Revisando un reciente informe
de Forrester Research denominado “Navigate the future of the security
organization”, se advierten consideraciones importantes que nos alertan sobre
el futuro de la función de seguridad de la información, un futuro que dependerá
del entendimiento de la inevitabilidad de la falla en el análisis y diagnóstico
de la inseguridad de la información en el contexto de las metas grandes y
ambiciosas de las empresas.
El informe anota que “los
negocios continúan viendo la seguridad de la información como un policía y
custodio paranoico que es una barrera para progresar e innovar”, declaración que
bien puede incomodar a más de un responsable de la seguridad de la información,
sin embargo, leída en clave de crítica constructiva, revela un sentimiento propio
del negocio y un reclamo de la organización para el área de seguridad, para
entender que se hace necesario movilizarse y transformar la organización para
potenciar las capacidades empresariales en su sector de negocio y desequilibrar
el entorno a su favor.
El reporte anota que la
situación anterior se presenta pues los ejecutivos de seguridad de la
información no logran demostrar cómo:
- Los costos operacionales e inversiones soportan las actividades de negocio
- Gestionar o mantener el ritmo de la demanda empresarial
- Centrarse en la innovación empresarial
Revisando cada uno de estos
aspectos, el responsable de seguridad la información debe hacer una lectura de
la seguridad en función de la esencia del negocio de la empresa, esto es, qué
significa la seguridad de la información para el negocio y cómo esta permite su
transformación en un contexto abierto, asimétrico y altamente dinámico.
Frente a los costos e
inversiones, la seguridad de la información debe asistirse de la visión de
riesgos, que le permite saber cómo sus esfuerzos mitigan o permiten a la
organización “proteger el valor de sus negocios”, soportado en las prácticas de
seguridad de la información corporativas, la custodia y aseguramiento de sus
activos de información, y el cuidado de la reputación empresarial, que es
visible y tangible a través de todos sus grupos de interés.
Cuando se trata de la demanda
empresarial, el ejecutivo de seguridad debe comprender los planes empresariales
y actuar desde sus inicios para “asegurar el valor de las iniciativas” que
permitan integrar la seguridad de la información como una distinción
estratégica y táctica, que le permite a los negocios mantenerse activos frente
a los riesgos y políticamente alertas frente a los impactos que una falla puede
ocasionar y sus efectos frente a la junta directiva.
La innovación empresarial está
fuertemente asociada con el uso de tecnologías y gestión de la información. En
este contexto, la seguridad de la información debe comprender las exigencias de
una operación en un escenario móvil, de flujo de información y mensajes
instantáneos, para que el negocio funcione de manera confiable, protegiendo el
tránsito de la información y asegurando las prácticas de seguridad en cada uno
de los participantes de empresa.
De otra parte el estudio,
establece que el área de seguridad de la información se encuentra en una encrucijada
entre un panorama altamente cargado de vulnerabilidades y la asimetrías de sus efectos
y, la exigencia de nuevos controles frente a los nuevos retos tecnológicos, lo
cual le impide configurar o establecer con claridad una visión atractiva del
futuro del tema para la empresa. En este sentido, el ejecutivo de seguridad se
ve forzado a:
- Explicar porque las soluciones previas no son efectivas
- Solicitar presupuesto para tratar los nuevos riesgos emergentes
- Ser el portador de malas noticias
Como custodio y de alguna
forma garante[1] de
la seguridad de la información debe mantener un monitoreo proactivo sobre los
controles existentes para verificar su efectividad y la relevancia de los mismos
frente a los niveles de riesgo aceptado por la función de negocio. En este
sentido, fiel a su posición de garante debe ser responsable de mantener un
nivel de exposición aceptable de la organización y declarar las no
conformidades identificadas frente a la inevitabilidad de la falla.
Lo anterior, no
necesariamente requiere ajustes presupuestales, los cuales de requerirse deberán
ajustarse a la lectura existente del riesgo, habida cuenta que los controles
vigentes generan un umbral de protección aceptable frente a las amenazas
propias del proceso de negocio. Si luego de una evaluación de vulnerabilidades
se advierte un cambio importante en la percepción del riesgo y los cambios
empresariales revelan nuevas fuentes de amenaza, se hace necesario establecer
los recursos requeridos que nuevamente ajusten los niveles de exposición a
lectura aceptables por los dueños de los procesos.
