domingo, 24 de julio de 2016

La inevitabilidad de la falla y la transformación digital. Realidades convergentes en un mundo digitalmente modificado

Introducción
El mundo digitalmente modificado es una expresión que cada vez más estará en el lenguaje de los gerentes de tecnología de información y de los ejecutivos de seguridad de la información. Mientras los primeros buscarán aumentar la presencia automatizada de los procesos empresariales y capturar toda la información posible para hacer de la experiencia del cliente algo inolvidable, los segundos deberán comprender y alinear la estrategia digital de la empresa, frente al reto de proteger los activos de la empresa ahora un escenario hiperconectado, en la nube, virtualizado, de redes sociales y móvil.

Esta transformación digital toma por sorpresa a algunas organizaciones y a otras, alineadas con las exigencias de unos clientes altamente informados, demandantes de servicios novedosos y sobre manera ávidos de contenidos y apuestas emergentes que cambien su forma de hacer las cosas. En este sentido, el flujo de información corporativa y personal se incrementa dada la convergencia tecnológica que se advierte y la modificación digital de servicios y productos que ofrece una mayor cercanía con los gustos y perfiles de sus usuarios.

En este contexto, la transformación digital no solo debe consultar los retos y apuestas estratégicas de las empresas, sino la forma como la protección de la información se traduce en fundamento básico de la interacción y la promesa de valor para el cliente que quiere aprovechar las nuevas propuestas, con la confianza y transparencia necesarias, que dé cuenta del compromiso ético digital de la compañía frente al tratamiento de sus datos.

En consecuencia, la transformación digital de las empresas del siglo XXI debe indagar en los retos de la seguridad y control en un mundo digitalmente modificado, para explorar y anticipar los retos propios de la inseguridad de la información, como factor clave que permita crear y proteger el valor de las iniciativas digitales empresariales, así como motivar una práctica de aseguramiento de datos en los clientes, como efecto emergente de su participación en la nueva dinámica de los negocios.

Por tanto, adelantar una transformación digital ignorando los desafíos inherentes de la inseguridad de la información en esta nueva realidad digital, es caminar en medio de un fuego cruzado, donde tanto empresa como cliente estarán sobre terrenos inestables, creando con cada interacción inciertos que afectarán tanto la experiencia del cliente, como los planes de negocio de la compañía.

Así las cosas, articular la transformación digital en una empresa demanda un constante aprendizaje, una interacción ágil con los productos y servicios, antes y después de su lanzamiento, así como la renovación flexible de usos y características ajustadas a los cambios de expectativas, lo cual aumenta la responsabilidad digital empresarial, para proteger los flujos de información entre la empresa y sus clientes. En este sentido, este documento plantea algunas reflexiones sobre la transformación digital y la seguridad de la información como base para repensar la práctica de seguridad y control en las organizaciones digitalmente modificadas.

Transformación digital. Una vista práctica
De acuerdo con Rogers (2016) desarrollar una transformación digital implica al menos considerar cinco elementos claves: clientes, competencia, datos, innovación y valor, los cuales en una interacción permanente logran capitalizar una lectura diferencial de la realidad, donde se crean flujos de valor en doble vía y los datos se convierten en cada momento en activos valiosos que conectan puntos antes aislados del contexto de los clientes con la dinámica de la empresa.

La transformación digital, es una transmutación empresarial que altera la cultura organizacional donde se pasa del mundo de las tecnologías de información a los productos y servicios digitalmente modificados, una apuesta de las plataformas tecnológicas para crear cooperación entre áreas, clientes, competidores y todo aquel que quiera crear activos estratégicos valiosos para el ecosistema digital de la compañía.

En este ejercicio de cambio digital, se motiva tomar riesgos en una zona psicológicamente segura, donde fallar no es una calificación del proceso, sino un insumo que acelera la nueva práctica que la organización quiere crear para consolidar una vista renovada de sus negocios; una oportunidad, no para encontrar la solución correcta, sino para confrontar y superar el problema correcto.

Desarrollar una transformación digital implica reconocer a la organización en una dinámica de relaciones propias de un ecosistema digital, donde las conexiones definen la identidad digital de la empresa, que no es otra cosa, que la capacidad de modificar de forma anticipada su modelo de negocio para mantenerse en sintonía con la red de expectativas de los clientes y así amplificar su presencia en el entorno y confirmar su compromiso digital.

En una metamorfosis digital una empresa debe entender que se revelan comportamientos de los clientes, aquellos propios de las redes de comunicación y significados emergentes relativos a los contextos donde se encuentran inmersos. Dichas conductas apalancan los cambios digitales deseados y requeridos, para darle sentido a la estrategia digital. El acceder, el enganchar, el personalizar, el conectar y el colaborar son los procederes básicos que las empresas deben leer en los clientes para concretar las propuestas digitales que se desarrollen en la esfera de la realidad modificada.

