Introducción
Los cambios acelerados que se
tienen en la actualidad y las tensiones emergentes frente al compartir y
proteger información, ejercen sobre los ejecutivos de la seguridad de la
información presiones que los obligan a repensar la manera como cumplir la
promesa de valor inherente a su rol: “hacer que las cosas pasen de manera
confiable, aun existan condiciones que amenacen su continuidad”.
En este contexto lleno de “verdades
inestables”, tecnologías novedosas e individuos dispuestos a compartir sus
propios secretos, el responsable de la seguridad de la información, debe
revisar sus estrategias para ir más allá de las restricciones propias de los
controles y renovar la pasión inicial de su misión, esa que le da sentido a su
hacer, la protección de la información. (CANO 2013)
En el ejercicio de
influenciar y persuadir, habilidades propias del encargado de la seguridad de
la información, anota Montgomery (2012, pág.28), “los buenos estrategas nunca están
quietos. Sin importar lo bien que se haya concebido, cualquier estrategia
práctica en una empresa de hoy fracasará si los líderes la conciben como un
producto terminado. (…)”.
Es decir, que en el ejercicio
de la práctica de seguridad de la información, la inercia y la falacia de una
consolidación del concepto, son alertas que deben asistir a los participantes
del área de seguridad para formular nuevamente las preguntas fundamentales que
permitan alcanzar el soporte y apoyo requerido por la organización y su cuerpo
ejecutivo.
Una estrategia de seguridad de la información vigente
Por tanto, mantener una
estrategia de seguridad vigente en una organización exige del responsable de la
seguridad de la información un ejercicio permanente de validación social por
parte de terceros, reciprocidad con la organización y sus objetivos
estratégicos, consistencia y compromiso con sus mensajes y conexión permanente
con el lenguaje de los ejecutivos de la empresa. (SIMONIS 2013)
La validación social, busca
que las experiencias de la seguridad de la información locales sean compartidas
con otras empresas semejantes, es decir, que otras organizaciones en el entorno
han pasado por situaciones similares y han tomado acciones que son análogas a
las que se han tomado al interior de la compañía. Si bien, esto no es
determinante para efectos de la estrategia, si establece un referente válido
para el gobierno corporativo, en el sentido de que es una experiencia probada y
que requiere revisión en el contexto de la empresa.
La reciprocidad con la
organización y sus objetivos estratégicos se traduce en crear una condición
gana-gana, donde las intervenciones del área de seguridad de la información no
sólo ayudan a cerrar la brecha frente a los riesgos claves identificados en el
flujo de información de un proceso, sino que adicionalmente genera “una
percepción diferente” en los participantes del mismo, que hace se valorice el
proceso y las áreas que en ella participan.
La consistencia y compromiso
con los mensajes demuestra la capacidad del área de seguridad de cumplir con
las promesas de valor declaradas para la organización, donde el ejercicio de la
misión, se practica por cada uno de sus integrantes y se despliega en ese mismo
sentido. Adicionalmente, se hace evidente la pasión de los miembros del equipo
de seguridad de la información, lo que proyecta las actividades de la función
de seguridad en el ejercicio de su espíritu de cumplimiento, el cual se refleja
en el fortalecimiento de la cultura de protección de la información,
anticipación de riesgos emergentes y aseguramiento de la operación.
Finalmente y no menos
importante, la conexión permanente con el lenguaje de los ejecutivos de la
empresa, el cual busca crear un vínculo positivo, que facilite una comunicación
efectiva que permita superar el miedo, la incertidumbre y la dudas, por una
declaración más propositiva y activa, que entiende el umbral del riesgo
residual que acepta la empresa y promueve una visión emocionalmente retadora,
para crear historias de éxito compartidas con el primer nivel de la
organización.
En línea con lo que afirma
Montgomery (2012, pág.82): “ (…) Los propósitos viables, los que valen lo
suficiente para guiar lo que sucede en una empresa, no sólo deben importarte a
ti, sino a quienes hacen negocios contigo. (…)”, la seguridad de la información
debe estar articulada con aquello que es valioso para la empresa, que genera
sentido y propósito tanto para los empleados de la empresa como para los
terceros que transforman la compañía. Esto es, el valor de la información, no
es solamente una declaración ejecutiva, sino un sentimiento y emoción enraizado
en los comportamientos de los participantes, que ven en su cuidado, parte de la
naturaleza de las relaciones de negocio.
Si esto no es así, se hace
necesario que el ejecutivo de la seguridad de la información, revise la forma
cómo “crea valor para la organización”, pues en la medida que es capaz de crear
valor para los demás, anota Montgomery (idem) será capaz de captar algo de ese
valor para su área. Esto es, la creación o generación de valor se traduce en un
cambio de percepción en un contexto específico, que hace que las personas que
allí participan verifiquen una nueva condición particularmente positiva de una
experiencia hasta el momento desconocida.
