viernes, 28 de agosto de 2015

Radiografía de un analista de seguridad de la información. Cinco capacidades claves y tres declaraciones básicas.

Introducción
Anota el académico Dans (2015) en una columna reciente de su blog: “muchas veces lo importante es precisamente entender qué es lo que no se sabe, por qué, y cómo llevar la discusión a ello de una manera que resulte suficientemente atractiva para los alumnos y para la necesaria motivación del profesor. (…)”, una frase que pone de manifiesto la postura que todo analista de seguridad de la información debe tener frente a su maestra la inseguridad de la información.

Muchos analistas, en el ejercicio de su práctica, saben que deben dar respuestas a las preguntas permanentes de sus clientes, comprender de primera mano los ataques y estrategias de los atacantes, y dar cuenta de las medidas que se deben tomar para proteger los activos de información. Cuando un analista no tiene respuestas entra en una encrucijada personal y profesional, que afecta su estabilidad psicológica y su reputación, algo que genera una inestabilidad interna que resquebraja el balance de esta persona.

En este sentido, un analista de seguridad de la información o de ciber seguridad deben estar formado frente al contexto del mundo actual: volátil, incierto, complejo y ambiguo (Johansen, 2009), allí donde de manera sistemática su maestra la inseguridad le hace ver qué es lo que no sabe y lo motiva entender que la lucha constante de ataque y defensa (Mazurczyk y Rzeszutko, 2015), es el ejercicio natural que le corresponde explorar para reconectar cada vez los puntos del escenario donde actúa.

Así las cosas, un analista de seguridad de la información, debe desarrollar al menos cinco (5) capacidades claves que le permitan no solamente entender la realidad y los retos de los ataques y sus atacantes, sino estar preparado para los movimientos disruptivos que supone el nuevo ecosistema donde viven y operan las organizaciones modernas y así mismo, alinear sus reflexiones con tres reglas básicas de la protección personal: pensar como el atacante, mantener un bajo perfil y siempre tener una ruta de escape (Wilson, 2012), como fuente de acciones prácticas que revelen sus capacidades analíticas claves.


Figura 1. Radiografía del analista de seguridad de la información.


Cinco capacidades claves de los analistas de seguridad de la información (Adaptado de: Axon, Friedman y Jordan, 2015)

1. Comprenden la complejidad
Esto significa que el profesional de seguridad de la información deberá desarrollar la habilidad de pensar de forma sistémica, viendo su entorno como sistemas interdependientes, con el fin de identificar tendencias e indicadores de cambios disruptivos. Para ello es necesario que su mente tenga la capacidad de abrirse para reconocer contradicciones, inestabilidades y rarezas para construir escenarios posibles que verifiquen amenazas que aún no se anticipan en el horizonte.

2.  Actúan estratégicamente
Esta capacidad demanda del analista estar preparado para ajustar sus estrategias vigentes para capturar oportunidades emergentes o desafíos inesperados. Lo anterior supone, claridad de la incertidumbre estructural identificada, para actuar de forma efectiva conectando nuevos puntos a su escenario actual y así, responder y anticipar movimientos de la inseguridad de la información, que se esconden en sus manifestaciones asimétricas.

3. Mantienen redes de contactos
El analista de seguridad de la información en la medida que desarrolla y participa de comunidades abiertas especializadas en temas de seguridad de la información, así como de aquellas que le permitan cultivar relaciones no sólo dentro, sino más allá de los límites de la empresa, lo habilita para potenciar nuevas formas de pensar y entender su entorno, lo cual aumenta significativamente su espectro de actuación y sobre manera redes de conocimiento desconocidas y generosas en propuestas, frecuentemente inusuales, que quiebran sus propios modelos de pensar.

4. Desarrollan adaptabilidad personal
El cargo de analista de seguridad exige una alta dosis de resiliencia, esa virtud que le permite a la persona mantenerse de pie y centrada en su propósito, aun las circunstancias externas lo golpee y traten de disminuirlo. Esto supone que la persona reconoce que aquellos enfoques que funcionaron en el pasado, no necesariamente van a ser operacionales en el presente, es decir, ver la realidad a través de unos ojos renovados que permitan identificar y aprovechar nuevas oportunidades en medio de las contradicciones.

