexiones claves y formas de pensamiento alternas para los ejecutivos de seguridad de la información, que posibiliten hacer distinciones nuevas en el contexto de su práctica actual y proyectadas en el futuro.

Relevancia de las actuaciones de la junta directiva
El papel estratégico de las juntas directivas depende de factores como la cultura y los requerimientos legales del país donde opera. En este sentido, puede asumir diferentes posiciones frente a la estrategia de la empresa: supervisar, cocrear o soportar, los cuales definen en sí mismas, la forma como actuará respecto de los cambios en el contexto de su industria (COSSIN y METAYER, 2014).
 
En su posición como supervisor, la junta directiva invierte tiempo para monitorizar el desempeño corporativo y el comportamiento del equipo ejecutivo. Es decir, revisa y asegurar que los ejecutivos de primer nivel de la empresa seleccionan un curso de acción y lo implementan de acuerdo con las exigencias propias de la estrategia, revelando inconsistencias que se puedan presentar respecto de la vista del negocio de la empresa (COSSIN y METAYER, 2014).
 
Como cocreadores, los miembros de las juntas directivas, contribuyen directamente a la cocreación de la estrategia de la empresa. Esto es, ponen a disposición de los ejecutivos de primer nivel su experiencia en otras compañías, contactos relevantes con grupos de interés y situaciones claves de otras industrias, con el fin de plantear reflexiones que posibiliten debates estratégicos más allá de las preconcepciones de la industria, facilitando posiciones flexibles para abrir nuevos panoramas que concreten acciones específicas que hagan la diferencia en su sector (COSSIN y METAYER, 2014).
 
Como soporte, la junta emerge como ese cuerpo colegiado que fortalece la credibilidad y autoridad del equipo ejecutivo empresarial. A pesar de la distancia natural que existe entre la gerencia de la empresa y la junta, ésta última genera valor ofreciendo apoyo y soporte a la compañía dentro y fuera de ella, como quiera que esta figura de gobierno, interviene en momentos claves de la empresa que le permiten cruzar momentos difíciles y situaciones controversiales que puedan poner en peligro la permanencia de la organización (COSSIN y METAYER, 2014).
 
Cualquiera que sea el papel que juegue la junta directiva, en el contexto de los riesgos y amenazas emergentes frente la seguridad de la información, se deben documentar y motivar para comprender las asimetrías de las relaciones y efectos que tiene la conectividad empresarial y las vulnerabilidades a las que puede estar expuesta la empresa. Si bien, es importante notificarles que la inevitabilidad de la falla estará presente todo el tiempo y que una brecha puede ocurrir en cualquier momento, también deberán tener en su radar una vista ejecutiva de los riesgos y amenazas conocidos, latentes, focales (o de industria) y emergentes (CANO, 2014) para poder incluir en sus reflexiones estratégicas los impactos de situaciones que afecten el modelo de generación de valor de la empresa y así, afinar las decisiones que se pueden tomar respecto de la información y la estrategia de la compañía.
 
Capacidades relevantes para la función de seguridad de la información
Las capacidades empresariales y la tecnología de información están íntimamente relacionadas, pero frecuentemente son incomprendidas. Una capacidad es la habilidad que se tiene para entregar de manera confiable y consistente un resultado específico relevante para el negocio (ÁLVAREZ y RAGHAVAN, 2010).
 
En este sentido, cualquier iniciativa que se plantee para potenciar estas capacidades, deberá estar alineado frente a dos criterios claves, valor potencial de la misma y la importancia estratégica para empresa. Mientras el primer criterio busca mejorar el desempeño corporativo y reducir costos ajustados con la estrategia planteada por la organización, el segundo busca identificar capacidades distintivas donde pueda invertir para alcanzar una posición clave en su segmento de mercado (ÁLVAREZ y RAGHAVAN, 2010).


Alto
 
 
Valor potencial
 
 
Bajo
Refinar
Crecer
Mantener las luces encendidas
Sostener
 
Bajo Importancia estratégica                           Alto

Tabla No.1 Inversiones de TI (Adaptado de Álvarez y Raghavan, 2010)

 
Basado en lo anterior, se establecen cuatro cuadrantes que definen las orientaciones de inversión requeridas para potenciar las capacidades de una comunidad de negocios. A continuación se resumen los cuadrantes y sus implicaciones, las cuales luego serán revisados y leídos en el contexto de la función de seguridad de la información.
 