No es sano que el responsable
de la seguridad de la información sea observado como “el ave de mal agüero”,
como esa persona que nadie espera se aparezca en su puerta. Esta vista oscura y
tenebrosa, claramente fundada en la lectura de los incidentes, no puede ser la
única carta de presentación del área de seguridad. Se hace necesario,
establecer reportes de aseguramiento y avance en el cierre de brechas de
seguridad frente a la información y malos hábitos empresariales, manteniendo “el
mínimo de paranoia bien administrado” para mantener distanciada la falsa
sensación de seguridad.
Seguidamente la investigación
de Forrester detalla algunos de los elementos que limitan al Chief Information Security Officer –
CISO para salir de su percepción técnica y operacional que soporta a la
organización bien en soluciones ajustadas a su realidad, así como primera línea
de respuesta frente a la materialización de incidentes de seguridad:
- Falta de experiencia frente a las juntas directivas
- Bajo respeto e influencia en las unidades de negocio
- Limitada perspicacia financiera y de negocio
- Limitada capacidad para adquirir el talento que necesita
Esto cuatro elementos
delinean el programa del renovado ejecutivo de seguridad de la información.
Lograr revertir los efectos de estas declaraciones en la gestión de seguridad,
es ensanchar la caja de herramientas de los profesionales de seguridad, de tal
forma que entiendan la seguridad
de la información como un negocio, para que su lenguaje, capacidad de
influencia, solvencia financiera y de negocio, actúen a favor suyo, para luego
explorar en el mercado interno y externo los profesionales que compartan el
sueño que dicho profesional tiene frente a la seguridad en la empresa.
Como respuesta a estos retos
el informe plantea la transformación del cargo de CISO por el de de CBSO – Chief Business Security Officer, los
cuales encarnan una nueva raza de ejecutivos de la seguridad que fundados en un
desarrollo de habilidades de negocio y de consultoría, son capaces de
transformar la vista eminentemente de cumplimiento y control, en una que permita
leer los objetivos de negocio en clave empresarial y anticipar las acciones que
aseguren la generación sostenible de valor de la corporación.
En consecuencia con lo
anterior, los analistas de Forrester detallan el siguiente cuadro:
CISO
|
CBSO
|
|
Mentalidad
|
Ejecución operacional, seguridad absoluta
|
Estrategia, mitigación de riesgos
|
Reputación
|
Tecnólogo, proveedor de miedo, incertidumbre y dudas
|
Colega confiable, consultor interno
|
Aproximación
|
Reactivo, seguridad focalizada
|
Proactivo, seguridad embebida
|
Foco
|
Tecnologías de seguridad y productos puntuales
|
Arquitectura, procesos y analítica
|
Entrega de
valor
|
Operaciones, selección de tecnología, eficiencia
|
Habilitador de negocios, mitigación de riesgos
|
Próximo
trabajo
|
CISO, Vicepresidente de operaciones
|
Chief
Information Officer
|
Tomado de: Forrester Research.
El perfil detallado en el
cuadro anterior nos permite observar un ejecutivo de seguridad que es capaz de
tomar decisiones impopulares y firmes frente a la asignación y priorización de
su presupuesto, que busca oportunidades estratégicas y políticamente correctas
para habilitar los negocios empresariales y sus procesos frente a los
movimientos y tendencias tecnológicas emergentes, que comprende, analiza y
diagnostica las exigencias de seguridad y control en el contexto de la
complejidad de los negocios, buscando alternativas que se ajusten a la cultura
empresarial y aseguren, al mismo tiempo, las relaciones corporativas frente a
sus grupos de interés.
Este nuevo profesional de la
seguridad de la información que requieren las organizaciones, debe sintonizarse
política y estratégicamente con los negocios empresariales. Esto es conocer en
detalle los procesos críticos de la empresa, detallar y analizar el modelo de
generación de valor de la compañía y sobre manera, articular el modelo de
negocio de la función de seguridad de la información, con las metas de empresa,
más allá de los reportes naturales de sus indicadores, fundando un modelo de
visión anticipada de la realidad que proteja el valor actual de la organización
y sugiera elementos que sumen a las propuestas desequilibrantes que la junta
visualice en el mediano y corto plazo.
