Introducción
Si revisamos el panorama de riesgos
sobre el manejo de la información de los últimos diez años, podemos observar
los cambios vertiginosos e inesperados que se han presentado respecto de las
estrategias de ataque y vulneración. Mientras al inicio del milenio, la
información se convertía en un nuevo activo para algunas organizaciones y las
ya conocidas técnicas de control de acceso seguían manteniendo el estatus de
obligatorias, hoy dichas medidas, si bien siguen siendo válidas, no son
suficientes dados los desafiantes métodos que buscan generar la brecha desde dentro
de las organizaciones y no desde fuera.
Lo anterior supone una evolución
acelerada de la mente del atacante, quien ahora ha desarrollado mayores destrezas
para motivar a los usuarios para materializar sus estrategias con el concurso
de engaños más elaborados y condiciones conocidas, las cuales demandan, no
solamente de los perfiles más especializados, revisiones y análisis más
exhaustivos y focalizados para identificar posibles nuevos vectores de ataques
y amenazas.
Así las cosas, cada vez el entrenamiento
de los supuestos “usuarios finales” exige no solamente el conocimiento de los
engaños y estrategias conocidas respecto del acceso a información sensible por
parte de los atacantes, sino involucrarlos y entrenarlos en la detección y
análisis de las técnicas avanzadas de ataques y sus posibles variantes. Este
nuevo desafío requiere desarrollar nuevas capacidades en las áreas de seguridad
de la información para aumentar la resistencia de empresa frente a los nuevos
ataques.
Los conocidos “usuarios finales” o
sencillamente “usuarios”, son la línea crítica de protección y aseguramiento de
la información en las empresas. Dependiendo de su rol o ubicación en la
organización tendrán motivaciones o razones para asegurar o no la información.
Muchos estudios indican que se deben establecer audiencias para poder incluir
la distinción de protección de la información, otros hablan de una vista
general incluyente y vinculante que se apalanque desde un liderazgo corporativo
visible y otros como un tema mandatorio que exige consecuencias por acciones
que vulneren los principios de protección de la información.
Cualquiera que sea el enfoque, la
cultura organizacional de protección de la información es la que hace la diferencia
al final. Esto es aquella red de significados, acciones, creencias y comportamientos
que se asocian con la seguridad y control de la información, la cual define en
sí misma la forma como una persona cuida y protege ese “algo” que representa esa
figura valiosa para él y por ende para la organización.
Lograr encontrar ese vínculo o eslabón
perdido, es una tarea que exige explorar el ADN de las empresas, de la
cosmovisión de las personas y de la información en el contexto organizacional,
para entender en profundidad la red de relaciones que se establecen para
revelar la forma como se funda una cultura organizacional de seguridad de la
información.
Por tanto, en el
desarrollo de esta reflexión revisaremos aquellos aspectos que constituyen una
cultura de seguridad de la información, la relaciones entre el gobierno
corporativo, la cultura organizacional y la seguridad de la información, así
como los ambientes que se pueden presentar cuando se quiere incorporar y
desarrollar una cultura organizacional de seguridad de la información alineada
y ajustada al modelo de generación de valor de una empresa.
Factores que constituyen una cultura de seguridad de
la información
En este ejercicio, una reciente tesis
doctoral (ALNATHEER 2012) establece al menos tres elementos claves para iniciar
el análisis de este reto, lo que su autor define como los factores que
constituyen una cultura de seguridad de la información: la apropiación, la concienciación y el cumplimiento,
que son diferentes de aquellos que la influencian como son: soporte de la alta
gerencia, cumplimiento y mantenimiento de políticas, entrenamiento en seguridad
de la información y políticas respecto de las conductas éticas.
Para efectos de este documento, vamos a
revisar los aspectos que constituyen una cultura de seguridad de la
información, como fundamento para desarrollar y establecer una cultura
organizacional de seguridad de la información, para en otro momento, analizar
los factores que la influencian y los impactos sobre la misma.
Figura No.1 Factores que
constituyen la cultura de seguridad de la información (Adaptado de ALNATHEER 2012)
La apropiación,
es la expresión que nos permite hacerme responsable de mis acciones respecto de
la protección de la información. Es el ejercicio consciente y permanente de las
personas para proteger los activos de información que tiene a su cargo. Lograr
este nivel de interiorización, pasa por aceptar e incorporar dentro de las creencias
personales y corporativas que la información es tan valiosa como los elementos
visibles de la empresa y que marca la diferencia, frente al ejercicio
estratégico y su relación con sus grupos de interés.