Cuando el valor potencial (VP) y la importancia estratégica (IE) es baja, las inversiones que se destinan son para mantener lo que se tiene en operación, lo que los autores denominan “mantener las luces encendidas”. No hacer estas inversiones debilitan la posición actual de la empresa y ceden terreno sobre el estándar base que las empresas tienen en su contexto de negocio.
 
Si el VP es bajo y la IE es alta, se habla de inversiones que permiten sostener la posición estratégica de la empresa; proyectos que pueden requerir mejoramientos marginales para realizar el potencial total de los mismos. Es decir, son aquellas iniciativas que están concebidas para generar importantes transformaciones tácticas y operativas que aún no despegan para dar todo el potencial con las cuales fueron creadas.
 
Si el VP es alto y la IE es baja, las inversiones diseñadas son para refinar, es decir, para ajustar los proyectos vigentes con el fin de ganar eficiencia, mejorar las operaciones y optimizar la fuerza laboral propia de la ejecución de las actividades previstas. Si bien estas inversiones buscan mantener a la empresa en el negocio, no la convertirán en organización de clase mundial.
 
Finalmente, si el VP es alto y la IE es alta, las inversiones se califican de crecimiento (para crecer), aquellas que hacen falta para cubrir las brechas de aquellas capacidades que más requiere a la empresa. Estas capacidades se articulan internamente entre áreas, productos y servicios buscando cumplir con las expectativas de las diferentes partes involucradas.
 
Si leemos este instrumento en el contexto de la función de seguridad de la información, podemos tener una lectura que detalle sus capacidades fundamentales con los siguientes énfasis.


Alto
 
 
Valor potencial
 
 
Bajo
Defender
(El valor de la información de la empresa con inteligencia activa)
Anticipar
(actuar proactivamente, limitando impactos en la operación, la reputación y el valor)
Proteger
(El desarrollo del programa de seguridad de la información)
Asegurar
(El flujo de la información estratégica en los procesos claves)
 
Bajo  Importancia   estratégica                                                 Alto

Tabla No. 2 Capacidades para la función de seguridad de la información
 

Proteger, implica reconocer las prácticas actuales de seguridad y control vigentes en la empresa y mantener las inversiones que allí se tienen, buscando alcanzar cada día un mayor nivel de madurez que permita avanzar y fortalecer la distinción de protección, creando escenarios de historias de éxito que apalanquen el programa actual de seguridad de la información.
 
Asegurar, es profundizar en la identificación y protección de los procesos claves de la empresa, donde la información estratégica es parte de las conversaciones de los ejecutivos y donde el potencial de uso de la información, se estudia en el contexto de las aplicaciones actuales y futuras del negocio, como fuente potencial de nuevas ventajas claves para crear movimientos disruptivos en el sector.
 
Defender, es entender el territorio donde se mueve la organización y sus negocios, con el fin de conocer y establecer escenarios de riesgos y amenazas que permitan estudiar posibles flujos de información potencialmente valiosa, con la cual se puedan desbalancear posiciones de jugadores claves de los mercados y favorecer las estrategias planteadas por la empresa. La defensa es del valor de la información, que se concreta en funciones de inteligencia activa que reconstruyan los escenarios de actuación de la empresa.
 
Anticipar, es concretar visiones y realidades emergentes que pronostiquen cambios inesperados y realidades imprevistas, frente a las cuales la organización pueda actuar sin mayores contratiempos, limitando impactos en su operación, reputación y valor; con la menor afectación de sus grupos de interés y la mayor claridad para la junta directiva frente a los cursos de acción definidos ante la inevitabilidad de la falla.
 
Si la función de seguridad de la información, no logra desarrollar con claridad alguna de las capacidades mencionadas, comenzará a destruir el valor que haya podido crear previamente, como quiera que cada una de ellas lo que hace es reforzar el ejercicio estratégico efectuado desde la realidad de los riesgos de pérdida y/o fuga de información sensible para empresa; lectura que define y declara a la información como un activo intangible relevante para la supervivencia de la empresa en el largo plazo.
 
