Hablar de una
cultura de seguridad de la información en el contexto de una sociedad altamente
conectada, de información instantánea, con movilidad permanente y exigente de
nuevos servicios tecnológicos, es hablar de un blanco móvil en un escenario
dinámico, es decir, el desafío de crear valor desde la protección de los activos
de información, haciendo parte de las exigencias de los mercados emergentes
donde la velocidad de ingreso, la oportunidad del producto y las ventajas
superiores de los servicios marcan la diferencia cuando de crear una
experiencia diferente se trata.
La seguridad de la
información como función de cumplimiento estratégico de una organización, debe
ser la custodia de la esencia del tratamiento de la información, motivando la
protección de aquello que importa a la empresa, con el fin de preservar la
ventaja competitiva de la organización y su posición privilegiada en un
mercado. En este sentido, el fortalecimiento de la cultura de seguridad de la
información, se convierte en un esfuerzo dirigido desde la misma estrategia
corporativa, que leído en clave de objetivo estratégico de negocio, significa
asegurar que las decisiones que se toman se ajustan al cumplimiento de una
declaración de cuidado y protección de aquello que nos diferencia y hace que
seamos valorados en los mercados.
En este sentido, la
inversión en la cultura de seguridad de la información, es equivalente a los
esfuerzos que las organizaciones actuales hacen alrededor de temas tan
relevantes como ética, lavado de activos, corrupción, financiación del
terrorismo, entre otros, los cuales en últimas buscan hacer más consciente a
las personas en las organizaciones de los riesgos a los cuales se encuentra
expuesta a diario la empresa, como mecanismo de prevención frente a posibles
fallas o retos regulatorios que pueda enfrentar la organización en el
tratamiento de su información o la de terceros en su custodia.
Como quiera que la
cultura de seguridad de la información describe un conjunto de creencias,
prácticas, símbolos, rituales y valores alrededor del tratamiento de la
información que definen que es importante en el ejercicio de protección de la
información, es preciso establecer cuándo esta mezcla homogénea de condiciones sociales
y humanas se convierte en un apalancador de la estrategia corporativa y cuándo
se funda como un inhibidor de las potencialidades de la empresa frente a su
entorno de negocio.
Una cultura de
seguridad de la información que se encuentre enraizada dentro de los valores
corporativos y se haga realidad en los comportamientos de la empresa, es decir,
se practique desde aquello que nos interesa proteger y que es relevante para la
toma de decisiones estratégicas, es una cultura que previene a la organización
de actuaciones ilegales, de responsabilidades civiles frente a daños, de
reclamaciones de sus grupos de interés y de reclamos por violaciones de políticas
o compromisos voluntariamente adquiridos por la empresa.
En este sentido, la
cultura de seguridad de la información protege la reputación y el valor mismo
de la organización toda vez que en el ejercicio sistemático de comportamientos
íntegros respecto del tratamiento de la información, se entiende a nivel
corporativo que una actuación inadecuada puede tener consecuencias que afecten
las relaciones de la empresa tanto dentro como fuera de ella. Esto es,
comprometer el buen nombre de la corporación en el futuro inmediato degradando
su reconocimiento empresarial, afectando la confianza de los terceros para
hacer mejores negocios con ella.
Una cultura de
seguridad de la información así expuesta y fundada desde el ejercicio de
estrategia corporativa no tendrá otro efecto que el fortalecimiento de la
organización en su sector de negocio, el desarrollo de un liderazgo explícito
ante sus competidores y el reconocimiento de su entorno como jugador decidido y
comprometido, no solamente con el buen tratamiento de la información, sino con
la búsqueda del bien común como declaración general de todas sus actuaciones.
Cuando desarrollamos
una cultura de seguridad de la información fundada exclusivamente en reglas y
castigos por violaciones a las mismas, generamos un ambiente de temor, de
desconfianza y de “encubrimiento de los errores”. Si bien, es necesario
adelantar procesos disciplinarios y sancionatorios cuando se advierte una
violación crítica frente al tratamiento de la información, que termine
alterando una relación de negocios o impactando una futura, es claro que el fortalecimiento
de los valores frente a la información y el liderazgo con el ejemplo, son
factores determinantes para movilizar los esfuerzos de transformación de los
comportamientos adecuados para proteger la información.
Una cultura de
seguridad de la información que solamente busca culpables o violadores de las
reglas, no podrá incorporarse como fuente de valor para la estrategia de la
empresa, sino como factor que limita y compromete una gestión efectiva de la
protección del valor de los activos críticos de información. Esto se presenta
dado que la cultura de la represión y castigo en el mediano plazo genera “antecedentes
negativos” que disuaden a futuros agresores de las políticas en sus
intenciones, no por convencimiento de la importancia del tema, sino por el
miedo a la sanción, lo que claramente no anima una cultura de protección
saludable, sino una cultura de protección perversa que sólo espera el
comportamiento inadecuado para actuar.
Así las cosas y como
quiera que se hace necesario integrar las reglas, estándares y procedimientos
para el tratamiento de la información, así como los valores y comportamientos
íntegros frente a su protección, la cultura de seguridad de la información debe
transformarse de ese conjunto de prácticas necesarias para asegurar el
cumplimiento de una norma, a una forma de hacer negocios de manera efectiva y
confiable, a una lectura estratégica de metas corporativas que abre nuevas
posibilidades con nuevos jugadores del entorno.
Conscientes que
nuestro entorno actual demanda compartir información y mantener relaciones
informadas de manera permanente, desarrollar una cultura de seguridad de la
información basada en reglas no será la mejor opción por lo anteriormente
anotado, sino en una que conjugue las reglas, los valores y la cultura, así
como aquello que hace única la relación entre las partes.
Entender estas tres
condiciones base para elaborar una propuesta de un conjunto de prácticas
relevantes y efectivas de protección de la información, es la respuesta que el
entorno de negocios actual espera, una experiencia para movilizar esfuerzos de
manera confiable, no por miedo a sanciones o represión, no por ventaja o
posicionamiento de uno u otro actor, sino por el logro de un beneficio mutuo
que hace que el mercado reconozca la voluntad de los participantes para
administrar los riesgos del tratamiento de la información de manera conjunta, asegurando
sus objetivos comunes sin comprometer la independencia o ventaja competitiva
particular, esto es, potencializando las sinergias de ambas empresas.
En este entendido,
la cultura de seguridad de la información descifra la forma como la empresa se
hace más rentable, más reconocida y recordada, pues es capaz de conjugar la
ventaja competitiva, es decir, esa forma particular a través de la cual una
organización se diferencia en un mercado, con la manera en la cual la empresa
desde su hacer natural, reconoce a la información como bien requerido y
estratégico para operar, para tomar decisiones y confirmar su compromiso
ejecutivo con la protección de la información, más allá de un tema de
cumplimiento, sino como declaración de gobierno corporativo.
Referencias
CHATMAN, J. y CHA,
S. (2003) Leading by levaraging culture. California
Management Review. Vol.45, No.4. Summer.
ALFAWAZ, S., NELSON,
K. and MOHANNAK, K. (2010) Information security culture: a behaviour compliance
conceptual framework. In: Australasian Information
Security Conference (AISC) proceedings. Brisbane, Australia.
LIM, J., CHANG, S.,
MAYNARD, S. y AHMAD, A. (2009) Exploring the Relationship between Organizational
Culture and Information Security Culture. Proceedings
of the 7th Australian Information Security Management Conference. Perth,
West Australia.
No hay comentarios:
Publicar un comentario