5. Cultivan el aprendizaje ágil
El analista de seguridad que dice que terminó de aprender, será un objetivo sencillo para la inevitabilidad de la falla. En este sentido, el aprendizaje ágil, como la búsqueda permanente de quiebres conceptuales y prácticos en su vida diaria es la práctica clave que cualquier analista debe desarrollar si quiere mantenerse vigente frente a los cambios inesperados y amenazas emergentes en el contexto actual. Lo anterior, supone experimentar con aproximaciones y enfoques novedosos, generalmente usando prototipos rápidos, que le permiten capitalizar con celeridad las lecciones aprendidas y por aprender.

Estas cinco capacidades establecen un círculo virtuoso para el analista de seguridad, que le permiten asegurar un conjunto de habilidades y prácticas para aumentar su capacidad de análisis y reconocimiento del entorno, con el fin de anticipar la asimetría de las actuaciones de la inseguridad de la información. Si bien, no podrá acertar en todos los casos, se mantendrá cerca de las inestabilidades estructurales que ocurren, buscando aquellas relaciones relevantes para dar cuenta de sus reportes y propuestas frente al ejercicio de la protección de la información.

Tres declaraciones básicas para los analistas de seguridad de la información (Adaptado de: Wilson, 2012)
Las siguientes declaraciones, extraídas del mundo de la seguridad física y la protección personal, nos permiten articular las habilidades de análisis y capacidad de respuesta de los analistas de seguridad de la información, en acciones concretas que quiebren la falsa sensación de seguridad en las organizaciones.

1. Pensar como el atacante.
Esta declaración demanda ponerse en los zapatos del contrario, entender la lógica de su razonamiento, cultivar la mirada del que busca puntos débiles, zonas grises, contradicciones normativas e implementaciones complejas con el fin de articular posibilidades de acceso y uso no autorizado de sistemas de información, datos sensibles o afectación de la reputación de una persona natural o jurídica.

2. Mantener bajo perfil.
Esta expresión, leída en clave de seguridad de la información, implica prudencia y responsabilidad en el tratamiento de la información empresarial, así como de la personal en redes sociales o medios masivos. La información lleva la impronta de la organización, su conocimiento y el esfuerzo de muchas personas la cual, cuando se sobreexpone en medio del ecosistema donde opera la empresa, genera sensaciones y emociones que se pueden traducir en actividades de inteligencia e ingeniería social que terminen afectando y comprometiendo aquello que hace la diferencia y moviliza el modelo de generación de valor empresarial.

3. Tener una ruta de escape.
Esta declaración supone en el contexto del mundo real, tener rutas alternas y ubicaciones seguras ante cualquier situación de excepción. En el mundo de la seguridad de la información, su lectura sugiere tener sitios de operación remotos, copias de seguridad externas, procedimientos de acceso y control excepcionales, mecanismos de destrucción adecuados y dobles autenticaciones que aumenten la complejidad del acceso ante una pérdida o fuga de la información.

Considerar estas tres declaraciones como fundamento de las actuaciones prácticas del analista de seguridad de la información, permite reforzar el ejercicio de la mente del atacante, como quiera que entendiendo el entorno interconectado donde la organización opera, es capaz de replicar el razonamiento del contrario, con la finalidad no solamente de mejorar la resistencia de la organización frente a los ataques, sino las posibles rutas de acceso conocidas o menos evidentes desde la visual de un agresor.

Reflexiones finales
Enfrentar la realidad interconectada de las organizaciones y sus relaciones con el nuevo ecosistema digital, es comprender que una brecha de seguridad de la información o ciber ataque, no solo causa pérdidas económicas, sino impactos psicológicos que afectan imaginarios sociales que cambian el rumbo de las decisiones personales y colectivas respecto de una realidad concreta (Vaidya, 2015).

En este sentido, los analistas de seguridad de la información se convierten en custodios de una experiencia corporativa de protección de la información, que motiven comportamientos asertivos respecto del tratamiento de la información, los cuales deben estar articulados desde la lectura virtuosa de las cinco capacidades previamente comentadas.  

Comprender la complejidad, actuar estratégicamente, mantener una red de contactos, desarrollar adaptabilidad personal y cultivar el aprendizaje ágil, son capacidades claves para acelerar y definir los escenarios claves que permitan a la organización recomponer su lectura activa de las amenazas del entorno y desarrollar acciones preventivas que anticipen acciones no autorizadas que puedan afectar su modelo de generación de valor.