A continuación, un breve resumen de las temáticas relevantes a tener en cuenta con cada uno de los comportamientos mencionados: (Rogers, 2016)

Comportamiento
Temáticas claves a tener en cuenta por las organizaciones
Acceder
Simplicidad, conveniencia, ubicuidad y flexibilidad
Enganchar
Conocer al cliente, crear contenido relevante, irresistible y útil, sorprender con experiencias inéditas
Personalizar
Identificar las necesidades del cliente, disponer de una plataforma de fácil uso y configuración, crear experiencias únicas
Conectar
Motivar el uso de redes sociales para conectar los clientes con la solución de problemas, los aprendizajes de las tendencias del mercado y estar más cerca de sus gustos y expectativas
Colaborar
Entender las motivaciones para participar de los clientes, para que, desde su propio nivel de habilidad y experiencia, ofrezca sus contribuciones y con la adecuada orientación, le dé forma a su objetivo final

Como se puede observar cada comportamiento establece una movilidad del cliente y plantea un sentido particular de su interacción. En esta lectura, lo que es transversal a todos los comportamientos detallados es el flujo de información y las emociones que se pueden crear dependiendo de la situación de negocio que se plantee en un momento específico.

En consecuencia, cada persona respecto de los comportamientos anunciados crea una dinámica de alineación o desalineación con el negocio, que debe estar asistida por las prácticas de seguridad y control, no como una tarea adicional, sino como apalancador de la relación creada entre el cliente y los servicios o productos. Lo anterior procura una madurez de la práctica de protección digital, que se traduce en confianza y transparencia, valores que ocupan mucho de la agenda de la creación de valor de aquello digitalmente modificado.

Entendiendo algunas relaciones relevantes de la transformación digital y su encuentro con la protección de la información
Existen múltiples conexiones que se pueden revelar en el ejercicio de pensar el futuro. Los escenarios (Phadnis, Caplice y Sheffi, 2016) como fuente natural de pensamientos divergentes y como cadena de apoyo para moldear el razonamiento y las decisiones de los ejecutivos, establece una forma que sintetiza aquello que parece incierto y ambiguo en un marco de análisis de posibilidades y no de probabilidades.

Dichos escenarios revelan el potencial de las oportunidades que el ecosistema digital puede tener disponibles para todos los actores. Dentro de las posibles contribuciones que se pueden desarrollar tenemos: (CEB, 2016)
  • Integración fácil y rápida
  • Incremento de la recolección de datos
  • Mejoramiento del poder de cómputo y almacenamiento
  • Interacción superior con la tecnología de información
  • Alta movilidad
Estas posibilidades, en lectura de la infraestructura tecnológica, demandan un nivel de aseguramiento de la misma, así como de la información que va a transitar entre dispositivos móviles o productos digitalmente modificados, habida cuenta que es de esta forma como los clientes, establecen sus propios esquemas de uso y apropiación para sacarle el mayor provecho de la oferta disponible y así capitalizar el valor esperado.

De otra parte, Porter y Hoppelman (2015) confirma estos planteamientos a través de la distinción de “Niveles tecnológicos” (en inglés technology stack), donde se indica la manera como se modifica digitalmente un producto o servicio, para lo cual es necesario entender sus elementos básicos y aquellos complementarios que los modifican y nutren como son:
  • Elementos básicos: a) Conectividad, b) el producto y c) el soporte en la nube
  • Elementos complementarios: los elementos de seguridad y control (que afectan a todos elementos básicos), las fuentes de información externas (que afectan a b) y c)), y la integración con los sistemas de negocio.

En este modelo conceptual de los académicos de Harvard (Porter y Hoppelman, 2015), la seguridad es un elemento transversal que debe proteger la promesa de valor del producto o servicio digital e inteligente que se propone. Dada su alta conectividad y exposición en un contexto hiperconectado se hace necesario validar e identificar la inseguridad de la información propia de su diseño, con el fin aumentar la confiabilidad del producto, la seguridad de sus datos y la confianza del cliente.

En palabras de los mencionados académicos, “la seguridad de la información se convierte en una fuente clave de valor y un diferenciador potencial”, palabras que confirman que toda transformación digital demanda un entendimiento de la dinámica de la información y sus flujos, para lo cual las empresas bien pueden asumir los mecanismos de seguridad y control u ofrecer opciones particulares para que sea el mismo cliente quien configure la forma como será transmitida, recolectada o utilizada toda su información (Porter y Hoppelman, 2015).

