domingo, 5 de septiembre de 2010

Integrando la seguridad de la información en la estrategia empresarial: Una reflexión socio-técnica para enfrentar la inseguridad

Son muchas las estrategias que hoy por hoy los responsables de la seguridad de la información intentan para persuadir a la alta gerencia con su discurso de protección de activos, las cuales van desde cuantificación de la materialización de las vulnerabilidades, análisis de impactos por pérdidas de imagen e implicaciones económicas de alguna sanción por algún incumplimiento normativo. (BAYUK 2010, pág.4) En este contexto, los ejecutivos de la seguridad de la información, buscan de alguna manera integrar sus planes en la agenda estratégica de la compañía para hacerse visible, no sólo por las consabidas brechas de seguridad que tarde o temprano se presentarán en la empresa, sino como elemento crítico para apalancar las ventajas competitivas de la corporación.

En este sentido, se advierten en la realidad de los programas de seguridad de la información elementos como incorporación de mejores prácticas, análisis beneficio-costo, historias o anécdotas en otras empresas del sector o estudios de referenciación que revisan la función de seguridad de la información en el contexto de los costos organizacionales y el personal requerido para dar cumplimiento al desarrollo de los habilitadores de riesgo y cumplimiento normativo, que no es otra cosa que apalancar las funciones de control interno o aseguramiento de los flujos de información de negocio de la empresa.

Así las cosas, los responsables de seguridad de la información saben que su integración con la estrategia corporativa, no depende exclusivamente de cómo los mecanismos tecnológicos de seguridad se comportan en las diferentes unidades de negocio (valga la pena aclarar, que deben funcionar de acuerdo con lo previsto y acordado con las áreas), sino de cómo alinear sus esfuerzos para hacerse una distinción transversal en la compañía, embebida en la cultura de los negocios, articulado con los sistemas de gestión organizacional y reconocidos por los terceros o grupos de interés en su relación comercial y estratégica.

Sobre este particular un reciente estudio realizado por KAYWORTH, T. y WHITTEN, D. (2010) advierte: “(…) la falta de integración entre el grupo de seguridad de la información y los negocios resulta en una política de seguridad y presupuestos que no reflejan las reales necesidades de la organización. En este contexto, la seguridad de la información tiende a ser reactiva, las decisiones de inversión se mueven por prioridades de corto plazo más que estratégicas o de largo plazo, recibiendo muy poca atención por parte de los ejecutivos de la empresa.(…)”.

Este resultado no nos sorprende, pues lo que hace es ratificar lo que de múltiples formas ha venido ocurriendo hace algunos años, donde la seguridad de la información se confunde con implementación de tecnologías de seguridad, haciendo de esta última distinción, una marca que generalmente tiene alta gerencia de lo que es esta función. Adicionalmente podemos agregar que esta percepción técnica generalizada de la seguridad, es también de nuestra propia práctica, que orientada por los nuevos desarrollos tecnológicos, nos dejamos tentar sin considerar, en algunos casos, los impactos de éstas en los negocios de la empresa. Podríamos decir que los altos ejecutivos de la empresa ven al área de tecnologías de la información y por ende, a la de seguridad de la información, como la sección de la inversión en “juguetes novedosos y costosos” que buscan generar un poco de más confianza en las operaciones de la empresa, pero no mayor valor para el negocio.

En consecuencia, la transformación y renovación de esta percepción de la alta gerencia en los seguridad de la información debe pasar no solamente por una estrategia tecnológica, sino social y cultural que implique una distinción complementaria de los riesgos en los activos de información de la empresa. Es decir, desarrollar un liderazgo de alto nivel sobre la protección de los activos, como parte de la práctica gerencial de la empresa, una visibilidad ejecutiva de la seguridad en los comités directivos y una cultura de seguridad de la información anclada en los supuesto propios de la empresa, que no solamente la perciba como algo que existe en el exterior, sino que se construye y vive en su interior.

Para lograr, lo propuesto en el párrafo anterior, no se requiere amplios esfuerzos en estrategias de gestión del cambio, sino articular tres elementos fundamentales detallados en el estudio de KAYWORTH, T. y WHITTEN, D. (2010) que son:
  • Balancear el aseguramiento de los activos de información con la necesidad de apalancar el negocio
  • Mantener el cumplimiento
  • Asegurar la alineación cultural

En este sentido, dicen los autores que se podrá desarrollar una estrategia efectiva de seguridad de la información que permita a los ejecutivos de la empresa salir de las “historias de horror y miedo” (concepto acuñado por BAYUK 2010) de la seguridad (como son los incidentes de seguridad), para entrar en la etapa del reconocimiento estratégico del valor de la seguridad de la información, como una forma de comunicarse con sus grupos de interés y los mismos procesos de negocio, y asegurar que la información que fluye entre las diferentes áreas, está disponible, controlada, gobernada y ágilmente procesada para que las metas de la organización se transformen en realidades evidentes y visibles tanto para los accionistas como para sus empleados.

Comprender la función de seguridad de la información como una forma de apalancar la manera como la empresa genera valor y lo comunica a sus clientes y demás interesados, debe llevar a los responsables de la seguridad de la información a cuestionarse sobre el enfoque de su estrategia de seguridad de la información más allá del aseguramiento de los perímetros porosos, de las acciones proactivas de identificación y manejo de vulnerabilidades, de los programas de sensibilización e interiorización de la seguridad y de la misma estrategia de cumplimiento legal y normativo, para reenfocar las conversaciones sobre la seguridad de la información más en términos de logros y servicios de apoyo a las estrategias de negocio, que en los componentes de tecnología que los hicieron posibles.