Así las cosas, si bien no es posible saber que situaciones inesperadas van a ocurrir, la organización deberá responder de manera ágil y consistente para dar cuenta del momento de crisis que se presenta. En este sentido, las tres declaraciones prácticas informan las condiciones y estrategias que se siguen frente a la huella del posible atacante, movilizando de manera sencilla y ordenada aquellas vulnerabilidades identificadas y el cierre de las mismas, la información que se ha comprometido y sus impactos, así como las rutas alternas que la empresa tiene para mantener su operación.

Muchas veces se espera que el analista de seguridad de la información pueda predecir el futuro o averiguar las intenciones de los posibles atacantes, sin embargo la realidad nos ilustra que el ejercicio siempre es limitado, que las variables son innumerables y que la capacidad de análisis no es la esperada frente al potencial de información disponible. No obstante, el analista sabe que más allá del pronóstico e indicaciones que debe indicar, es la confianza que debe construir y comunicar para crear un lenguaje que empareje la incertidumbre del entorno y la preparación empresarial para comprender y enfrentar la inevitabilidad de la falla.

Referencias
Dans, E. (2015) Elogio de la ignorancia. Blog personal. Recuperado de: http://www.enriquedans.com/2015/08/elogio-de-la-ignorancia.html
Mazurczyk, W. y Rzeszutko, E. (2015) Security – A perpetual war: lesson from nature. IEEE IT Professional. Enero/Febrero.
Vaidya, T. (2015) 2001-2013: Survey and analysis of major cyberattacks. Recuperado de: http://arxiv.org/abs/1507.06673
Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
Axon, L., Friedman, E. y Jordan, K. (2015) Leading now: Critical capabilities for a complex World. Corporate learning. Harvard Business Publishing. Recuperado de: http://www.harvardbusiness.org/leading-now-critical-capabilities-complex-world
Wilson, O. (2012) International security. Personal protection in an uncertain world. Glenbridge Publishing.

lunes, 17 de agosto de 2015

Juntas directivas. Descifrar e influenciar su imaginario vigente sobre la seguridad de la información

Introducción
Una de las problemáticas más recurrentes en el ejercicio de los ejecutivos de seguridad de la información es su relación con los miembros de junta directiva. Muchas veces el lenguaje que se usa, la forma como se presenta o incluso las estadísticas que se incluyen, no permiten conectar la realidad de la seguridad de la información con las expectativas, muchas de ellas de corte político, que se manejan entre los miembros de junta.

En este sentido, el oficial de seguridad de la información de la corporación debe comportarse como un “político de empresa”, esto es aquel, que como indica Montañés (2009, p.232-233) “se caracteriza porque mira a más plazo, sus ambiciones son de mayor alcance y, sobre todo, sus actuaciones son más duraderas. (…) sabe que la comunicación, tanto interna como externa, es estratégica, y le dedica tiempo.”

Por tanto, el ejecutivo de seguridad de la información sabe que su habilidad para comunicar hace la diferencia para captar la atención de los miembros de junta, por lo cual es necesario estudiar en detalle las aspiraciones, las reflexiones y exigencias del directorio ejecutivo de primer nivel con el fin de articular la lectura de los riesgos en el tratamiento de la información, las estrategias diseñadas y en operación a la fecha, en términos no técnicos y así influenciar el imaginario vigente en este ente de gobierno.

Generalmente los miembros del directorio son ejecutivos que no tienen responsabilidades internas en la organización, pero si mucha experiencia en sectores particulares de la industria, así como destrezas en términos financieros y selección de talentos para empresas. Estos ejecutivos saben la importancia del cumplimiento de las regulaciones y los impactos de los errores frente a los entes de supervisión (Rose, 2013).

En consecuencia el responsable de la seguridad de la información, deberá articular un discurso basado en el negocio y sus implicaciones, más que en el ejercicio de aseguramiento tecnológico, que muestre su capacidad para ver la relaciones de su entorno en clave de los objetivos estratégicos de la organización, sus propuestas de valor para los grupos de interés y la custodia de la imagen corporativa, como fundamento de su alianza con los intereses particulares de cada miembro de la junta.

Así las cosas, este documento indaga en algunas estrategias que puede seguir el ejecutivo de seguridad de la información para entrar en la sintonía de las conversaciones de las juntas directivas y sus imaginarios, no como un invitado para rendir cuentas sobre un aspecto particular que se requiere conocer, sino como fuente de conocimiento experto y asesoría empresarial que reconoce las prioridades del negocio y asiste a este cuerpo colegiado para entender las implicaciones de los riesgos derivados del inadecuado tratamiento de la información y de aquellos propios del incremento de la sofisticación de los atacantes y sus herramientas.