Nueva generación de estrategas en seguridad de la información
El contexto de los negocios actuales y la manera como la información le da forma a nuevas y retadoras estrategias para crear realidades nunca antes vistas, nos pone en contexto sobre la nueva generación de estrategas que son requeridos en seguridad de la información.
 
Si bien, la experiencia en la gestión de riesgos, el manejo de presupuestos, el tratamiento de las crisis e incidentes, las capacidades comunicativas y conocimiento técnico de las tecnologías de seguridad informática, son elementos claves y requeridos para enfrentarse a la realidad de la gerencia y gobierno de la seguridad de la información de una empresa, se requieren habilidades y competencias complementarias que renueven estos conocimientos y los actualicen en el mundo de inestabilidades y dinámicas donde hoy ocurre la práctica de seguridad y control de las empresas.
 
Dentro de las nuevas competencias requeridas están la inteligencia social, la transdiciplinariedad, la disposición para aprender y la correlación de múltiples datos y fuentes de información.
 
La inteligencia social procura crear valor solucionando problemas de la sociedad, aceptando e invitando a la competencia a participar, empoderando a los grupos de interés para que formen parte de la solución (SANTOS, 2014), en pocas palabras, colaborando y forjando relaciones de confianza que procuren relaciones novedosas donde la práctica de seguridad de la información, facilita una interacción sana y ajustada a los acuerdos establecidos, que disminuya los costos ocultos de una vista deshonesta de un uso no apropiado de la información.
 
La transdisciplinariedad, exige curiosidad y voluntad para seguir aprendiendo después de haber terminado la educación formal. Esto es, educar a investigadores para que puedan hablar el idioma de otras disciplinas (FIDLER y GORBIS, 2012). Esta realidad en el contexto de la función de la seguridad de la información, es hacer una lectura extendida de la práctica de seguridad y control en el dominio de otras disciplinas. Particularmente hoy el diálogo de la seguridad de la información con el derecho, la biología, la gestión documental, la ética y los valores, el pensamiento de sistemas y otras más, es amplio y generoso, lo que implica renovar los lentes estratégicos y tácticos de la gestión y gobierno de la seguridad en otras disciplinas como fuente de innovación y prácticas emergentes.
 
La disposición para aprender, como lo indican Reyes y Zarama (1998) pasa por tres momentos: declarar que no se sabe, aceptar la posibilidad de una ceguera cognitiva (aceptar que no sabemos) y declarar un maestro. Para los ejecutivos de la seguridad de la información “el no saber” les crea un conflicto interno que los margina de nuevas oportunidades para ver aquello que no se ve, pues ven comprometida su idoneidad profesional que puede deteriorar su imagen delante de los ejecutivos de la empresa.
 
De otra parte, las presiones internas les exigen saber lo que pasa frente a situaciones inesperadas, lo que limita su capacidad para hacerse conscientes que “saben que no saben” y darse la oportunidad para descubrir elementos emergentes que se revelan en una situación particular, que son desconocidos y novedosos en ese contexto.
 
Si lo anterior es ya un ejercicio de humildad profesional, el declarar un maestro que lo oriente por los nuevos linderos de reflexión, exige una alta dosis de autoridad y confianza. Otorgarle el permiso y la condición de maestro a otro para que lo saque de sus cegueras cognitivas y confiar en las propuestas metodológicas y prácticas que se le ofrecen para que transite el camino de aprender y desaprender, es entender e interiorizar el ejercicio natural de la inevitabilidad de la falla: educar no para enseñarle algo que no sabía, sino para convertirlo en alguien que no existía.
 
La correlación de múltiples datos y fuentes de información, busca generar la capacidad del ejecutivo de seguridad de la información para convertir el flujo masivo de datos, representados en informes, noticias, contextos, impactos, tendencias e indicadores, para aprender a filtrar, descubrir patrones emergentes y centrarse en lo realmente importante (FIDLER y GORBIS, 2012). Es claro que esta capacidad, deberá estar asistida de tecnología de información relevante, sin perjuicio de la habilidad cognitiva que debe desarrollar el ejecutivo para no dejarse sobrecargar de información y datos y así no perder el foco de sus análisis y resultados.
 