De otra parte, los responsables de la seguridad de la información, sabiendo que es fundamental mantener la segregación funcional con sus pares de la seguridad informática, deben comprender que su trabajo no termina cuando una tecnología de seguridad se instala y asegura lo que ha prometido, sino que allí debe iniciar la construcción de la nueva distinción de seguridad de la información, más allá de la técnica puesta en operación, sino en la percepción de la confianza y aseguramiento de los activos de información que entregue y comunique el valor mismo de la estrategia de la compañía en el proceso de negocio, que haga evidente una experiencia útil y estratégica tanto para los clientes como para el proceso.

Dicho lo anterior, los profesionales de la seguridad de la información no deben hacer cumplir de manera inflexible las reglas y estándares propios de los sistemas de gestión de la seguridad de la información, sin comunicar en el lenguaje del negocio, el porqué estas existen y cómo se articulan con el hacer mismo de los procesos de la empresa. Por tanto, la comunicación del valor de la seguridad de la información en un contexto estratégico y táctico, se centra en las personas, sus habilidades, actitudes y las manera como ellas interactúan con el resto de las áreas y sus procesos, y cómo las prácticas de protección de los activos de información son parte de su manera de actuar y hacer.

Si bien las consideraciones técnicas de la seguridad de la información se deben asegurar y funcionar conforme lo que se tiene previsto para hacer realidad, una percepción de la seguridad de la información requerida en los procesos de negocio, el lenguaje que se utilice para insertarla en la comunicación del valor para los negocio, deberá ser el más adecuado y ajustado con las prácticas de los negocios y las metas corporativas. El área de seguridad no debería hablar de sus “clientes”, como sino fuese parte del negocio mismo; más bien, debe ser alguien que acompaña y se hace parte del proceso como colega o par que aprende junto con aquello que genera valor, para hacerlo diferente y novedoso, comunicando y cumpliendo su promesa de valor de apalancar los resultados de la empresa de manera confiable.

Los responsables de la seguridad de la información que quieran avanzar en una estrategia efectiva de seguridad de la información, no deberán descuidar los diferentes elementos mencionados en esta reflexión, sabiendo que en un entendimiento sistémico de la realidad de la organización podemos mejorar día a día el entendimiento de la inseguridad de la información en los procesos de negocio y descubrir, en la puesta en práctica del programa de seguridad de la información, que la seguridad perfecta no existe y que caminamos “en medio de la noche” con una luz encendida: un monitoreo proactivo.

A continuación el detalle de los tres mecanismos de administración de riesgos para una efectiva estrategia de seguridad de la información sugerida por KAYWORTH, T. y WHITTEN, D. (2010):

Mecanismos de integración organizacional
• Estructuras organizacionales formales
  • Unidades organizacionales responsables de la seguridad de la información
  • Existencia de un ejecutivo responsable de la seguridad de la información
  • Función de auditoría interna
• Estructuras de coordinación
  • Comité directivo de seguridad de la información
  • Enlaces de seguridad de la información (oficiales de seguridad de la Inf.)
  • Separación entre seguridad de la información y seguridad informática
• Coordinación de procesos
  • Enfoque de seguridad de la información Top-Down
  • Seguridad de la información embebida en los procesos críticos de la organización
  • Aplicación flexible de estándares uniformes

Mecanismos de alineación social
• Culturales
  • Programas de sensibilización e interiorización en seguridad de la información
  • Desarrollo de redes informales de aliados estratégicos de la seguridad de la información
  • Desarrollo mentoría y asesoría en seguridad de la información para las áreas de la empresa
• Liderazgo
  • Compromiso ejecutivo basado en el reconocimiento de la información como un activo clave de la organización.

Competencia Técnica (El detalle propuesto en este tema es aporte del autor del blog y no hace parte del artículo original mencionado previamente)
  • Continuidad de Tecnológica
  • Control de acceso
  • Integridad de la información
  • Cumplimiento legal y normativo
  • Gobierno de la seguridad de la información

Referencias
KAYWORTH, T. y WHITTEN, D. (2010) Effective information security requires a balance of social and technology factors. MIS Quarterly Executive. Vol.9, No.3. September.
BAYUK, J. (2010) Enterprise security for the executive. Setting the tone from de top. Praeger.

2 comentarios:

  1. Fernando Giraldo Montero9 de septiembre de 2010, 11:33

    "Compromiso ejecutivo basado en el reconocimiento de la información como un activo clave de la organización."

    Este punto es supremamente importante que los altos ejecutivos de la organización lo tengan en cuenta. La Inofrmación debe ser ya un activo de la misma, por tanto se le debe dar el tratamiento contable que merece, por ende, el tratamiento de la protección de la misma desde tod ámbito: financiero, administrativo, tecnológico,seguridad, etc.

    ResponderEliminar
  2. Esta interesante la perspectiva estrategica de seguridad, pero para complementar la seguridad de la informacion se debe gestionar desde un area independiente de tecnologia y operaciones, puede ser un area de control interno, auditoria interna, o procesos; que dependa de la gerencia general de la compañia, para no ser juez y parte a la hora de investigar un incidente de seguridad y beneficie a los administradores de la seguridad informatica; con los conocimientos necesarios, se lleva a un exito en la gestion empresarial.

    ResponderEliminar