De acuerdo con el autor tres
declaraciones son claves para comprender este primer factor:
- Es mi responsabilidad proteger la información de mi organización
- Me hago responsable de los resultados de las decisiones y acciones que tomo respecto de la seguridad de la información
- Proteger la seguridad de la información es una parte importante de mi trabajo.
La concienciación, busca
que las personas en el contexto organizacional se hagan conscientes de los
riesgos y amenazas frentes a la protección de la información, que entiendan los
impactos y beneficios de su papel en la protección de la información, así como
de reportar todas aquellas desviaciones o fallas de seguridad de la información
que se presenten. Esta consciencia, según el Diccionario de la Real Academia de
la Lengua, se traduce como sentir,
pensar, querer y obrar con conocimiento de lo que se hace respecto del
aseguramiento de la información.
El autor establece las siguientes declaraciones
relevantes para sintonizarnos con este segundo factor:
- Soy consciente de mi roles y responsabilidades respecto de la protección de la información
- Soy consciente del riesgo de no seguir la política de seguridad de la información
- Estoy familiarizado con la política de seguridad de la información
- Soy consciente y conozco los procedimientos para reportar las violaciones de seguridad de la información
El cumplimiento,
está relacionado con la adherencia a las políticas, procedimientos y prácticas
de seguridad de la información y demás relacionadas. Es el entendimiento
práctico de los comportamientos esperados por la organización respecto de la
protección de la información, los cuales son sujetos de auditoría y
verificación con el fin de conocer el nivel de observancia de los individuos al
cuerpo normativo, así como la forma de mantenerse sintonizado con la mejores
prácticas nacionales e internacionales en los temas de seguridad de la
información.
En este sentido, el académico establece
un par de declaraciones que buscan representar este factor:
- Yo estoy siempre adherido a la política de seguridad de la información
- Otros adhieren a la política de seguridad de la información de manera similar
Como podemos ver estos
tres elementos se deben relacionar entre sí para actuar alrededor de la
protección de la información y modelar de alguna forma el comportamiento de los
individuos en el contexto corporativo. Sin embargo, estos factores actúan
dentro de un contexto superior, que los envuelve y los desarrolla a nivel
corporativo, para lo cual se requiere entender las relaciones existentes entre
la cultura organizacional, el gobierno corporativo y la seguridad de la
información.
Relación entre cultura organizacional, gobierno
corporativo y seguridad de la información
Los desarrollos doctorales de THOMSON (2007),
nos ilustran sobre la forma como estos tres elementos interactúan y afectan de
manera concreta el desarrollo de una cultura organizacional de seguridad de la
información.
Figura No.2 Relaciones entre
el gobierno corporativo, la cultura organizacional y la seguridad de la
información (Tomado de: THOMSON 2007, pág.66)
La relación marcada como A,
interpretando a Thomson, exige que la organización reconozca y declare la información
como un activo estratégico de la empresa, entendiendo que si bien, la junta
directiva o el Consejo de Administración es el responsable del éxito de
organización, también es el responsable de su información. Esto significa
superar la creencia que la seguridad de la información es un problema
eminentemente técnico e incorporar dentro de las discusiones de primer nivel
las expectativas que se tienen respecto del manejo y control de la información
como activo clave para el logro de las metas empresariales.
Esta relación demanda de la seguridad de
la información, hacerse parte de la ecuación que soporta el modelo de
generación de valor de negocio y hacer explícitos los niveles de aceptación de
riesgo que la organización requiere, para continuar explorando nuevas
posibilidades para incrementar su posicionamiento en su sector de negocio y
motivar nuevas oportunidades para desequilibrar los mercados donde participa.
Esto es en definitiva, que la seguridad de la información no sea un “costo”,
sino una “inversión” que anticipe riesgos y asegure la operación.
La relación B, demanda que ese conjunto
de significados, acciones, creencias y comportamientos empresariales
influencien de manera positiva a los empleados en el ejercicio de protección de
la información. Esto es, comprender en el contexto empresarial la manera como los
supuestos compartidos tácitos, la teoría en uso y los artefactos corporativos,
cultivan comportamientos saludables respecto del tratamiento de la información,
preferiblemente adheridos a la política corporativa de protección de la
información.
En este sentido, lo relacionado con políticas,
procedimientos y prácticas alrededor de la seguridad de la información son
elementos fundamentales que se deben integrar al quehacer de compañía, para que
en el ejercicio diario de su cargo y responsabilidades, la protección no sea
algo adicional que hay que hacer, sino eso que debo hacer para asegurar el
desarrollo y logro de las estrategias en armonía con los grupos de interés.
La relación C, define los comportamientos aceptables y no
aceptables que se deben mantener en la organización. Es la forma como el ente
que define la organización y su misión, declara la forma en que se deben
coordinar las actividades, los comportamientos requeridos para asegurar una
clara sintonía de esfuerzos y asegurar los resultados requeridos.
