lunes, 17 de agosto de 2015

Juntas directivas. Descifrar e influenciar su imaginario vigente sobre la seguridad de la información

Introducción
Una de las problemáticas más recurrentes en el ejercicio de los ejecutivos de seguridad de la información es su relación con los miembros de junta directiva. Muchas veces el lenguaje que se usa, la forma como se presenta o incluso las estadísticas que se incluyen, no permiten conectar la realidad de la seguridad de la información con las expectativas, muchas de ellas de corte político, que se manejan entre los miembros de junta.

En este sentido, el oficial de seguridad de la información de la corporación debe comportarse como un “político de empresa”, esto es aquel, que como indica Montañés (2009, p.232-233) “se caracteriza porque mira a más plazo, sus ambiciones son de mayor alcance y, sobre todo, sus actuaciones son más duraderas. (…) sabe que la comunicación, tanto interna como externa, es estratégica, y le dedica tiempo.”

Por tanto, el ejecutivo de seguridad de la información sabe que su habilidad para comunicar hace la diferencia para captar la atención de los miembros de junta, por lo cual es necesario estudiar en detalle las aspiraciones, las reflexiones y exigencias del directorio ejecutivo de primer nivel con el fin de articular la lectura de los riesgos en el tratamiento de la información, las estrategias diseñadas y en operación a la fecha, en términos no técnicos y así influenciar el imaginario vigente en este ente de gobierno.

Generalmente los miembros del directorio son ejecutivos que no tienen responsabilidades internas en la organización, pero si mucha experiencia en sectores particulares de la industria, así como destrezas en términos financieros y selección de talentos para empresas. Estos ejecutivos saben la importancia del cumplimiento de las regulaciones y los impactos de los errores frente a los entes de supervisión (Rose, 2013).

En consecuencia el responsable de la seguridad de la información, deberá articular un discurso basado en el negocio y sus implicaciones, más que en el ejercicio de aseguramiento tecnológico, que muestre su capacidad para ver la relaciones de su entorno en clave de los objetivos estratégicos de la organización, sus propuestas de valor para los grupos de interés y la custodia de la imagen corporativa, como fundamento de su alianza con los intereses particulares de cada miembro de la junta.

Así las cosas, este documento indaga en algunas estrategias que puede seguir el ejecutivo de seguridad de la información para entrar en la sintonía de las conversaciones de las juntas directivas y sus imaginarios, no como un invitado para rendir cuentas sobre un aspecto particular que se requiere conocer, sino como fuente de conocimiento experto y asesoría empresarial que reconoce las prioridades del negocio y asiste a este cuerpo colegiado para entender las implicaciones de los riesgos derivados del inadecuado tratamiento de la información y de aquellos propios del incremento de la sofisticación de los atacantes y sus herramientas.

Las preguntas que inquietan a los miembros de junta sobre la seguridad de la información
Si bien son muchas las preocupaciones y prioridades que deben atender los miembros de junta directiva, la encuesta realizada por Forrester (Rose, 2013) confirma algunos de los cuales hacen parte permanente de sus reflexiones: impuestos, pérdida de clientes, ciber riesgo, precios de materias primas y cambios o ajustes en las regulaciones.

Como se puede observar, la categoría ciber riesgos se hace presente como uno de los temas claves que se deben atender en la empresa. Esta tendencia es nueva como quiera que eventos de gran relevancia internacional en esta temática han comenzado a llamar la atención de estos cuerpos de gobierno dado que se empiezan a sentir impactos concretos, que han cobrado posiciones de importantes ejecutivos en empresas como son Sony, JP Morgan, Target y Saudi Aramco.

Un ciber riesgo (Frapolli, 2015) está compuesto por cuatro componentes fundamentales: datos e información, un tercero no autorizado, una brecha de seguridad y una lesión. Es decir, es una condición en la cual datos e información (generalmente sujeta a un deber de protección por parte de la organización), es accedida por un actor o tercero no autorizado a través de la materialización de un evento no deseado (que supera los controles de acceso bien a través de fallas no documentadas o código malicioso) que produce una lesión a un interés legítimo de la empresa.