Las preguntas que inquietan a los miembros de junta sobre la seguridad de la información
Si bien son muchas las preocupaciones y prioridades que deben atender los miembros de junta directiva, la encuesta realizada por Forrester (Rose, 2013) confirma algunos de los cuales hacen parte permanente de sus reflexiones: impuestos, pérdida de clientes, ciber riesgo, precios de materias primas y cambios o ajustes en las regulaciones.

Como se puede observar, la categoría ciber riesgos se hace presente como uno de los temas claves que se deben atender en la empresa. Esta tendencia es nueva como quiera que eventos de gran relevancia internacional en esta temática han comenzado a llamar la atención de estos cuerpos de gobierno dado que se empiezan a sentir impactos concretos, que han cobrado posiciones de importantes ejecutivos en empresas como son Sony, JP Morgan, Target y Saudi Aramco.

Un ciber riesgo (Frapolli, 2015) está compuesto por cuatro componentes fundamentales: datos e información, un tercero no autorizado, una brecha de seguridad y una lesión. Es decir, es una condición en la cual datos e información (generalmente sujeta a un deber de protección por parte de la organización), es accedida por un actor o tercero no autorizado a través de la materialización de un evento no deseado (que supera los controles de acceso bien a través de fallas no documentadas o código malicioso) que produce una lesión a un interés legítimo de la empresa.

En este contexto, cinco son las preguntas que los miembros de junta tienen para el ejecutivo de seguridad de la información, las cuales deben atender aquellas inquietudes subyancentes, que no serán reveladas en el momento, pero que estarán presentes en sus apreciaciones y comentarios mientras que el CISO (Chief Information Security Officer) da cuenta de las mismas: (Rose, 2013)
  •      ¿Cuáles son las tendencias en riesgos y amenazas emergentes que nos pueden afectar?
  •      ¿Cuáles son nuestros planes y acciones frente a estos riesgos y amenazas emergentes?
  •      ¿Cómo lo están haciendo nuestros pares en la industria?
  •      ¿Cuál es la brecha que tenemos frente al referente que estamos usando?
  •      ¿Cuáles son las potenciales consecuencias de estas brechas si no las cubrimos?
Cada una de estas preguntas indaga sobre la capacidad que tiene la función de seguridad de la información, no de predecir el futuro, sino como advierte Flores (2015, p.59) de hacer juicios bien fundados sobre el futuro. Para ello, el ejecutivo de seguridad de la información debe comprender con claridad la incertidumbre estructural (Charan, 2015) que se advierte en el entorno de negocio, las anomalías y contradicciones de las prácticas actuales de los atacantes, frente a la calidad de la respuesta de la organización en términos de: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.33)
  •      Capacidad de defensa propia
  •      Ritmo de la innovación de las tecnologías de defensa
  •      Cooperación internacional disponible
  •      Calidad de la información/conocimiento compartido en medios públicos y privados

Cambiando el marco de comunicación de un CISO
Generalmente los responsables de la seguridad de la información aparecen en las juntas directivas cuando un evento no deseado ocurre. Suele suceder que llegan allí para someterse al juicio de responsabilidades sobre lo ocurrido, como quiera que la única lectura que se tiene de la seguridad está articulada con la protección o defensa de la empresa, de la cual ellos son los responsables.

Cambiar este imaginario, frecuentemente muy acentuado en las juntas directivas, demanda del CISO plantear una agenda estratégica y política con los miembros de estos cuerpos colegiados con el fin de construir un diálogo más fluido, fuera de los normales tecnológicos y más desde el entendimiento de las implicaciones de los eventos adversos. Lo anterior supone pasar del miedo, la incertidumbre y las dudas (MID) a los hechos, las observaciones, las anécdotas y las metáforas (HOAM) (Rose, 2013).

Así las cosas, comprender un riesgo de negocio como la combinación de: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.60)
  •    Un activo de información valioso (p.e información personal, especificaciones de un nuevo producto, prospecto geológico)
  •    Un atacante (es decir a los interesados en el activo: competencia, crimen organizado, un mercenario informático)
  •      Un impacto de negocio (p.e exposición a la pérdida de reputación, incumplimiento regulatorio, espionaje industrial)

permite al ejecutivo de seguridad de la información, trazar una ruta menos incierta para concretar un mensaje claro para los participantes de la mesa directiva, como quiera que ellos estarán leyendo no la indicación del evento informático o vulnerabilidad per se, sino la habilidad de la organización para responder a este tipo de situaciones y proteger la operación y sus capacidades empresariales frente a la responsabilidad que tiene respecto de sus grupos de interés.