En otras palabras, cualquier
inconformidad o comportamiento inadecuado requiere un revisión de fondo, que
puede contener en su aseguramiento, una revisión individual frente a los
compromisos adquiridos con la organización, una visión de cumplimiento respecto
de la adherencia al cuerpo normativo organizacional o una sanción que indique
la seriedad y formalidad que la empresa tiene y requiere en cada una de sus
actuaciones, sabiendo que la no solo su reputación está en juego, sino la
estabilidad de la empresa en el largo plazo.
La relación D,
establece la vista integrada de gobierno corporativo, cultura organizacional y
seguridad de la información. En una lectura tripartita y sintonizada podemos
anotar que la cultura organizacional determina las acciones y comportamientos
de los empleados de una organización, en la cual los ejecutivos de primer nivel
deben promover el aseguramiento de prácticas de seguridad y control que
influencien de manera positiva la protección de los activos de información, lo
cual debe permear los supuestos tácitos compartidos, valor expuestos y artefactos que revela la
organización en su diario actuar y que son compartidos por sus participantes.
Ambiente organizacional y la cultura de seguridad de
la información
Como resultado de esta interrelación,
anota Thomson, se pueden materializar algunos ambientes al interior de la
organización respecto de la protección de la información, los cuales exhiben
los roces internos que se pueden manifestar cuando alguno se advierte una
desalineación en alguna de la relaciones previamente comentadas y los elementos
de la cultura organizacional, leídos desde el modelo de Schein (1985).
Es frecuente encontrar que los valores
expuestos y los supuestos tácitos compartidos generalmente no se encuentran
alineados, lo que necesariamente implica que la visión del primer de la empresa
no se puede materializar, generando conflictos en la ejecución de la estrategia
que desvía la empresa del cumplimiento de sus objetivos estratégicos.
En seguridad de la información no es la
excepción, como vimos en las relaciones del gobierno corporativo y la cultura
organizacional, cuando la seguridad no hace parte de estos dos mundos, la
información representa un elemento más de la dinámica de la empresa, pero no
otro activo claves para apalancar su desarrollo y logro de metas.
En consecuencia, siguiendo los
desarrollos de Thomson podemos tener al menos tres tipos de ambientes para
incorporar la distinción de seguridad de la información, que manifiestan la
desarticulación que se puede advertir en este ejercicio: uno coercitivo, uno
utilitarista y uno de consenso de metas.
En el coercitivo, las personas laboran y desarrollan sus actividades pues
es un mandato empresarial, donde generalmente no comparten los deseos e
indicaciones de la alta gerencia. En esta situación, si las personas permanecen
en la compañía, estarán en contravía de las acciones que se propongan y serán
foco de motivaciones contrarías a las indicaciones corporativas. Por tanto, la
consecuencia natural de este comportamiento será una acción correctiva.
En el utilitarista, los empleados desarrollan sus actividades diarias en
gran medida porque hay un sistema de incentivos planeado que los beneficia si
se ajusta lo establecido por alta gerencia. En este ambiente, las personas no
necesariamente están de acuerdo o entienden los deseos de la gerencia, sin embargo estarán orientadas al comportamiento correcto, pues habrá una recompensa por ello. Por tanto, la
consecuencia de no actuar de acuerdo con lo esperado, será motivo para no
entregar el reconocimiento prometido.
En el consenso de metas, la alta
gerencia y los empleados se esfuerzan y coinciden en los mismos objetivos y
metas. Esto no quiere decir que no hay un sistema de recompensas y
consecuencias, sino que no son factores determinantes, para adherir a un
comportamiento adecuado o esperado. Por tanto, la consecuencia de actuar del
modo requerido, responde a un bien superior que comparten los miembros de la
comunidad.
Si hacemos una lectura de estos tres
ambientes en clave de seguridad de la información encontramos una relación
directa frente a los múltiples métodos que se utilizan para incorporar,
asegurar y aplicar una cultura de seguridad de la información: el castigo, el
incentivo y el convencimiento respectivamente.
En una lectura de estos
tres ambientes en el contexto de la seguridad de la información podríamos tener
la siguiente vista:
Figura 3.
Ambientes organizacionales y la seguridad de la información
En un ambiente coercitivo, la seguridad
de la información será reactiva. Es un escenario donde no se aprende
efectivamente del error. Se actúa por el miedo a la sanción y no por
convencimiento de lo que significa proteger un activo.
Para evolucionar al siguiente ambiente,
se hace necesario intervenir los supuestos básicos compartidos por las personas
para motivar una reflexión diferente y enriquecida de lo que significa y
representa la información, no solamente para la organización sino desde su vida
personal donde de igual forma puede experimentar los riesgos y amenazas
emergentes frente a las brechas de seguridad.