Reflexiones finales
De acuerdo con el SECURITY FOR BUSINESS INNOVATION COUNCIL (2014), si un ejecutivo de seguridad de la información quiere mantenerse “adelante en la curva” en su posición organizacional, debe atender las siguientes cinco recomendaciones:
  • Cuente con una posición clara de la seguridad de la información y su arquitectura que contengan las tendencias de las personas de incorporar nuevas tecnologías que ellos usan.
  • Enmarque sus requerimientos en términos de las capacidades que usted requiere desarrollar, más que en términos de productos o grupos de ellos disponibles en el mercado.
  • Mire y revise nuevos proveedores en seguridad de la información. En dos o tres años pueden tener soluciones que usted puede necesitar.
  • Articule los problemas de negocio que usted necesite resolver en dos o tres años y empiece a presionar a los proveedores para proveer las herramientas que usted necesita.
  • Busque información sobre tendencias tecnológicas emergentes.
 
Si bien las anteriores son recomendaciones prácticas para el ejecutivo de seguridad de la información en el contexto corporativo, es importante que atienda en los siguientes años al menos tres elementos claves en su ejercicio empresarial como son el entendimiento del papel de la junta directiva, las capacidades claves de la función de seguridad de la información y las competencias complementarias, previamente mencionadas. 

Sin una revisión consciente de estos elementos planteados, el gobierno de la seguridad de la información seguirá funcionando en el mediano plazo con relativa calma y discreto apoyo directivo. Sin embargo, el entorno y sus cambios lo llevarán a escenarios inciertos donde la toma de decisiones estará enmarcada por mucha información, poco tiempo y la demanda de efectividad de las acciones que se apliquen.
 
Comprender la complejidad de la realidad actual, la necesidad de incrementar la capacidad para ver la variedad del entorno y desarrollar la habilidad para conocer y explorar sobre la información y los datos, deberán ser la prioridad de los nuevos ejecutivos de la seguridad de la información, cuya consigna estará orientada a anticipar escenarios emergentes y definir cursos de acción que limiten los impactos y aprovechen las oportunidades que la situación inesperada les brinda.
 
Pronosticar en seguridad de la información sobre diferenciadores tecnológicos, prácticas emergentes y vulnerabilidades concretas, es comprender cuerpos de conocimientos conocidos donde las estadísticas y análisis permiten establecer orientaciones claves que son medianamente verificables.
 
No obstante lo anterior, lanzarse a proponer cambios o transformaciones en el escenario estratégico y funcional, denota una apuesta conceptual propositiva que consolida una búsqueda de una realidad emergente y retadora, que inicia con los tres componentes planteados en este documento y que, sujetos a las inestabilidades y contradicciones de la realidad, dejan a nuestra maestra la inseguridad de la información como referente para seguir aprendiendo.
 

Referencias

  • FIDLER, D. y GORBIS, M. (2012) Las diez competencias que necesitarán sus empleados. IESE Insight. Primer trimestre. No.12.
  • ÁLVAREZ, E. y RAGHAVAN, S. (2010) Road map to relevance. How capabilities-driven information technology strategy can help differentiate your Company. Strategy+Business. Issue 61. Winter.
  • BONABEAU, E. (2007) Understanding and managing complexity risk. Sloan Management Review. Vol.48. No.4. Summer.
  • COSSIN, D. y METAYER, E. (2014) How strategic is your board? Sloan Management Review. Vol.56. No.1. Fall.
  • SECURITY FOR BUSINESS INNOVATION COUNCIL (2014) Transforming information security. Focusing on strategic technologies. RSA Security LLC, EMC Corporation.
  • HOWARD, PLUMMER, GENOVESE, MANN, WILLIS y SMITH (2012) The nexus of forces: Social, mobile, cloud  and information. Gartner Research.
  • REYES, A. y ZARAMA, R (1998) The process of embodying: a re-construction of the process of learning. Cybernetics & Human Knowing. Vol.5. No.3. pp 19-33
  • CANO, J. (2014) La ventana de AREM. Una herramienta táctica y estratégica para visualizar la incertidumbre. Actas de la Reunión Española de Criptología y Seguridad de la Información. Alicante. Septiembre 1 al 5.
  • SANTOS, F. (2014) Cómo puede transformar su negocio la lógica social. IESE Insight. Tercer trimestre. No.22.