Así las cosas, la transformación digital de las empresas supone un ejercicio previo de conceptualización de los flujos de información que se van a desarrollar, comprender la relevancia o nivel de sensibilidad de los datos y las estrategias más adecuadas para balancear la efectividad y facilidad del uso del producto modificado, de tal forma que tanto el cliente, como la organización sean digitalmente responsables, esto es, asegurar una relación de confianza y transparencia que configure el valor como una propiedad emergente donde ambos se benefician.

La inseguridad de la información y la transformación digital. Una vista de retos emergentes.
Si perjuicio de lo anterior y de las conversaciones convergentes que existen entre la transformación digital y la seguridad de la información, la inseguridad establece la vista complementaria que demanda, tanto de la organización como del cliente, una postura de riesgos, que atendiendo el contexto inestable e incierto donde se van a usar los productos o servicios digitalmente modificados, sea capaz de aumentar la resistencia a los fallas o ataques de los cuales será objeto.

Cuatro son las tendencias que confirman los retos para la seguridad y el control en un mundo digitalmente modificado:
  • Nuevas tecnologías disponibles
  • Mayor flujo de datos personales y corporativos
  • Acelerada convergencia tecnológica
  • Mayor superficie disponible

Cada una de ellas se materializa en las propuestas tecnológicas actuales: como son la virtualización, la computación en la nube, las redes sociales y la computación móvil, las cuales motivan conexiones que entran y salen del dominio de las personas, habilitando no solamente nuevas opciones para los individuos y empresas, sino posibilidades para la imaginación de los atacantes.

Ahora el perímetro de seguridad no es ni la zona desmilitarizada o la infraestructura de contorno de las organizaciones, ni el dispositivo inalámbrico y móvil que tiene el cliente, sino la persona misma. Al tener un producto o servicio digitalmente modificado es el ser humano el que finalmente se va a ver afectado, como quiera que su información o alguna función vital suya podrá comprometerse si algún fallo deliberado o intencional se presenta sobre aquel.

Así las cosas, la postura de riesgos, ese mínimo de paranoia debidamente administrada, deberá ser parte del entrenamiento que tanto empresa como clientes deberán construir para aumentar la resistencia a los posibles ataques sobre los productos o servicios digitalmente modificados, con el fin no sucumbir a la ansiedad por lo incierto y mantener una vigilancia y monitoreo permanente que asegure un nivel de exposición conocido y administrado.

A pesar de lo anterior, es claro que la inevitabilidad de la falla estará presente, por tanto, se hacer necesario establecer protocolos a nivel de las personas y las funcionalidades habilitadas en los productos o servicios, de tal manera que sea posible actuar frente a estas situaciones imprevistas, particularmente siguiendo los lineamientos de la postura de falla segura, es decir, llevar al ecosistema a una condición conocida y definida cuando se pierde la normalidad de la operación, con acceso restringido e interacción mediada por autenticación fuerte.

Dentro de las amenazas emergentes que se han identificado a la fecha (Ariu, Didaci, Fumera, Giancinto, Roli, Frumento y Freschi, 2016; Mcafee, 2016), que demandan un gran reto en el ejercicio de protección se encuentran:
  • Ataques sin archivos: Código malicioso escrito directamente en la memoria RAM.
  • Infiltraciones con cifrado: Uso de cifrado para tomar control de los archivos en los dispositivos.
  • Ataques bajo el sistema operativo: Afectación y compromiso del firmware, BIOS y Master Boot Record.
  • Interfase de comandos y control remoto: Explotación de debilidades en protocolos de comunicación y toma de control de los dispositivos.

Reflexiones finales
Si bien es claro que, de acuerdo con los resultados de la encuesta de Dimensional Research (2016) los drivers o motivadores que aceleran el mundo digitalmente modificado son:
  • Incrementar la productividad de los empleados
  • Reducir o controlar los costos de TI
  • Conocer la dinámica de las expectativas de los clientes
  • Enfrentar las presiones competitivas
las reflexiones de la seguridad y el control en esta nueva configuración de la realidad digital están llegando tarde y por lo tanto, la funcionalidad de los productos o servicios modificados con tecnologías de información, han salido al mercado con limitadas especificaciones de protección, las cuales tarde o temprano serán reveladas por la inevitabilidad de la falla.

Esta condición particular advierte la falta de madurez de la seguridad de la información del negocio digital (Bobbert, 2010), de tal forma que se deben revisar las actitudes y percepciones de los participantes en el diseño de la estrategia digital de la empresa, habida cuenta que es la información, la conectividad y las tecnologías de información, las que en conjunto materializan la promesa de valor para los clientes que demandan, no solamente una experiencia excepcional y sobresaliente, sino la confiabilidad y aseguramiento de su entorno digital donde él es el protagonista principal.