En este contexto, cinco son las preguntas que los miembros de junta tienen para el ejecutivo de seguridad de la información, las cuales deben atender aquellas inquietudes subyancentes, que no serán reveladas en el momento, pero que estarán presentes en sus apreciaciones y comentarios mientras que el CISO (Chief Information Security Officer) da cuenta de las mismas: (Rose, 2013)
  •      ¿Cuáles son las tendencias en riesgos y amenazas emergentes que nos pueden afectar?
  •      ¿Cuáles son nuestros planes y acciones frente a estos riesgos y amenazas emergentes?
  •      ¿Cómo lo están haciendo nuestros pares en la industria?
  •      ¿Cuál es la brecha que tenemos frente al referente que estamos usando?
  •      ¿Cuáles son las potenciales consecuencias de estas brechas si no las cubrimos?
Cada una de estas preguntas indaga sobre la capacidad que tiene la función de seguridad de la información, no de predecir el futuro, sino como advierte Flores (2015, p.59) de hacer juicios bien fundados sobre el futuro. Para ello, el ejecutivo de seguridad de la información debe comprender con claridad la incertidumbre estructural (Charan, 2015) que se advierte en el entorno de negocio, las anomalías y contradicciones de las prácticas actuales de los atacantes, frente a la calidad de la respuesta de la organización en términos de: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.33)
  •      Capacidad de defensa propia
  •      Ritmo de la innovación de las tecnologías de defensa
  •      Cooperación internacional disponible
  •      Calidad de la información/conocimiento compartido en medios públicos y privados

Cambiando el marco de comunicación de un CISO
Generalmente los responsables de la seguridad de la información aparecen en las juntas directivas cuando un evento no deseado ocurre. Suele suceder que llegan allí para someterse al juicio de responsabilidades sobre lo ocurrido, como quiera que la única lectura que se tiene de la seguridad está articulada con la protección o defensa de la empresa, de la cual ellos son los responsables.

Cambiar este imaginario, frecuentemente muy acentuado en las juntas directivas, demanda del CISO plantear una agenda estratégica y política con los miembros de estos cuerpos colegiados con el fin de construir un diálogo más fluido, fuera de los normales tecnológicos y más desde el entendimiento de las implicaciones de los eventos adversos. Lo anterior supone pasar del miedo, la incertidumbre y las dudas (MID) a los hechos, las observaciones, las anécdotas y las metáforas (HOAM) (Rose, 2013).

Así las cosas, comprender un riesgo de negocio como la combinación de: (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.60)
  •    Un activo de información valioso (p.e información personal, especificaciones de un nuevo producto, prospecto geológico)
  •    Un atacante (es decir a los interesados en el activo: competencia, crimen organizado, un mercenario informático)
  •      Un impacto de negocio (p.e exposición a la pérdida de reputación, incumplimiento regulatorio, espionaje industrial)

permite al ejecutivo de seguridad de la información, trazar una ruta menos incierta para concretar un mensaje claro para los participantes de la mesa directiva, como quiera que ellos estarán leyendo no la indicación del evento informático o vulnerabilidad per se, sino la habilidad de la organización para responder a este tipo de situaciones y proteger la operación y sus capacidades empresariales frente a la responsabilidad que tiene respecto de sus grupos de interés.

Así las cosas, la comunicación del CISO cambia de horizonte frente los ejecutivos de primer nivel, no solamente por la forma como entiende la realidad de la organización, sino que ahora es capaz de navegar sobre eventos inesperados y adversos de manera estratégica, superando la vista operacional del hacer, desarrollando escenarios plausibles y probables (Roxburg, 2009) que generen ideas y orientaciones desde la junta directiva, para hacer de la seguridad de la información una distinción y un impulsor de cambios y disrupciones empresariales que antes no estaban disponibles.