Así las cosas, la comunicación del CISO cambia de horizonte frente los ejecutivos de primer nivel, no solamente por la forma como entiende la realidad de la organización, sino que ahora es capaz de navegar sobre eventos inesperados y adversos de manera estratégica, superando la vista operacional del hacer, desarrollando escenarios plausibles y probables (Roxburg, 2009) que generen ideas y orientaciones desde la junta directiva, para hacer de la seguridad de la información una distinción y un impulsor de cambios y disrupciones empresariales que antes no estaban disponibles.

Este nuevo marco de comunicación que requiere el CISO para conectar con el nivel ejecutivo debe aprovechar algunos consejos de asesores de juntas directivas para potenciar el efecto de su estrategia de comunicación. Algunos de esos consejos son: (Haines, 2006)
  • Siga la regla del 10/30 – Si usted tiene 30 minuto para presentar, prepare 10 minutos de material. Mucho del tiempo los ejecutivos estarán conversando y no en la presentación.
  • Use datos significativos que creen recordación, aún termine su presentación.
  • Envíe previamente un resumen con los elementos claves que va a tratar. Mantenga el texto corto y sencillo.
  • Presente las malas noticias primero. Explique por qué ocurre y a renglón seguido el plan que se tiene para cerrar las brechas identificadas.
  • Su trabajo es ingeniosamente llevar las reflexiones al punto de convergencia. Allí donde su público da por sí mismo las respuestas.

Impactos en los imaginarios de la junta directiva sobre la seguridad de la información
Alcanzar el nivel de interlocución requerido en una junta directiva es un proceso que toma tiempo y capacidad de resistencia por parte del CISO. Mejorar sus habilidades para comunicar le abre la puerta a una mayor visibilidad y atención respecto de las otras prioridades de la organización. Sin embargo, el imaginario activo en los miembros de junta requiere una transformación que debe estar fundado en la participación más frecuente de estos ejecutivos en la construcción de los escenarios y la comprensión de las amenazas y riesgos emergentes de la seguridad de la información.

Si entendemos que, como afirma Flores (2015, p.62) nuestra capacidad de predecir el futuro está limitada por “el hecho de que toda la información se deriva de observaciones de personas específicas, con sus propias preocupaciones y experiencias individuales”, la gama de perspectivas es infinita y ningún observador será capaz de “contar la historia completa”. En este sentido, el direccionamiento de la seguridad de la información deberá darle herramientas de interpretación a la junta directiva para crear oportunidades para la acción, sustentados en juicios bien fundados, que como indica Flores (2015, p.65) están “limitados a un dominio particular de preocupación en la que una persona o comunidad puede tomar medidas”.

Así las cosas, la junta entrará a revisar sus propias creencias o construcciones colectivas relevantes (Aliaga, 2008) entorno a la seguridad de la información, para actuar de manera diferente, siempre y cuando los hechos y datos den cuenta de las acciones que transforman una realidad empresarial y hacen de la información un activo estratégico.

En consecuencia, al entender que como afirma Flores (2015, p.69) “los seres humanos somos seres sociales e históricos que creamos juntos el futuro mediante la acción”, el ejecutivo de seguridad de la información deberá desarrollar un cambio mentalidad en este cuerpo colegiado amplificando la voz de los grupos de interés y recreando el compromiso que fluye de doble vía, cuando se atiende la expectativa que de manera conjunta se custodia y atiende.

Habida cuenta de lo anterior, el imaginario de la junta, frente a la seguridad de la información, debe evolucionar desde el juicio de responsabilidades de una persona o función, a una lectura de construcción conjunta que aborda una promesa de protección de la información residente en cada cliente y persona de la empresa, de la cual se hace ella responsable con el acompañamiento del CISO.