Por tanto, hablar de transformación digital y su madurez en el contexto empresarial, es entender una serie de barreras según su grado de evolución. Los temas de seguridad y control, son propios de aquellas empresas maduras (es decir con más de 5 años con estrategia digital clara), las cuales han cubierto el camino de la falta de entendimiento de la gerencia, la insuficiencia de habilidades técnicas y las múltiples prioridades para desarrollar proyectos digitales empresariales (Kane, Palmer, Nguyen, Kiron y Buckley, 2016).

La seguridad de la información en el contexto de la transformación digital es un proceso cambio de comportamientos, donde proteger el entorno tecnológico donde se concreta la ventaja competitiva, significa comprender lo que es una capacidad digital: una combinación innovadora del mundo físico y el mundo lógico, donde extraemos información de los recursos físicos y los integramos con los recursos digitales (Rowsell-Jones, 2013).

Así las cosas, parafraseando a los académicos del IESE (Káganer, Zamora y Sieber, 2013) los ejecutivos de seguridad de la información, en el escenario de la transformación digital, deberán ser el puente entre lo viejo y lo nuevo, gestores de lo conocido para salvaguardar las operaciones y la rentabilidad de la empresa, y custodios de las iniciativas digitales, que por ser más vulnerables, exigen una vista de gobierno de la protección de la información para anticipar la inevitabilidad de la falla y aumentar la resiliencia organizacional ante nuevas discontinuidades de negocio.  

Finalmente, recuerde la recomendación del CEO de Visa, Inc, Charles W. Scharf:
Invierta en seguridad antes que en otra temática. Un entorno bien controlado le da licencia para hacer otras cosas. Productos grandiosos e innovadores sólo le ayudarán a ganar y prosperar, si usted tiene un negocio bien protegido. No deje los detalles a los demás, su involucramiento producirá mejores resultados y el mejor entendimiento de la importancia de ésta temática para la supervivencia de organización” (Paloalto – NYSE, 2015, p. vi) en un mundo digitalmente modificado.

Referencias
Ariu, D., Didaci, L., Fumera, G., Giancinto, G., Roli, F., Frumento, E. y Freschi, F. (2016) A (Cyber)road to the future. A methodology for building cybersecurity research roadmaps. En Akhar, B. y Brewster, B. (Editors) (2016) Combatting cybercrime and cyberterrorism: challenges, trends and priorities. Switzerland: Springer Verlag. 53-80.
Bobbert, Y. (2010) Maturing business information security. A framework to establish the desired state of security maturity. Institute for business and information security alignment. Holanda. NPN Press
CIO Executive Board – CEB (2016) Technology ecosystem for the digital enterprise. Infographic.
Dimensional Research (2016) Digital transformation security survey. A survey of IT and Security professionals. Sponsored by Dell. Julio. Recuperado de: https://software.dell.com/whitepaper/global-survey-digital-transformation-security-survey8113164
Káganer, E., Zamora, J. y Sieber, S. (2013) Cinco habilidades del líder digital. IESE Insight. Tercer trimestre. 18.
Kane, G., Palmer, D., Nguyen, A., Kiron, D. y Buckley, N. (2016) Strategy, not Technology, Drives Digital Transformation. Becoming a digitally mature Enterprise. MIT Sloan Management Review. Research Report. In collaboration with: Deloitte University Press. Recuperado de: http://sloanreview.mit.edu/projects/strategy-drives-digital-transformation/
Mcafee (2016) Mcafee Labs 2016 threats predictions. Recuperado de: http://www.mcafee.com/uk/resources/reports/rp-threats-predictions-2016.pdf
Paloalto – NYSE (2015) Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers. Chicago, Illinois. USA: Caxton Business & Legal, Inc. Recuperado de: https://www.securityroundtable.org/wp-content/uploads/2015/09/Cybersecurity-9780996498203-no_marks.pdf
Phadnis, S., Caplice, C. y Sheffi, Y. (2016) How Scenario Planning Influences Strategic Decisions. Sloan Management Review. Summer.
Porter, M. y Heppelmann, J. (2015) How Smart, connected products are transforming companies. Harvard Business Review. Octubre
Rogers, D. (2016) The digital transformation playbook. Rethink your business for the digital age. New York, USA: Columbia University Press.
Rowsell-Jones, A. (2013) Su empresa también tiene ventaja digital. IESE Insight. Tercer trimestre. No. 18.