En un ambiente utilitarista, la
seguridad de la información será inestable. La inestabilidad está asociada en
que en algunos casos las prácticas serán exitosas y en otras no. Si bien las
personas entienden la importancia del adecuado tratamiento de la información,
no están convencidas de hacerlo de manera sistemática. En este sentido, los
incentivos en tableros balanceados de gestión que afecten directamente
intereses de éstos, serán las motivaciones más fuertes para que se logren los
comportamientos requeridos.
Salir de este ambiente, implica crear
una alineación y red de significados compartidos alrededor de la información y
su protección. Esto es, reconstruir los supuestos tácitos compartidos de las
personas, alinearlos con los valores expuestos y materializarlos en artefactos
reconocidos y aprobados por todos los niveles corporativos.
Lo anteriormente
expuesto, sugiere un ambiente de consenso de metas, donde las personas
entienden y comparten lo que significa la información y su protección. Son
conscientes de sus roles y responsabilidades, y así mismo asumen las
consecuencias de sus acciones. En una lectura colectiva de la seguridad de la
información, encuentran un bien superior por el cual luchar y no algo que se
impone o debe hacer para alcanzar una recompensa.
Reflexiones finales
Como podemos observar en los diferentes
análisis realizados en el desarrollo de este documento, la cultura de seguridad
de la información y sus elementos que la constituyen, definen los aspectos
fundamentales que se deben trabajar a nivel de las personas. Entender y modelar
con profundidad lo que significa la apropiación, el cumplimiento y la
concienciación demanda asumir el reto de la persona en el contexto
organizacional y cómo desde su realidad se interesa y sintoniza con las necesidades
de protección de la información de la empresa.
Esta realidad propia de cada individuo
en la organización se proyecta en cada
una de las relaciones entre el gobierno corporativo, la cultura organizacional
y la seguridad de la información, dándole sentido a la intervención empresarial
en los aspectos cotidianos de la realidad del negocio, para conocer cómo nutren
los comportamientos de los empleados para asegurar las prácticas requeridas de
seguridad y control de la información y así, ilustrar de manera táctica lo que
ocurre cuando alguna de estas relaciones, no se está presentando como
corresponde frente a la protección de la información.
La revisión y evaluación de estas relaciones,
crean ambientes de conocimiento, entendimiento y operación corporativos que
afectan de manera directa el ejercicio de la seguridad de la información. Es
así que los ambientes coercitivos, utilitaristas y de consenso de metas,
materializan la forma como la cultura organizacional incorpora la seguridad de
la información, apalancada en los comportamientos y actitudes de las personas.
Así las cosas, si bien no pretendemos
agotar el estudio de la cultura organizacional de la seguridad de la información,
si buscamos profundizar en algunos aspectos que generalmente no tomamos en
consideración, para encontrar nuevas explicaciones que nos permitan evolucionar
en la comprensión de la inseguridad de la información en el escenario de los
comportamientos y acciones humanas.
Por tanto, entrar en las aguas profundas
de crear, desarrollar y sostener una cultura organizacional de seguridad de la
información, demanda abandonar la zona cómoda de los controles técnicos de
seguridad, el cuerpo normativo de seguridad y control y las métricas de gestión
de riesgos basados en umbrales de riesgo, para dar el siguiente paso evolutivo
hacia la vista sistémica y recursiva de un modelo de madurez de competencias en
seguridad de la información.
Esto es, un modelo que incluya los
supuestos del diseño organizacional y sus implicaciones, así como los
comportamientos deseados frente a la información que aumenten la resistencia de
la organización frente a las manifestaciones de la inseguridad de la
información, generando una postura de falla segura, proactiva y preventiva que
sea sostenible y evolucione respecto de los cambios en su entorno.
Referencias
ALNATHEER, M. (2012) Understanding and measuring
information security culture in developing countries: Case of Saudi Arabia. Unpublished Doctoral Thesis. Queensland
University of Technology. Disponible en: http://eprints.qut.edu.au/64070/1/Mohammed_Al_Natheer_Thesis.pdf (Consultado: 19-01-2014)
THOMSON, K. (2007) MISSTEV: Model for information
security shared tacit espoused values. Unpublished
Doctoral Thesis. Nelson Mandela Metropolitan University. Faculty of
Engineering. Disponible en: http://dspace.nmmu.ac.za:8080/jspui/handle/10948/717 (Consultado: 27-01-2014)
SCHEIN, E. (1985) Organizational
culture and leadership. Jossey Bass, San Francisco.
No hay comentarios:
Publicar un comentario