Lo anterior penetra las realidades de la junta directiva frente a preguntas relevantes que subyacen en las reflexiones personales y comunitarias de este colectivo las cuales mantienen una tensión creativa, que no paraliza su actuar, sino que lo moviliza de manera innovadora con la asesoría del ejecutivo de seguridad de la información:
  • ¿Cuáles son nuestros miedos más relevantes frente ataques informáticos?
  • ¿Cuánta responsabilidad tengo respecto de brechas de seguridad de la información que ocurren en la empresa a la cual sirvo?
  • ¿Qué tipo de información requiero sobre la postura y estrategias de la organización frente a eventos adversos en seguridad de la información?
  • ¿Qué métricas me pueden indicar que estamos asegurando el debido cuidado frente a estas amenazas informáticas?
  • ¿Cómo debo responder frente a los grupos de interés frente a eventos adversos en seguridad de la información, sin comprometer la imagen de la empresa?

Reflexiones finales
Los incidentes de seguridad de la información son la constante en un mundo interconectado; es el precio que toda organización debe pagar para entrar en una comunicación más cercana con sus clientes y crear productos disruptivos y novedosos apalancados con tecnología de información y comunicaciones.

Lo anterior demanda entender que ahora las organizaciones se encuentran en un ecosistema digital donde se establecen cadenas de valor extendidas, que rediseñan modelos de negocio y cambian radicalmente la forma como se crea el futuro (Weill y Woerner, 2015). De igual forma, el crimen organizado, las naciones y actores no-gubernamentales hacen parte de esta realidad, en la cual las empresas se ven involucradas y son sensibles a las acciones que se pueden diseñar desde las nuevas oportunidades y posibilidades que se tienen para doblegar las expectativas de seguridad y control de las empresas y por tanto, de sus juntas directivas.

Cuando se logra integrar al imaginario de la junta directiva la realidad social e histórica de la protección de la información, no como una limitación de acceso o como protección frente a amenazas, sino como una distinción de negocio que lee la realidad en clave de impactos, interesados y activos de información para descubrir nuevas formas de anticipar acciones preventivas, estamos modificando las preocupaciones vigentes de sus miembros, por una reflexión que consulta y define un contexto donde ellos se hacen parte de la construcción de oportunidades para crear una defensa activa.

Una defensa activa (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.127) que desarrolla inteligencia en su entorno, comprende y actúa frente a la amenaza interna, involucra al atacante dentro de la propia red y establece alianzas con terceros para mitigar amenazas externas. Esto es, un discurso que amplifica el entendimiento de aquello que es anormal en las operaciones de la empresa y que da cuenta de la información como activo estratégico; un compromiso de los miembros de junta y de la organización en general, que busca ser consistente con la amenaza digital que ahora entiende y conoce.

Si lo anterior es correcto, el CISO debe ser ese canal abierto, estratégico y asesor donde la junta directiva encuentre espacios para reflexionar y concebir nuevas formas de construir negocios en un ecosistema digital generoso en oportunidades para crear posturas privilegiadas en sectores de negocio, con la orientación y acompañamiento frente a los riesgos y amenazas emergentes propias de la realidad interconectada, donde no se tienen respuestas a todas preguntas, pero si escenarios, planteamientos y juicios fundados que motiven decisiones informadas.

Referencias
Aliaga, F. (2008) Algunos aspectos de los imaginarios sociales en torno al inmigrante. Aposta. Revista de Ciencias Sociales, 39. Octubre, noviembre y diciembre. Recuperado de: http://www.apostadigital.com/revistav3/hemeroteca/aliaga3.pdf  
Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. Philadelphia, USA: Perseus Books Group.
Flores, F. (2015) Conversaciones para la acción. Inculcando una cultura de compromiso en nuestras relaciones de trabajo. Bogotá, Colombia: Centro Nacional de Consultoría – Lemoine Editores.
Frappolli, M. (2015) Managing cyber risk. Malvern, Pennsylvania.USA: American Institute for Chartered Property Casualty Underwriters.
Haines, S. (2006) How to Work with Executives - The Systems Thinking Approach. Pearls of wisdom II. San Diego, CA. USA: Systemic Thinking Press.
Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.
Montañés, P. (2009) Inteligencia política. El poder creador de las organizaciones. Séptima edición. Madrid, España: Prentice Hall.
Rose, A. (2013) The CISO’s Handbook – Presenting to the board. Forrester Research.
Roxburg, C. (2009) The use and abuse of scenarios. Mckinsey Quarterly. Noviembre.
Weill, P. y Woerner, S. (2015) Thriving in an increasingly digital ecosystem. Sloan Management Review. 56, 4. 27-34