Este nuevo marco de comunicación que requiere el CISO para conectar con el nivel ejecutivo debe aprovechar algunos consejos de asesores de juntas directivas para potenciar el efecto de su estrategia de comunicación. Algunos de esos consejos son: (Haines, 2006)
  • Siga la regla del 10/30 – Si usted tiene 30 minuto para presentar, prepare 10 minutos de material. Mucho del tiempo los ejecutivos estarán conversando y no en la presentación.
  • Use datos significativos que creen recordación, aún termine su presentación.
  • Envíe previamente un resumen con los elementos claves que va a tratar. Mantenga el texto corto y sencillo.
  • Presente las malas noticias primero. Explique por qué ocurre y a renglón seguido el plan que se tiene para cerrar las brechas identificadas.
  • Su trabajo es ingeniosamente llevar las reflexiones al punto de convergencia. Allí donde su público da por sí mismo las respuestas.

Impactos en los imaginarios de la junta directiva sobre la seguridad de la información
Alcanzar el nivel de interlocución requerido en una junta directiva es un proceso que toma tiempo y capacidad de resistencia por parte del CISO. Mejorar sus habilidades para comunicar le abre la puerta a una mayor visibilidad y atención respecto de las otras prioridades de la organización. Sin embargo, el imaginario activo en los miembros de junta requiere una transformación que debe estar fundado en la participación más frecuente de estos ejecutivos en la construcción de los escenarios y la comprensión de las amenazas y riesgos emergentes de la seguridad de la información.

Si entendemos que, como afirma Flores (2015, p.62) nuestra capacidad de predecir el futuro está limitada por “el hecho de que toda la información se deriva de observaciones de personas específicas, con sus propias preocupaciones y experiencias individuales”, la gama de perspectivas es infinita y ningún observador será capaz de “contar la historia completa”. En este sentido, el direccionamiento de la seguridad de la información deberá darle herramientas de interpretación a la junta directiva para crear oportunidades para la acción, sustentados en juicios bien fundados, que como indica Flores (2015, p.65) están “limitados a un dominio particular de preocupación en la que una persona o comunidad puede tomar medidas”.

Así las cosas, la junta entrará a revisar sus propias creencias o construcciones colectivas relevantes (Aliaga, 2008) entorno a la seguridad de la información, para actuar de manera diferente, siempre y cuando los hechos y datos den cuenta de las acciones que transforman una realidad empresarial y hacen de la información un activo estratégico.

En consecuencia, al entender que como afirma Flores (2015, p.69) “los seres humanos somos seres sociales e históricos que creamos juntos el futuro mediante la acción”, el ejecutivo de seguridad de la información deberá desarrollar un cambio mentalidad en este cuerpo colegiado amplificando la voz de los grupos de interés y recreando el compromiso que fluye de doble vía, cuando se atiende la expectativa que de manera conjunta se custodia y atiende.

Habida cuenta de lo anterior, el imaginario de la junta, frente a la seguridad de la información, debe evolucionar desde el juicio de responsabilidades de una persona o función, a una lectura de construcción conjunta que aborda una promesa de protección de la información residente en cada cliente y persona de la empresa, de la cual se hace ella responsable con el acompañamiento del CISO.

Lo anterior penetra las realidades de la junta directiva frente a preguntas relevantes que subyacen en las reflexiones personales y comunitarias de este colectivo las cuales mantienen una tensión creativa, que no paraliza su actuar, sino que lo moviliza de manera innovadora con la asesoría del ejecutivo de seguridad de la información:
  • ¿Cuáles son nuestros miedos más relevantes frente ataques informáticos?
  • ¿Cuánta responsabilidad tengo respecto de brechas de seguridad de la información que ocurren en la empresa a la cual sirvo?
  • ¿Qué tipo de información requiero sobre la postura y estrategias de la organización frente a eventos adversos en seguridad de la información?
  • ¿Qué métricas me pueden indicar que estamos asegurando el debido cuidado frente a estas amenazas informáticas?
  • ¿Cómo debo responder frente a los grupos de interés frente a eventos adversos en seguridad de la información, sin comprometer la imagen de la empresa?

Reflexiones finales
Los incidentes de seguridad de la información son la constante en un mundo interconectado; es el precio que toda organización debe pagar para entrar en una comunicación más cercana con sus clientes y crear productos disruptivos y novedosos apalancados con tecnología de información y comunicaciones.