Por tanto, la académica de
Harvard Cynthia Montgomery establece en su libro “El Estratega”, que “mientras
más preciso seas para expresar el propósito, mejor apoyará tu estrategia en
desarrollo y, muy posiblemente, obtendrá nuevas perspectivas sobre tu negocio.
(…)”, esto es, que en el ejercicio de transformar la distinción de seguridad de
la información de una empresa, para que se convierta en una expresión natural
de la forma como cada una de las persona actúa, requiere materializar un
propósito, ese que lo hace distinto, que comunica los aspectos únicos de la
función y las ventajas que ofrece, las cuales son valoradas tanto por la agenda
ejecutiva, como por las personas en la empresa.
El reto de anticipar las amenazas emergentes
Como quiera que la seguridad
de la información es una función que actúa sobre lo inesperado y que generalmente
cuenta con instrumentos de verificación y medición fundados en temas conocidos,
es necesario que cada uno de los miembros de esta área, desarrollen su
capacidad de anticipación como parte de las competencias propias de sus cargos,
toda vez que es la forma más concreta y expedita para desarrollar un sistema de
creación de valor, que de manera conjunta refuerce mutuamente la identidad que
le confiere sus compromiso: “anticiparse a los riesgos y amenazas emergentes
que impacten la seguridad de la información”.
En línea con lo anterior,
Rerup (2013) establece un modelo que
ayuda a la empresas a identificar las medidas adecuadas para estar más atentas
a las crisis. Dicho modelo, denominado triangulación de la atención, contempla
tres dimensiones a saber: la estabilidad, la agudeza y la coherencia.
La estabilidad o “capacidad
para mantener la atención en un tema concreto a lo largo del tiempo (…)”, es
decir “ese conocimiento, profundo pero focalizado, de lo que ocurre en un
contexto determinado. (…)”. Muchas veces en seguridad de la información
requerimos conocimientos especializados y analíticos concentrados, que nos
permitan estudiar una situación en profundidad para ver aspectos específicos de
una situación que revisados de manera general no es viable advertir aquello que
posiblemente ha materializado la falla.
La agudeza o “capacidad para
atender distintas cosas simultáneamente e identificar patrones. (…)”, es decir la
capacidad de identificar y analizar las relaciones entre las diferentes partes,
para revelar comportamientos o situaciones, que no aparecen sino en el
ejercicio conjunto de entendimiento de las mismas, advirtiendo propiedades
emergentes que muestran una realidad subyacente invisible a nuestros ojos
lineales y perceptible en nuestro pensamiento sistémico.
En seguridad de la
información, ocurren muchas situaciones y eventos al mismo tiempo y nuestra
capacidad limitada para entender los mismos, nos intimida frente a las amenazas
que duermen latentes en el mundo de los datos consolidados fruto del ejercicio monitorización
de la seguridad. Así las cosas, la correlación de eventos, la verificación de
anomalías en los tráficos de red, los comportamientos inesperados de las
máquinas y las personas, deben ser parte de la capacidad sistémica que debe
desarrollar el área de seguridad de la información, que asistida por los
registros de los dispositivos tecnológicos, deben darle las pautas para armar
el rompecabezas que ilustre el umbral vigente que motiva o limita la
inevitabilidad de la falla.
La coherencia o “capacidad
para coordinar la estabilidad y agudeza en niveles diferentes. (…)” es decir,
la forma de afinar y advertir los diferentes matices que se pudieron haber
pasado luego de hacer tanto el ejercicio de focalización, como el de análisis
de relaciones. “El objetivo de la coherencia es coordinar la atención colectiva
de personas, unidades y funciones” que permita compartir “diversas
interpretaciones” para reducir “la confusión, identificar indicios o alertas
importantes y entender lo que realmente sucede en el entorno más amplio”.
En seguridad de la
información, la aplicación de la coherencia, deberá ser una capacidad propia
del equipo de seguridad y
particularmente de su líder, el cual deberá combinar las tres dimensiones de
tal forma que pueda anticipar los movimiento asimétricos de las fallas, o más
bien, preparar sus movimientos de manera anticipada para que la evidencia
identificada entre su ejercicio de estabilidad y agudeza, le permita actuar de
manera consistente y no errática frente a las situaciones de crisis.
En este sentido, se hace
necesario empoderar a los analistas de seguridad y fortalecer sus competencias
en estos elementos concretos, para que advirtiendo situaciones que puedan
comprometer la protección de la información, tengan la capacidad y la autoridad
para enfrentarlo y resolverlo a tiempo.
De otra parte y
complementario con lo anterior, anota Rerup, que “actuar demasiado rápido
limita la oportunidad de beneficiarse de la información que sólo se revela con
el paso del tiempo. (…)”, por tanto, se requiere incorporar la vista de un
tercero independiente, que conociendo del negocio y experimentado en la
práctica de la seguridad de la información, pueda captar una mejor vista de los
eventos y aumentar la comprensión del cuadro general del momento, aun cuando se
desconozca que sucederá.
Así las cosas y como quiera
que la función de seguridad de la información se moviliza por umbrales de
riesgos residuales, requiere constantemente ampliar su radar de acción, es
decir, es necesario que escuche constantemente el ambiente, recoja información
de sus grupos de interés para reformular continuamente su entendimiento de la
protección de la información.