La pregunta que surge en este
momento es ¿cómo iniciamos la transición hacia este nuevo reto? La respuesta
tiene muchas variantes y explicaciones, pero en el fondo estas exigencias
requieren la habilidad de hacer evidente la inseguridad de la información en
las relaciones entre personas, tecnologías y procesos, no como un “proveedor de
miedo, incertidumbre y dudas”, sino como un “generador de escenarios emergentes
de análisis” de riesgos positivos y negativos, que procuren vistas renovadas
del negocio, que refresquen los conocimientos del mercado y permitan acciones
diferenciadoras en el mismo.
Así las cosas, nuestro CISO
debe saber que su papel empresarial, si bien es reconocido y validado por el
alto gobierno corporativo, la dinámica de los negocios, los mercados y la
tecnología demandan una transformación fundamental, que no busca abandonar las
competencias técnicas propias de su formación, sino balancear dichas
competencias con el lenguaje del negocio, las cifras de su operación, y lo más
importante, con la lectura y pensamiento estratégico de la empresa.
Habida cuenta de lo anterior,
el CBSO tendrá el reto de reconstruir la función de seguridad de la información
desde la perspectiva de la generación de valor, es decir, desde el conocimiento
y estudio de las capacidades de la empresa, para iniciar la revolución requerida
en la práctica de la protección de la información actual que pase de:
HOY
|
FUTURO
|
Una vista de productos y servicios
|
Una vista de escenarios y amenazas emergentes
|
Una vista de riesgos y cumplimiento
|
Una vista de innovación y creatividad confiable
|
Una vista centrada en los costos y riesgos
|
Una vista centrada beneficios y oportunidades
|
Una cultura basada en incidentes
|
Una cultura basada en lecciones aprendidas
|
Una postura reactiva y mitigar lo que sucede
|
Una postura que se anticipe e imagine lo que puede
hacer que suceda
|
Una postura de analizar las tendencias
|
Una postura de reconocer patrones
|
Dice Hamel que: “las
compañías no pueden crear el futuro, no porque no lo prevean sino porque no lo
pueden imaginar”, si esto cierto, los profesionales de seguridad de la
información deben comenzar a configurar ese futuro que les demanda ampliar su espectro
de formación; a ver diferente, para ser diferente; es decir entender “la
diferencia entre lo futuro y lo imaginado, entre saber lo que viene e imaginar
lo que vendrá” como anota el académico.
Pues sólo así será posible
poner atención a las asimetrías de la inseguridad y las condiciones desequilibrantes
de los mercados, para poder ver dónde está ocurriendo lo que será el futuro de
la organización y así distinguir las oportunidades que permitan construir una
nueva experiencia, un nuevo comienzo donde la inevitabilidad de la falla contraponga
a “aquellos que han sido sorprendidos por el futuro” con “aquellos que han
podido anticiparse al futuro”.
Referencias
HAMEL, G. (2000) Liderando la
revolución. Ed. Norma
BALAOURAS, S. y ROSE, A. (2012) Navigate the future of the security
organization. Forrester Research.
[1] “Posición
de garante es la situación en que se halla una persona, en virtud de la cual
tiene el deber jurídico concreto de obrar para impedir que se produzca un
resultado típico que es evitable. (…)” Tomado de: http://gavillan5.blogspot.com/2006/08/posicion-de-garante.html
La inseguridad de la información se encuentra en constante evolución. Y parte de esta evolución es la capacidad de auto evaluarse y de generar acciones que permitan dejar atrás los hábitos que no le son adecuados. Se confirma en el estudio lo que desde nuestra óptica de seguridad ya teníamos vislumbrado: nos ven y perciben como la piedra en el zapato, el “Dr. No”, el área dentro de la organización que reacciona ante los acontecimientos o el área que pone las trabas a los procesos. Por ello la nueva “raza” de CSOs debe poder acercase mas al negocio, hablar el lenguaje del negocio, tener la capacidad de interactuar con la junta directiva; expresare en un lenguaje sencillo y claro, sin olvidarse de la parte técnica. Estamos ante una transformación del área de seguridad de la información, la cual nos llevará inevitablemente a verla como ahora vemos la de IT: la permanente búsqueda del valor agregado que el área de seguridad entregue al negocio. ¿Un “ITIL” en seguridad?
ResponderEliminarSaludos!
ResponderEliminarMe gustaría hacerte llegar información sobre ISACA y la edición 2012 de la la Conferencia Latinoamericana de Auditoría, Control y Seguridad (CACS) y la Conferencia Latinoamericana de Seguridad de la Información y Administración del Riesgo (ISRM).
Te agradeceré me hagas llegar tus datos a albertob@keepengaged.mx
Saludos!