Lo anterior demanda entender que ahora las organizaciones se encuentran en un ecosistema digital donde se establecen cadenas de valor extendidas, que rediseñan modelos de negocio y cambian radicalmente la forma como se crea el futuro (Weill y Woerner, 2015). De igual forma, el crimen organizado, las naciones y actores no-gubernamentales hacen parte de esta realidad, en la cual las empresas se ven involucradas y son sensibles a las acciones que se pueden diseñar desde las nuevas oportunidades y posibilidades que se tienen para doblegar las expectativas de seguridad y control de las empresas y por tanto, de sus juntas directivas.

Cuando se logra integrar al imaginario de la junta directiva la realidad social e histórica de la protección de la información, no como una limitación de acceso o como protección frente a amenazas, sino como una distinción de negocio que lee la realidad en clave de impactos, interesados y activos de información para descubrir nuevas formas de anticipar acciones preventivas, estamos modificando las preocupaciones vigentes de sus miembros, por una reflexión que consulta y define un contexto donde ellos se hacen parte de la construcción de oportunidades para crear una defensa activa.

Una defensa activa (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015, p.127) que desarrolla inteligencia en su entorno, comprende y actúa frente a la amenaza interna, involucra al atacante dentro de la propia red y establece alianzas con terceros para mitigar amenazas externas. Esto es, un discurso que amplifica el entendimiento de aquello que es anormal en las operaciones de la empresa y que da cuenta de la información como activo estratégico; un compromiso de los miembros de junta y de la organización en general, que busca ser consistente con la amenaza digital que ahora entiende y conoce.

Si lo anterior es correcto, el CISO debe ser ese canal abierto, estratégico y asesor donde la junta directiva encuentre espacios para reflexionar y concebir nuevas formas de construir negocios en un ecosistema digital generoso en oportunidades para crear posturas privilegiadas en sectores de negocio, con la orientación y acompañamiento frente a los riesgos y amenazas emergentes propias de la realidad interconectada, donde no se tienen respuestas a todas preguntas, pero si escenarios, planteamientos y juicios fundados que motiven decisiones informadas.

Referencias
Aliaga, F. (2008) Algunos aspectos de los imaginarios sociales en torno al inmigrante. Aposta. Revista de Ciencias Sociales, 39. Octubre, noviembre y diciembre. Recuperado de: http://www.apostadigital.com/revistav3/hemeroteca/aliaga3.pdf  
Charan, R. (2015) The attacker’s advantage. Turning uncertainty into breakthrough opportunities. Philadelphia, USA: Perseus Books Group.
Flores, F. (2015) Conversaciones para la acción. Inculcando una cultura de compromiso en nuestras relaciones de trabajo. Bogotá, Colombia: Centro Nacional de Consultoría – Lemoine Editores.
Frappolli, M. (2015) Managing cyber risk. Malvern, Pennsylvania.USA: American Institute for Chartered Property Casualty Underwriters.
Haines, S. (2006) How to Work with Executives - The Systems Thinking Approach. Pearls of wisdom II. San Diego, CA. USA: Systemic Thinking Press.
Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.
Montañés, P. (2009) Inteligencia política. El poder creador de las organizaciones. Séptima edición. Madrid, España: Prentice Hall.
Rose, A. (2013) The CISO’s Handbook – Presenting to the board. Forrester Research.
Roxburg, C. (2009) The use and abuse of scenarios. Mckinsey Quarterly. Noviembre.
Weill, P. y Woerner, S. (2015) Thriving in an increasingly digital ecosystem. Sloan Management Review. 56, 4. 27-34

3 comentarios:

  1. Gracias Jeimmy por tu valiosa contribución a la profesión de seguridad y riesgos de tecnologías de información. Tus puntes son de alta calidad y sobre todo, orientado al nivel estratégico de la organización.

    ResponderEliminar
  2. Buenas ideas para una organización grande, además del sector privado.

    ResponderEliminar
  3. Excelente artículo, es una problemática que enfrentamos quienes estamos en el área de seguridad, la comunicación hacia la alta dirección es un factor clave que debemos desarrollar y perfeccionar. Gracias por las recomendaciones.

    ResponderEliminar