En consecuencia con lo anterior,
deberá mantener una lenguaje propositivo con la alta gerencia, a pesar de las
críticas permanentes que tiene frente a eventos desafortunados que ocurren en
la práctica general de su función, que no son otra cosas que señales que deben
ser analizadas en el cuadro general de comprensión de los umbrales definidos y
así continuar recomponiendo los patrones y amenazas emergentes que dictan los
hechos y datos compilados.
Reflexiones finales
Revisar la tendencias y
reportes de diferentes proveedores y analistas, es una tarea que cada
participante del área de seguridad de la información debe realizar, como quiera
que no hacerlo, es impactar de manera decidida el esfuerzo de revelar los pasos
silenciosos de la inevitabilidad de la falla. Si bien estos reportes no son
determinantes a la hora de tomar acciones definitivas, si alimentan el modelo
general, de aquello que define, parafraseando a Montgomery “el por qué existe
la función de seguridad de la información, lo que hace diferente o mejor que
otros, así como la configuración única de actividades y recursos alrededor que
permite cumplir con la promesa de valor”.
Conquistar el reto de la
protección de la información pasa por el descubrimiento de las motivaciones y
comportamientos humanos frente a la protección de la información, que descubren
algunas facetas propias de las personas, su historia, percepciones y
experiencias, las cuales son fuente de análisis y reflexión que movilizan las
acciones del equipo de seguridad de la organización para construir y fortalecer
una cultura de aseguramiento ajustada con las expectativas, creencias y
contextos de una organización en particular.
Así mismo, exige mantener un
equilibrio dinámico en el entendimiento de los flujos de información, las
necesidades de las áreas y los procesos de la empresa, que en un contexto de
competencia, “es capaz de replantearse su estrategia, antes que el futuro la
asalte” (HAMEL 2012, pág.115), esto es, anticiparse a los riesgos emergentes, mientras
desarrolla y asegura su operación de manera confiable, aún sabiendo que no
conocemos lo que puede ocurrir.
Finalmente y no menos
importante, tenemos los avances tecnológicos y las medidas técnicas de
protección, que complementan el cuadro del estratega de la seguridad. Dicho
avances, deben afinar el instinto natural de proyección y análisis de patrones
del área de seguridad de la información, para “abrazar intensamente el
presente, sin un superávit de futuro que genere angustia e intranquilidad”
(ALVAREZ DE MON 2013, pág.19) en la alta
gerencia.
Conciliar estos tres
aspectos, en el ejercicio de la estrategia y de la visualización previa de las
amenazas emergentes, exige de los profesionales de la seguridad de la
información, una dosis importante de creatividad, de desaprendizaje, la cual inicia
con un trabajo disciplinado, analítico y planificado, para luego dejar que “los
huecos o situaciones no explicadas” fruto de las reflexiones formales, permitan
que afloren espontáneamente propuestas que los liberen de sus propias auto-restricciones,
para pensar nuevamente con pasión e iniciativa sobre la inevitabilidad falla,
aumentando su sensibilidad y conocimiento del riesgo, que no es otra cosa que
su habilidad de convivir con la incertidumbre.
Referencias
ALVAREZ DE MON, A. (2009)
Incertidumbre, hábitat natural del directivo. IESEInsight. No.1. Segundo trimestre.
CANO, J. (2013) Inseguridad de la información. Una visión estratégica. Editorial Alfaomega.
HAMEL, G. (2012) Lo que importa ahora. Cómo triunfar en un
mundo de cambios implacables, competencia feroz e innovación sin barreras.
Editorial Norma
MONTGOMERY, C. (2012) El estratega. Conviértete en el líder que tu
negocio necesita. Harvard Business School. Editorial Aguilar.
RERUP, C. (2013) Active sus
sensores ante lo inesperado. IESEInsight.
No.15. Cuarto trimestre.
SIMONIS, D. (2013) A new approach to security
success. ISSA Journal. April. Pp 10-15
Pero la estrategia ante la inevitabilidad de la falla y la incidencia en los comportamientos inseguros por mínimos y no complejos en el tratamiento de los recursos de información, justificaría la responsabilidad de los profesionales y directivos de seguridad en presentar niveles que contradicen la cultura de seguridad construida?
ResponderEliminarJorge muchas gracias por tu comentario. La cultura de seguridad de la información debe estar sustentada en la capacidad de anticiparse a las situaciones inesperadas y de mantenerse operacional aún se materialice un evento no deseado. Así las cosas, el ejecutivo en seguridad de la información sabrá que tendrá un margen de exposición que deberá manejar en el ejercicio de su cargo, por lo cual deberá negociar con los ejecutivos el umbral permitido de riesgo que la organización acepta. Así las cosas, los niveles de seguridad y control esperados estarán ajustados a la realidad del riesgo propio de la organización, sin contradecir la cultura de seguridad de la empresa.
ResponderEliminar